Udostępnij za pośrednictwem


Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure

Interfejs wiersza polecenia platformy Azure obsługuje kilka metod uwierzytelniania. Ogranicz uprawnienia logowania dla twojego przypadku użycia, aby zapewnić bezpieczeństwo zasobów platformy Azure.

Logowanie się do platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure

Podczas pracy z interfejsem wiersza polecenia platformy Azure dostępne są cztery opcje uwierzytelniania:

Metoda uwierzytelniania Korzyść
Azure Cloud Shell Usługa Azure Cloud Shell automatycznie rejestruje Cię i jest najprostszym sposobem rozpoczęcia pracy.
Logowanie interakcyjne Jest to dobra opcja podczas uczenia się poleceń interfejsu wiersza polecenia platformy Azure i uruchamiania interfejsu wiersza polecenia platformy Azure lokalnie. Zaloguj się za pomocą przeglądarki za pomocą polecenia az login . Logowanie interakcyjne zapewnia również selektor subskrypcji do automatycznego ustawiania domyślnej subskrypcji.
Logowanie przy użyciu tożsamości zarządzanej Tożsamości zarządzane zapewniają tożsamość zarządzaną platformy Azure dla aplikacji do użycia podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie firmy Microsoft Entra. Użycie tożsamości zarządzanej eliminuje konieczność zarządzania wpisami tajnymi, poświadczeniami, certyfikatami i kluczami.
Logowanie przy użyciu jednostki usługi Podczas pisania skryptów użycie jednostki usługi jest zalecanym podejściem uwierzytelniania. Przyznasz tylko odpowiednie uprawnienia wymagane do jednostki usługi, która zapewnia bezpieczeństwo automatyzacji.

Uwierzytelnianie wieloskładnikowe (MFA)

Firma Microsoft ogłosiła w maju 2024 r., że będzie wymagać uwierzytelniania wieloskładnikowego dla wszystkich użytkowników platformy Azure. Aby uzyskać informacje na temat planowania tej zmiany, zobacz Planowanie obowiązkowego uwierzytelniania wieloskładnikowego dla platformy Azure i innych portali administracyjnych.

Uwierzytelnianie wieloskładnikowe będzie miało wpływ tylko na użytkowników identyfikatora Entra firmy Microsoft. Nie będzie to miało wpływu na jednostki usługi ani tożsamości zarządzane.

Znajdowanie lub zmienianie bieżącej subskrypcji

Po zalogowaniu polecenia interfejsu wiersza polecenia są uruchamiane względem domyślnej subskrypcji. Jeśli masz wiele subskrypcji, zmień domyślną subskrypcję przy użyciu polecenia az account set --subscription.

az account set --subscription "<subscription ID or name>"

Aby dowiedzieć się więcej na temat zarządzania subskrypcjami platformy Azure, zobacz Jak zarządzać subskrypcjami platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure.

Tokeny odświeżania

Po zalogowaniu się przy użyciu konta użytkownika interfejs wiersza polecenia platformy Azure generuje i przechowuje token odświeżania uwierzytelniania. Ponieważ tokeny dostępu są ważne tylko przez krótki czas, token odświeżania jest wystawiany w tym samym czasie, gdy token dostępu jest wystawiany. Aplikacja kliencka może następnie w razie potrzeby wymienić ten token odświeżania dla nowego tokenu dostępu. Aby uzyskać więcej informacji na temat okresu istnienia i wygaśnięcia tokenu, zobacz Odświeżanie tokenów w Platforma tożsamości Microsoft.

Użyj polecenia az account get-access-token, aby pobrać token dostępu:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Oto kilka dodatkowych informacji na temat dat wygaśnięcia tokenu dostępu:

  • Daty wygaśnięcia są aktualizowane w formacie obsługiwanym przez interfejs wiersza polecenia platformy Azure oparty na protokole MSAL.
  • Począwszy od interfejsu wiersza polecenia platformy Azure w wersji 2.54.0, az account get-access-token zwraca expires_on właściwość wraz z właściwością expiresOn czasu wygaśnięcia tokenu.
  • Właściwość expires_on reprezentuje znacznik czasu przenośnego interfejsu systemu operacyjnego (POSIX), podczas gdy expiresOn właściwość reprezentuje lokalną datę/godzinę.
  • Właściwość expiresOn nie wyraża "fałszu", gdy kończy się czas letni. Może to spowodować problemy w krajach lub regionach, w których przyjmuje się czas letni. Aby uzyskać więcej informacji na temat "składania", zobacz PEP 495 – uściślanie czasu lokalnego.
  • Zalecamy używanie właściwości przez aplikacje expires_on podrzędne, ponieważ używa ono kodu uniwersalnego czasu (UTC).

Przykładowe wyjście:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Uwaga

W zależności od metody logowania dzierżawa może mieć zasady dostępu warunkowego, które ograniczają dostęp do określonych zasobów.

Zobacz też