Přihlášení pomocí Azure CLI

Existuje několik typů ověřování pro rozhraní Příkazového řádku Azure Command-Line, takže jak se přihlásíte? Nejjednodušší způsob, jak začít, je použít službu Azure Cloud Shell, která vás automaticky přihlásí. Místně, můžete se přihlásit interaktivně přes prohlížeč s az login příkazu. Doporučeným způsobem při psaní skriptů je použití instančních objektů. Tím, že instančnímu objektu přidělíte jenom odpovídající potřebná oprávnění, zajistíte zabezpečení automatizace.

Azure CLI neukládá žádné přihlašovací údaje. Místo toho Azure vygeneruje obnovovací token ověřování a ten se uloží. Od srpna 2018 se tento token po uplynutí 90 dnů nečinnosti odvolá, ale Microsoft nebo správce vašeho tenanta může tuto hodnotu změnit. Jakmile dojde k odvolání tokenu, zobrazí se zpráva z rozhraní příkazového řádku s informací, že se musíte znovu přihlásit.

Po přihlášení příkazy spouštěné v rozhraní příkazového řádku běží ve výchozím předplatném. Pokud máte několik předplatných, můžete si změnit výchozí předplatné.

Poznámka

V závislosti na způsobu přihlašování může mít váš tenant zásady podmíněného přístupu, které omezují přístup k určitým prostředkům.

Interaktivní přihlášení

Výchozí metoda ověřování Azure CLI pro přihlášení používá webový prohlížeč a přístupový token pro přihlášení.

  1. Spusťte příkaz login.

    az login
    

    Pokud rozhraní příkazového řádku může otevřít výchozí prohlížeč, zahájí tok autorizačního kódu a otevře výchozí prohlížeč pro načtení přihlašovací stránky Azure.

    V opačném případě zahájí tok kódu zařízení a řekne vám, že otevřete stránku https://aka.ms/devicelogin prohlížeče a zadáte kód zobrazený v terminálu.

    Pokud není k dispozici žádný webový prohlížeč nebo se webový prohlížeč neotevře, můžete vynutit tok kódu zařízení pomocí příkazu az login --use-device-code.

  2. Přihlaste se pomocí přihlašovacích údajů vašeho účtu v prohlížeči.

Přihlášení pomocí přihlašovacích údajů na příkazovém řádku

Zadejte na příkazovém řádku své přihlašovací údaje uživatele Azure.

Poznámka

Tento postup nefunguje s účty Microsoft a účty s povoleným dvoufaktorovým ověřováním.

az login -u <username> -p <password>

Důležité

Pokud chcete zabránit zobrazování vašeho hesla v konzole a používáte příkaz az login interaktivně, na příkazovém řádku bash použijte příkaz read -s.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

V PowerShellu použijte rutinu Get-Credential .

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Přihlášení pomocí instančního objektu

Instanční objekty jsou účty, které nejsou vázané na konkrétního uživatele a které můžou mít přiřazená oprávnění prostřednictvím předdefinovaných rolí. Ověřování pomocí instančního objektu je nejlepší způsob, jak psát bezpečné skripty nebo programy, a umožňuje používat omezení oprávnění i místně uložené statické přihlašovací údaje. Další informace o instančních objektech najdete v tématu Vytvoření instančního objektu Azure pomocí Azure CLI.

K přihlášení pomocí instančního objektu potřebuje:

  • Název nebo identifikátor URL přidružený k instančnímu objektu
  • Heslo instančního objektu nebo certifikát X509 použitý k vytvoření instančního objektu ve formátu PEM
  • Tenanta přidruženého k instančnímu objektu (doména .onmicrosoft.com nebo ID objektu Azure)

Poznámka

Certifikát musí být připojený k privátnímu klíči v souboru PEM. Příklad formátu souboru PEM najdete v tématu Ověřování na základě certifikátu.

Důležité

Pokud váš instanční objekt používá certifikát uložený v Key Vault, musí být privátní klíč certifikátu dostupný bez přihlášení k Azure. Pokud chcete načíst certifikát proaz login, přečtěte si téma Načtení certifikátu z Key Vault.

az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>

Důležité

Pokud chcete zabránit zobrazování vašeho hesla v konzole a používáte příkaz az login interaktivně, na příkazovém řádku bash použijte příkaz read -s.

read -sp "Azure password: " AZ_PASS && echo && az login --service-principal -u <app-id> -p $AZ_PASS --tenant <tenant>

V PowerShellu použijte rutinu Get-Credential .

$AzCred = Get-Credential -UserName <app-id>
az login --service-principal -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password --tenant <tenant>

Přihlásit se pomocí jiného klienta

Tenanta pro přihlášení můžete vybrat pomocí argumentu --tenant. Hodnotou tohoto argumentu může být buď doména .onmicrosoft.com, nebo ID objektu Azure pro příslušného tenanta. Pro argument --tenant funguje metoda interaktivního přihlášení i přihlášení pomocí příkazového řádku.

az login --tenant <tenant>

Přihlášení pomocí spravované identity

Na prostředcích konfigurovaných pro spravované identity pro prostředky Azure se můžete přihlásit pomocí spravované identity. Přihlašování pomocí identity prostředku se provádí prostřednictvím příznaku --identity.

az login --identity

Pokud má prostředek více spravovaných identit přiřazených uživatelem a nemá přiřazenou identitu systému, musíte zadat ID klienta nebo ID objektu nebo ID prostředku spravované identity přiřazené uživatelem --username pro přihlášení.

az login --identity --username <client_id|object_id|resource_id>

Další informace o spravovaných identitách pro prostředky Azure najdete v článcích Konfigurace spravovaných identit pro prostředky Azure a Použití spravovaných identit pro prostředky Azure k přihlášení.

Viz také