Ověřování v Azure pomocí Azure CLI
Azure CLI podporuje několik metod ověřování. Omezte oprávnění pro přihlášení pro případ použití, aby vaše prostředky Azure zůstaly zabezpečené.
Přihlášení k Azure pomocí Azure CLI
Při práci s Azure CLI existují čtyři možnosti ověřování:
| Metoda ověřování | Výhoda |
|---|---|
| Azure Cloud Shell | Azure Cloud Shell vás automaticky přihlásí a je nejjednodušší způsob, jak začít. |
| Interaktivní přihlášení | Tato možnost je vhodná, když se naučíte příkazy Azure CLI a spustíte Azure CLI místně. Přihlaste se přes prohlížeč pomocí příkazu az login . Interaktivní přihlášení také poskytuje selektor předplatného, který automaticky nastaví výchozí předplatné. |
| Přihlášení pomocí spravované identity | Spravované identity poskytují identitu spravovanou v Azure pro aplikace, které se mají použít při připojování k prostředkům, které podporují ověřování Microsoft Entra. Použití spravované identity eliminuje potřebu správy tajných kódů, přihlašovacích údajů, certifikátů a klíčů. |
| Přihlášení pomocí instančního objektu | Při psaní skriptů se doporučuje použít instanční objekt . Udělíte pouze příslušná oprávnění potřebná pro instanční objekt, který zajišťuje zabezpečení vaší automatizace. |
Víceúrovňové ověřování (MFA)
Microsoft oznámil v květnu 2024, že bude vyžadovat vícefaktorové ověřování pro všechny uživatele Azure. Informace o plánování této změny najdete v tématu Plánování povinného vícefaktorového ověřování pro Azure a další portály pro správu.
Vícefaktorové ověřování bude mít vliv jenom na uživatele Microsoft Entra ID. Nebude mít vliv na instanční objekty ani spravované identity.
Vyhledání nebo změna aktuálního předplatného
Po přihlášení se příkazy rozhraní příkazového řádku spustí ve vašem výchozím předplatném. Pokud máte více předplatných, změňte výchozí předplatné pomocí az account set --subscription.
az account set --subscription "<subscription ID or name>"
Další informace o správě předplatných Azure najdete v tématu Správa předplatných Azure pomocí Azure CLI.
Obnovovací tokeny
Když se přihlásíte pomocí uživatelského účtu, Azure CLI vygeneruje a ukládá ověřovací obnovovací token. Vzhledem k tomu, že přístupové tokeny jsou platné pouze na krátkou dobu, vydává se obnovovací token současně s přístupovým tokenem. Klientská aplikace pak může tento obnovovací token v případě potřeby vyměnit za nový přístupový token. Další informace o životnosti a vypršení platnosti tokenů najdete v tématu Aktualizace tokenů na platformě Microsoft Identity Platform.
Pomocí příkazu az account get-access-token načtěte přístupový token:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Tady je několik dalších informací o datech vypršení platnosti přístupového tokenu:
- Data vypršení platnosti se aktualizují ve formátu, který podporuje Rozhraní příkazového řádku Azure založené na MSAL.
- Počínaje Azure CLI 2.54.0
az account get-access-tokenvrátíexpires_onvlastnost společněexpiresOns vlastností pro čas vypršení platnosti tokenu. - Vlastnost
expires_onpředstavuje časové razítko POSIX (Portable Operating System Interface), zatímcoexpiresOnvlastnost představuje místní datum a čas. - Vlastnost
expiresOnse při ukončení letního času nevyjádří "přeložením". To může způsobit problémy v zemích nebo oblastech, kde je přijat letní čas. Další informace o "přeložení", viz PEP 495 – Místní čas Nejednoznačnost. - Doporučujeme, aby podřízené aplikace používaly
expires_onvlastnost, protože používá kód UTC (Universal Time Code).
Příklad výstupu:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Poznámka:
V závislosti na způsobu přihlášení může mít váš tenant zásady podmíněného přístupu, které omezují přístup k určitým prostředkům.
Viz také
- Stručná nápověda k onboardingu Azure CLI
- Správa předplatných Azure pomocí Azure CLI
- Vyhledání ukázek Azure CLI a publikovaných článků
