Verifiëren bij Azure met behulp van Azure CLI
De Azure CLI ondersteunt verschillende verificatiemethoden. Beperk aanmeldingsmachtigingen voor uw use-case om uw Azure-resources veilig te houden.
Aanmelden bij Azure met Azure CLI
Er zijn vier verificatieopties bij het werken met de Azure CLI:
Verificatiemethode | Voordeel |
---|---|
Azure Cloud Shell | Azure Cloud Shell meldt u automatisch aan en is de eenvoudigste manier om aan de slag te gaan. |
Interactief aanmelden | Dit is een goede optie bij het leren van Azure CLI-opdrachten en het lokaal uitvoeren van de Azure CLI. Meld u aan via uw browser met de opdracht az login . Interactieve aanmelding biedt u ook een abonnementkiezer om automatisch uw standaardabonnement in te stellen. |
Aanmelden met een beheerde identiteit | Beheerde identiteiten bieden een door Azure beheerde identiteit die toepassingen kunnen gebruiken bij het maken van verbinding met resources die ondersteuning bieden voor Microsoft Entra-verificatie. Als u een beheerde identiteit gebruikt, hoeft u geen geheimen, referenties, certificaten en sleutels te beheren. |
Aanmelden met behulp van een Service Principal | Wanneer u scripts schrijft, is het gebruik van een service-principal de aanbevolen verificatiemethode. U verleent alleen de juiste machtigingen die nodig zijn voor een service-principal om uw automatisering veilig te houden. |
Multifactorverificatie (MFA)
Microsoft heeft in mei 2024 aangekondigd dat MFA vereist is voor alle Azure-gebruikers. Zie Planning voor verplichte meervoudige verificatie voor Azure- en andere beheerportals voor meer informatie over het plannen van deze wijziging.
MFA heeft alleen invloed op Microsoft Entra ID-gebruikers. Dit heeft geen invloed op service-principals of beheerde identiteiten.
Uw huidige abonnement zoeken of wijzigen
Nadat u zich hebt aangemeld, worden CLI-opdrachten uitgevoerd voor uw standaardabonnement. Als u meerdere abonnementen hebt, wijzigt u uw standaardabonnement met behulp van az account set --subscription
.
az account set --subscription "<subscription ID or name>"
Zie Azure-abonnementen beheren met de Azure CLI voor meer informatie over het beheren van Azure-abonnementen.
Tokens vernieuwen
Wanneer u zich aanmeldt met een gebruikersaccount, genereert en slaat Azure CLI een verificatievernieuwingstoken op. Omdat toegangstokens slechts een korte periode geldig zijn, wordt er een vernieuwingstoken uitgegeven op hetzelfde moment dat het toegangstoken wordt uitgegeven. De clienttoepassing kan dit vernieuwingstoken vervolgens uitwisselen voor een nieuw toegangstoken wanneer dat nodig is. Zie Tokens vernieuwen in het Microsoft Identity Platform voor meer informatie over de levensduur en vervaldatum van tokens.
Gebruik de opdracht az account get-access-token om het toegangstoken op te halen:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Hier volgen enkele aanvullende informatie over vervaldatums voor toegangstokens:
- Vervaldatums worden bijgewerkt in een indeling die wordt ondersteund door azure CLI op basis van MSAL.
- Vanaf Azure CLI 2.54.0 retourneert
az account get-access-token
u deexpires_on
eigenschap naast deexpiresOn
eigenschap voor de verlooptijd van het token. - De
expires_on
eigenschap vertegenwoordigt een POSIX-tijdstempel (Portable Operating System Interface), terwijl deexpiresOn
eigenschap een lokale datum/tijd vertegenwoordigt. - De
expiresOn
eigenschap drukt niet 'vouw' uit wanneer zomertijd eindigt. Dit kan problemen veroorzaken in landen of regio's waar zomertijd wordt aangenomen. Zie PEP 495 – Local Time Disambiguation voor meer informatie over "fold". - We raden downstreamtoepassingen aan om de
expires_on
eigenschap te gebruiken, omdat deze gebruikmaakt van de Universal Time Code (UTC).
Voorbeelduitvoer:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Notitie
Afhankelijk van uw aanmeldingsmethode heeft uw tenant mogelijk beleid voor voorwaardelijke toegang waarmee u de toegang tot bepaalde resources beperkt.