Aanmelden met Azure CLI

Er zijn verschillende verificatietypen voor de Azure Command-Line Interface (CLI), dus hoe meldt u zich aan? De eenvoudigste manier om te beginnen is met Azure Cloud Shell, waarmee u automatisch wordt ingelogd. Lokaal kunt u zich interactief aanmelden via uw browser met de opdracht az login . Bij het schrijven van scripts is de aanbevolen aanpak het gebruik van service-principals. Door de juiste machtigingen aan een service-principal te verlenen, kunt u uw automatisering veilig houden.

Geen van uw aanmeldingsgegevens wordt opgeslagen door Azure CLI. In plaats daarvan wordt er door Azure een verificatievernieuwingstoken gegenereerd en opgeslagen. Per augustus 2018 wordt dit token na 90 dagen van inactiviteit ingetrokken, maar deze waarde kan door Microsoft of uw tenantbeheerder worden gewijzigd. Zodra het token is ingetrokken, krijgt u een bericht van de CLI met de mededeling dat u zich opnieuw moet aanmelden.

CLI-opdrachten worden na aanmelding uitgevoerd binnen uw standaardabonnement. Als u meer dan één abonnement hebt, kunt u van standaardabonnement wisselen.

Notitie

Afhankelijk van uw aanmeldingsmethode heeft uw tenant mogelijk beleid voor voorwaardelijke toegang waarmee de toegang tot bepaalde resources wordt beperkt.

Interactief aanmelden

De standaardverificatiemethode van Azure CLI voor aanmeldingen maakt gebruik van een webbrowser en toegangstoken om u aan te melden.

  1. Voer de opdracht login uit.

    az login
    

    Als de CLI uw standaardbrowser kan openen, wordt de autorisatiecodestroom gestart en wordt de standaardbrowser geopend om een Azure-aanmeldingspagina te laden.

    Anders wordt de apparaatcodestroom gestart en wordt u verteld om een browserpagina te openen op https://aka.ms/devicelogin en de code in te voeren die wordt weergegeven in uw terminal.

    Als er geen webbrowser beschikbaar is of de webbrowser niet kan worden geopend, kunt u de stroom van apparaatcode afdwingen met az login --use-device-code.

  2. Meldt u zich in de browser aan met uw accountreferenties.

Meld u aan met uw referenties op de opdrachtregel.

Geef uw Azure-gebruikersreferenties op de opdrachtregel op.

Notitie

Deze methode werkt niet met Microsoft-accounts of met accounts waarvoor verificatie in twee stappen is ingeschakeld.

az login -u <username> -p <password>

Belangrijk

Als u wilt voorkomen dat uw wachtwoord in de console wordt weergegeven en az login interactief gebruikt, gebruikt u de read -s-opdracht onder bash.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

Gebruik de Get-Credential cmdlet onder PowerShell.

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Aanmelden met een service-principal

Service-principals zijn accounts die niet zijn gebonden aan een bepaalde gebruiker en waaraan machtigingen kunnen zijn toegewezen op basis van vooraf gedefinieerde rollen. Verificatie met een service-principal is de beste manier om beveiligde scripts of programma's te schrijven. U kunt hiermee zowel machtigingsbeperkingen als lokaal opgeslagen, statische referentiegegevens toepassen. Raadpleeg Een Azure-service-principal maken met de Azure CLI voor meer informatie over service-principals.

Voor aanmelding met een service-principal hebt u het volgende nodig:

  • De URL of naam die gekoppeld is aan de service-principal.
  • Het wachtwoord van de service-principal of het X509-certificaat voor het maken van de service-principal in PEM-indeling.
  • De tenant die gekoppeld is aan de service-principal als een .onmicrosoft.com-domein of een Azure-object-ID

Notitie

Een CERTIFICAAT moet worden toegevoegd aan de PERSOONLIJKE SLEUTEL in een PEM-bestand. Zie Verificatie op basis van certificaten voor een voorbeeld van een PEM-bestandsindeling.

Belangrijk

Als uw service-principal een certificaat gebruikt dat is opgeslagen in Key Vault, moet de persoonlijke sleutel van dat certificaat beschikbaar zijn zonder u aan te melden bij Azure. Zie Certificaat ophalen uit Key Vault om het certificaat voor az loginop te halen.

az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>

Belangrijk

Als u wilt voorkomen dat uw wachtwoord in de console wordt weergegeven en az login interactief gebruikt, gebruikt u de read -s-opdracht onder bash.

read -sp "Azure password: " AZ_PASS && echo && az login --service-principal -u <app-id> -p $AZ_PASS --tenant <tenant>

Gebruik de Get-Credential cmdlet onder PowerShell.

$AzCred = Get-Credential -UserName <app-id>
az login --service-principal -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password --tenant <tenant>

Aanmelden met een andere tenant

U kunt een tenant selecteren om u onder die naam aan te melden met het argument --tenant. De waarde van dit argument kan een .onmicrosoft.com-domein of de Azure-object-id van de tenant zijn. Zowel interactief aanmelden als aanmelden via de opdrachtregel werkt met --tenant.

az login --tenant <tenant>

Aanmelden met een beheerde identiteit

U kunt u bij resources die zijn geconfigureerd voor beheerde identiteiten voor Azure-resources, aanmelden met behulp van de beheerde identiteit. Aanmelden via de identiteit van de resource verloopt via de vlag --identity.

az login --identity

Als de resource meerdere door de gebruiker toegewezen beheerde identiteiten heeft en geen door het systeem toegewezen identiteit, moet u de client-id of object-id of resource-id van de door de gebruiker toegewezen beheerde identiteit opgeven voor --username aanmelding.

az login --identity --username <client_id|object_id|resource_id>

Zie Beheerde identiteiten voor Azure-resources configureren en Beheerde identiteiten voor Azure-resources gebruiken voor aanmelden voor meer informatie over beheerde identiteiten voor Azure-resources.

Zie ook