Entrar interativamente com a CLI do Azure

  • Artigo

O método de autenticação padrão da CLI do Azure para logons usa um navegador da Web e token de acesso para entrar.

  1. Execute o comando az login.

    az login

    Se a CLI do Azure puder abrir seu navegador padrão, ela iniciará o fluxo de código de autorização e abrirá o navegador padrão para carregar uma página de entrada do Azure.

    Caso contrário, ela iniciará o fluxo de código do dispositivo e instruirá você a abrir uma página do navegador em https://aka.ms/devicelogin. Em seguida, insira o código exibido no terminal.

    Se nenhum navegador da Web estiver disponível ou se houver falha ao abrir o navegador, você poderá forçar o fluxo de código do dispositivo com az login --use-device-code.

  2. Entre com suas credenciais de conta no navegador.

Entrar com credenciais na linha de comando

Forneça suas credenciais de usuário do Azure na linha de comando. Use apenas este método de autenticação para aprender comandos da CLI do Azure. Os aplicativos de nível de produção devem usar uma entidade de serviço ou uma identidade gerenciada.

Essa abordagem não funciona com contas da Microsoft ou contas que tenham a autenticação de dois fatores habilitada. Você recebe uma mensagem de autenticação interativa necessária.

az login --user <username> --password <password>

Importante

Caso deseje evitar a exibição de sua senha no console e esteja usando az login interativamente, use o comando read -s em bash.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

No PowerShell, use o cmdlet Get-Credential.

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Entrar com um locatário diferente

Você pode selecionar um locatário para entrar com o argumento --tenant. O valor desse argumento pode tanto ser um domínio .onmicrosoft.com como a ID de objeto do Azure para o locatário. Os métodos de entrada interativos e de linha de comando funcionam com --tenant.

az login --tenant 00000000-0000-0000-0000-000000000000

Depois de entrar, se você quiser alterar seu locatário ativo, confira Como alterar seu locatário ativo.

Tokens de atualização

Quando você entra com uma conta de usuário, a CLI do Azure gera e armazena um token de atualização de autenticação. Como os tokens de acesso são válidos apenas por um curto período de tempo, um token de atualização é emitido ao mesmo tempo em que o token de acesso é emitido. O aplicativo cliente pode trocar esse token de atualização por um novo token de acesso quando necessário. Para obter mais informações sobre o tempo de vida e a expiração do token, consulte Atualizar tokens no plataforma de identidade da Microsoft.

Use o comando az account get-access-token para recuperar o token de acesso:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Aqui estão algumas informações adicionais sobre datas de expiração do token de acesso:

  • As datas de expiração são atualizadas em um formato que é suportado pela CLI do Azure baseada em MSAL.
  • A partir da CLI 2.54.0 do Azure, az account get-access-token retorna a expires_on propriedade ao lado da expiresOn propriedade para o tempo de expiração do token.
  • A expires_on propriedade representa um carimbo de data/hora POSIX (Portable Operating System Interface), enquanto a expiresOn propriedade representa uma data/hora local.
  • A expiresOn propriedade não expressa "dobrar" quando o horário de verão termina. Isso pode causar problemas em países ou regiões onde o horário de verão é adotado. Para obter mais informações sobre "dobra", consulte PEP 495 – Desambiguação de hora local.
  • Recomendamos que os aplicativos downstream usem a expires_on propriedade, pois ela usa o Universal Time Code (UTC).

Exemplo de saída:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Solução de problemas

Quando o navegador padrão for o Microsoft Edge, você poderá encontrar o seguinte erro ao tentar entrar no Azure interativamente com az login: "A conexão com este site não é segura".Para resolver esse problema, visite edge://net-internals/#hsts no Microsoft Edge. Adicione localhost em "Excluir política de segurança de domínio" e selecione Excluir.

Confira também