Ověřování v Azure pomocí Azure CLI

Azure CLI podporuje několik metod ověřování. Omezte oprávnění pro přihlášení pro případ použití, aby vaše prostředky Azure zůstaly zabezpečené.

Přihlášení k Azure pomocí Azure CLI

Při práci s Azure CLI existuje pět možností ověřování:

Metoda ověřování Výhoda
Azure Cloud Shell Azure Cloud Shell vás automaticky přihlásí a je nejjednodušší způsob, jak začít.
Interaktivní přihlášení Tato možnost je vhodná, když se naučíte příkazy Azure CLI a spustíte Azure CLI místně. Přihlaste se přes prohlížeč pomocí příkazu az login . Interaktivní přihlášení také poskytuje selektor předplatného, který automaticky nastaví výchozí předplatné.
Přihlášení pomocí instančního objektu Při psaní skriptů se doporučuje použít instanční objekt. Udělíte pouze příslušná oprávnění potřebná pro instanční objekt, který zajišťuje zabezpečení vaší automatizace.
Přihlášení pomocí spravované identity Běžnou výzvou pro vývojáře je správa tajných kódů, přihlašovacích údajů, certifikátů a klíčů používaných pro zabezpečení komunikace mezi službami. Použití spravované identity eliminuje potřebu správy těchto přihlašovacích údajů.

Vyhledání nebo změna aktuálního předplatného

Po přihlášení se příkazy rozhraní příkazového řádku spustí ve vašem výchozím předplatném. Pokud máte více předplatných, změňte výchozí předplatné pomocí az account set --subscription.

az account set --subscription "<subscription ID or name>"

Další informace o správě předplatných Azure najdete v tématu Správa předplatných Azure pomocí Azure CLI.

Obnovovací tokeny

Když se přihlásíte pomocí uživatelského účtu, Azure CLI vygeneruje a ukládá ověřovací obnovovací token. Vzhledem k tomu, že přístupové tokeny jsou platné pouze na krátkou dobu, vydává se obnovovací token současně s přístupovým tokenem. Klientská aplikace pak může tento obnovovací token v případě potřeby vyměnit za nový přístupový token. Další informace o životnosti a vypršení platnosti tokenů najdete v tématu Aktualizace tokenů na platformě Microsoft Identity Platform.

Pomocí příkazu az account get-access-token načtěte přístupový token:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Tady je několik dalších informací o datech vypršení platnosti přístupového tokenu:

  • Data vypršení platnosti se aktualizují ve formátu, který podporuje Rozhraní příkazového řádku Azure založené na MSAL.
  • Počínaje Azure CLI 2.54.0 az account get-access-token vrátí expires_on vlastnost společně expiresOn s vlastností pro čas vypršení platnosti tokenu.
  • Vlastnost expires_on představuje časové razítko POSIX (Portable Operating System Interface), zatímco expiresOn vlastnost představuje místní datum a čas.
  • Vlastnost expiresOn se při ukončení letního času nevyjádří "přeložením". To může způsobit problémy v zemích nebo oblastech, kde je přijat letní čas. Další informace o "přeložení", viz PEP 495 – Místní čas Nejednoznačnost.
  • Doporučujeme, aby podřízené aplikace používaly expires_on vlastnost, protože používá kód UTC (Universal Time Code).

Příklad výstupu:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Poznámka:

V závislosti na způsobu přihlášení může mít váš tenant zásady podmíněného přístupu, které omezují přístup k určitým prostředkům.

Viz také