Eseguire l'autenticazione in Azure tramite l'interfaccia della riga di comando di Azure
L'interfaccia della riga di comando di Azure supporta diversi metodi di autenticazione. Limitare le autorizzazioni di accesso per il caso d'uso per proteggere le risorse di Azure.
Accedere ad Azure con l'interfaccia della riga di comando di Azure
Quando si usa l'interfaccia della riga di comando di Azure sono disponibili cinque opzioni di autenticazione:
| Authentication method | Vantaggio |
|---|---|
| Azure Cloud Shell | Azure Cloud Shell esegue automaticamente l'accesso ed è il modo più semplice per iniziare. |
| Accedere in modo interattivo | Questa è un'opzione valida quando si apprendeno i comandi dell'interfaccia della riga di comando di Azure e si esegue l'interfaccia della riga di comando di Azure in locale. Accedere tramite il browser con il comando az login . |
| Accedere in modo interattivo (anteprima) | Questa opzione richiede di selezionare la sottoscrizione quando si usa il comando az login . |
| Accedere con un'entità servizio | Quando si scrivono script, l'uso di un'entità servizio è l'approccio consigliato. Si concedono solo le autorizzazioni appropriate necessarie a un'entità servizio per garantire la sicurezza dell'automazione. |
| Accedere con un'identità gestita | Uno dei problemi comuni a cui devono far fronte gli sviluppatori riguarda la gestione di segreti, credenziali, certificati e chiavi per proteggere la comunicazione tra i servizi. L'uso di un'identità gestita elimina la necessità di gestire queste credenziali. |
| Accedere con Gestione account Web (WAM) | WAM è un componente windows 10+ che funge da broker di autenticazione. WAM offre funzionalità avanzate di sicurezza e miglioramenti forniti con Windows. |
Trovare o modificare la sottoscrizione corrente
Dopo l'accesso, i comandi dell'interfaccia della riga di comando vengono eseguiti sulla sottoscrizione predefinita. Se si hanno più sottoscrizioni, modificare la sottoscrizione predefinita usando az account set --subscription.
az account set --subscription "<subscription ID or name>"
Un'altra opzione consiste nell'usare l'anteprima dell'autenticazione dell'interfaccia della riga di comando di Azure 2.59.0. L'anteprima dell'autenticazione fornisce un elenco di tenant e sottoscrizioni al momento dell'accesso e viene richiesto di selezionare una sottoscrizione predefinita.
Per altre informazioni sulla gestione delle sottoscrizioni di Azure, vedere Come gestire le sottoscrizioni di Azure con l'interfaccia della riga di comando di Azure.
Token di aggiornamento
Quando si accede con un account utente, l'interfaccia della riga di comando di Azure genera e archivia un token di aggiornamento dell'autenticazione. Poiché i token di accesso sono validi solo per un breve periodo di tempo, viene emesso un token di aggiornamento contemporaneamente al token di accesso. L'applicazione client può quindi scambiare questo token di aggiornamento con un nuovo token di accesso, se necessario. Per altre informazioni sulla durata e la scadenza dei token, vedere Aggiornare i token in Microsoft Identity Platform.
Usare il comando az account get-access-token per recuperare il token di accesso:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Ecco alcune informazioni aggiuntive sulle date di scadenza del token di accesso:
- Le date di scadenza vengono aggiornate in un formato supportato dall'interfaccia della riga di comando di Azure basata su MSAL.
- A partire dall'interfaccia della riga di comando di Azure 2.54.0,
az account get-access-tokenrestituisce laexpires_onproprietà insieme allaexpiresOnproprietà per l'ora di scadenza del token. - La
expires_onproprietà rappresenta un timestamp POSIX (Portable Operating System Interface) mentre laexpiresOnproprietà rappresenta un valore datetime locale. - La
expiresOnproprietà non esprime "fold" quando termina l'ora legale. Ciò può causare problemi nei paesi o nelle aree geografiche in cui viene adottata l'ora legale. Per altre informazioni sulla "piega", vedere PEP 495 – Disambiguazione ora locale. - È consigliabile che le applicazioni downstream usino la
expires_onproprietà , perché usa il codice UTC (Universal Time Code).
Output di esempio:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Nota
A seconda del metodo di accesso, il tenant potrebbe avere criteri di accesso condizionale che limitano l'accesso a determinate risorse.
Vedi anche
- Scheda di onboarding dell'interfaccia della riga di comando di Azure
- Gestire le sottoscrizioni di Azure con l'interfaccia della riga di comando di Azure
- Trovare esempi dell'interfaccia della riga di comando di Azure e articoli pubblicati