Aanmelden met Azure CLI

Er zijn verschillende verificatietypen voor de Azure Command-Line Interface (CLI), dus hoe meld u zich aan? De eenvoudigste manier om te beginnen is met Azure Cloud Shell, waarmee u automatisch wordt ingelogd. Lokaal kunt u zich interactief aanmelden via uw browser met de opdracht az login. Bij het schrijven van scripts is de aanbevolen aanpak het gebruik van service-principals. Door de juiste machtigingen aan een service-principal te verlenen, kunt u uw automatisering veilig houden.

Geen van uw aanmeldingsgegevens wordt opgeslagen door Azure CLI. In plaats daarvan wordt er door Azure een verificatievernieuwingstoken gegenereerd en opgeslagen. Per augustus 2018 wordt dit token na 90 dagen van inactiviteit ingetrokken, maar deze waarde kan door Microsoft of uw tenantbeheerder worden gewijzigd. Zodra het token is ingetrokken, krijgt u een bericht van de CLI met de melding dat u zich opnieuw moet aanmelden.

CLI-opdrachten worden na aanmelding uitgevoerd binnen uw standaardabonnement. Als u meer dan één abonnement hebt, kunt u van standaardabonnement wisselen.

Interactief aanmelden

De standaardverificatiemethode voor aanmeldingen van de Azure CLI maakt gebruik van een webbrowser en een toegang token om u aan te melden.

  1. Voer de opdracht login uit.

    az login

    Als de CLI uw standaardbrowser kan openen, gebeurt dat ook en wordt er een Azure-aanmeldingspagina geladen.

    Als dat niet het geval is, opent u een browserpagina op https://aka.ms/devicelogin en voert u de autorisatiecode in die wordt weergegeven in uw terminal.

    Als er geen webbrowser beschikbaar is of de webbrowser niet kan worden geopend, gebruikt u de apparaatcodestroom met az login --use-device-code.

  2. Meldt u zich in de browser aan met uw accountreferenties.

Meld u aan met uw referenties op de opdrachtregel.

Geef uw Azure-gebruikersreferenties op de opdrachtregel op.

Notitie

Deze methode werkt niet met Microsoft-accounts of met accounts waarvoor verificatie in twee stappen is ingeschakeld.

az login -u <username> -p <password>

Belangrijk

Als u wilt voorkomen dat uw wachtwoord in de console wordt weergegeven en az login interactief gebruikt, gebruikt u de read -s-opdracht onder bash.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

Gebruik onder PowerShell de Get-Credential cmdlet .

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Aanmelden met een service-principal

Service-principals zijn accounts die niet zijn gebonden aan een bepaalde gebruiker en waaraan machtigingen kunnen zijn toegewezen op basis van vooraf gedefinieerde rollen. Verificatie met een service-principal is de beste manier om beveiligde scripts of programma's te schrijven. U kunt hiermee zowel machtigingsbeperkingen als lokaal opgeslagen, statische referentiegegevens toepassen. Raadpleeg Een Azure-service-principal maken met de Azure CLI voor meer informatie over service-principals.

Voor aanmelding met een service-principal hebt u het volgende nodig:

  • De URL of naam die gekoppeld is aan de service-principal.
  • Het wachtwoord van de service-principal of het X509-certificaat voor het maken van de service-principal in PEM-indeling.
  • De tenant die gekoppeld is aan de service-principal als een .onmicrosoft.com-domein of een Azure-object-ID

Notitie

Een CERTIFICAAT moet worden toegevoegd aan de PERSOONLIJKE SLEUTEL in een PEM-bestand. Zie Verificatie op basis van certificaten voor een voorbeeld van een PEM-bestandsindeling.

Belangrijk

Als uw service-principal gebruikmaakt van een certificaat dat is opgeslagen in Key Vault, moet de persoonlijke sleutel van dat certificaat beschikbaar zijn zonder u aan te melden bij Azure. Als u het certificaat voor wilt az login ophalen, zie Certificaat ophalen uit Key Vault.

az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>

Belangrijk

Als u wilt voorkomen dat uw wachtwoord in de console wordt weergegeven en az login interactief gebruikt, gebruikt u de read -s-opdracht onder bash.

read -sp "Azure password: " AZ_PASS && echo && az login --service-principal -u <app-id> -p $AZ_PASS --tenant <tenant>

Gebruik onder PowerShell de Get-Credential cmdlet .

$AzCred = Get-Credential -UserName <app-id>
az login --service-principal -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password --tenant <tenant>

Aanmelden met een andere tenant

U kunt een tenant selecteren om u onder die naam aan te melden met het argument --tenant. De waarde van dit argument kan een .onmicrosoft.com-domein of de Azure-object-id van de tenant zijn. Zowel interactief aanmelden als aanmelden via de opdrachtregel werkt met --tenant.

az login --tenant <tenant>

Aanmelden met een beheerde identiteit

U kunt u bij resources die zijn geconfigureerd voor beheerde identiteiten voor Azure-resources, aanmelden met behulp van de beheerde identiteit. Aanmelden via de identiteit van de resource verloopt via de vlag --identity.

az login --identity

Als de resource meerdere door de gebruiker toegewezen beheerde identiteiten en geen door het systeem toegewezen identiteit heeft, moet u de client-id of object-id of resource-id opgeven van de door de gebruiker toegewezen beheerde identiteit met voor --username aanmelding.

az login --identity --username <client_id|object_id|resource_id>

Zie Beheerde identiteiten voor Azure-resources configureren en Beheerde identiteiten voor Azure-resources gebruiken voor aanmelden voor meer informatie over beheerde identiteiten voor Azure-resources.