Ověřování v Azure pomocí Azure CLI
Azure CLI podporuje několik metod ověřování. Pokud chcete zajistit zabezpečení prostředků Azure, omezte oprávnění k přihlášení pro váš případ použití.
Přihlášení k Azure pomocí Azure CLI
Při práci s Azure CLI existují čtyři možnosti ověřování:
| Metoda ověřování | Výhoda |
|---|---|
| Azure Cloud Shell | Azure Cloud Shell vás automaticky přihlásí a je nejjednodušší způsob, jak začít. |
| Interaktivní přihlášení | Tato možnost je vhodná, když se naučíte příkazy Azure CLI a spustíte Azure CLI místně. Pomocí příkazu az login se přihlaste přes prohlížeč. Interaktivní přihlášení také poskytuje selektor předplatného, který automaticky nastaví výchozí předplatné. |
| Přihlášení pomocí spravované identity | Spravované identity poskytují identitu spravovanou v Azure pro aplikace, které se mají použít při připojování k prostředkům, které podporují ověřování Microsoft Entra. Použití spravované identity eliminuje potřebu správy tajných kódů, přihlašovacích údajů, certifikátů a klíčů. |
| Přihlášení pomocí aplikační identity | Při psaní skriptů se doporučuje použít instanční objekt . Udělíte jenom příslušná oprávnění potřebná pro zástupce služby, čímž zajistíte bezpečnost automatizace. |
Víceúrovňové ověřování (MFA)
Od roku 2025 bude Microsoft vynucovat povinné vícefaktorové ověřování pro Azure CLI a další nástroje příkazového řádku. Další informace o tomto požadavku najdete v našem blogovém příspěvku .
Vícefaktorové ověřování bude mít vliv pouze na Microsoft Entra ID uživatelské identity. Nebude mít vliv na identity pro pracovní zátěže, jako jsou zástupci služeb a spravované identity.
Pokud k ověřování skriptu nebo automatizovaného procesu používáte az login s ID Entra a heslem, naplánujte si nyní migraci na pracovní identitu. Tady je několik užitečných odkazů, které vám pomůžou při provádění této změny:
- Plánování povinného vícefaktorového ověřování pro Azure a další portály pro správu.
- Jak ověřit, že jsou uživatelé nastaveni pro povinné vícefaktorové ověřování Microsoft Entra (MFA)
- Aspekty nasazení pro vícefaktorové ověřování Microsoft Entra
- Migrace na vícefaktorové ověřování Microsoft Entra pomocí federací
- Použití nástroje MFA Server Migration Utility k migraci na vícefaktorové ověřování Microsoft Entra
Vyhledání nebo změna aktuálního předplatného
Po přihlášení se příkazy příkazového řádku spustí proti vašemu výchozímu předplatnému. Pokud máte více předplatných, změňte výchozí předplatné pomocí az account set --subscription.
az account set --subscription "<subscription ID or name>"
Další informace o správě předplatných Azure najdete v tématu Správa předplatných Azure pomocí Azure CLI.
Obnovovací tokeny
Když se přihlásíte pomocí uživatelského účtu, Azure CLI vygeneruje a ukládá ověřovací obnovovací token. Vzhledem k tomu, že přístupové tokeny jsou platné pouze na krátkou dobu, vydává se obnovovací token současně s přístupovým tokenem. Klientská aplikace pak může tento obnovovací token v případě potřeby vyměnit za nový přístupový token. Další informace o životnosti a vypršení platnosti tokenů najdete v tématu Aktualizace tokenů na platformě Microsoft Identity Platform.
Pomocí příkazu az account get-access-token načtěte přístupový token:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Tady je několik dalších informací o datech vypršení platnosti přístupového tokenu:
- Data vypršení platnosti se aktualizují ve formátu, který podporuje Rozhraní příkazového řádku Azure založené na MSAL.
- Počínaje Azure CLI 2.54.0
az account get-access-tokenvrátíexpires_onvlastnost společněexpiresOns vlastností pro čas vypršení platnosti tokenu. - Vlastnost
expires_onpředstavuje časové razítko POSIX (Portable Operating System Interface), zatímcoexpiresOnvlastnost představuje místní datum a čas. - Vlastnost
expiresOnse při ukončení letního času nevyjádří "přeložením". To může způsobit problémy v zemích nebo oblastech, kde je přijat letní čas. Další informace o "přeložení", viz PEP 495 – Místní čas Nejednoznačnost. - Doporučujeme, aby podřízené aplikace používaly
expires_onvlastnost, protože používá kód UTC (Universal Time Code).
Příklad výstupu:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Poznámka:
V závislosti na způsobu přihlášení může váš tenant mít zásady podmíněného přístupu, které omezují přístup k určitým prostředkům.
Viz také
- Stručná nápověda k onboardingu Azure CLI
- Správa předplatných Azure pomocí Azure CLI
- Vyhledejte ukázky Azure CLI a publikované články .
