Sdílet prostřednictvím

Interaktivní přihlášení k Azure pomocí Azure CLI

Interaktivní přihlášení k Azure nabízejí intuitivnější a flexibilnější uživatelské prostředí. Pomocí Azure CLI se můžete ověřit v Azure přímo pomocí příkazu az login . Tento příkaz je užitečný pro úlohy ad hoc správy a pro prostředí, která vyžadují ruční přihlášení, například scénáře s vícefaktorovým ověřováním (MFA). Tato metoda zjednodušuje přístup k testování skriptů, učení a místní správě, aniž by bylo nutné předem nakonfigurovat instanční objekty nebo jiné neinteraktivní metody ověřování.

Důležité

Od září 2025 bude Microsoft vyžadovat vícefaktorové ověřování (MFA) pro Azure CLI a další nástroje příkazového řádku. Tato změna se vztahuje pouze na identity uživatelů Microsoft Entra ID a nemá vliv na identity úloh, jako jsou instanční objekty nebo spravované identity.

Pokud k ověřování skriptů nebo automatizovaných pracovních postupů používáte az login uživatelské jméno a heslo, je teď čas migrovat na identitu úlohy. Další informace najdete v tématu Dopad vícefaktorového ověřování na Azure CLI ve scénářích automatizace.

Požadavky

Interaktivní přihlášení

Pokud se chcete přihlásit interaktivně, použijte příkaz az login . Počínaje Azure CLI verze 2.61.0 používá Azure CLI ve Windows správce webových účtů (WAM) a ve výchozím nastavení přihlášení založené na prohlížeči v Linuxu a macOS.

az login

Selektor předplatného

Počínaje Azure CLI verze 2.61.0, pokud máte přístup k více předplatným, zobrazí se výzva k výběru předplatného Azure v době přihlášení, jak je znázorněno v následujícím příkladu.

Retrieving subscriptions for the selection...

[Tenant and subscription selection]

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2]   Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4] * Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Information Technology Subscription' (00000000-0000-0000-0000-000000000000).

Select a subscription and tenant (Type a number or Enter for no changes): 2

Tenant: Contoso
Subscription: Finance Department Subscription (00000000-0000-0000-0000-000000000000)

[Announcements] With the new Azure CLI login experience, you can select the subscription you want to
use more easily. Learn more about it and its configuration at
https://go.microsoft.com/fwlink/?linkid=2271236

If you encounter any problems, open an issue at https://aka.ms/azclibug

Při příštím přihlášení je dříve vybraný tenant a předplatné označen hvězdičkou (*) jako výchozí vedle čísla. Toto označení umožňuje stisknutím klávesy Enter vybrat výchozí předplatné.

Ve výchozím nastavení se příkazy spouštějí pro vybrané předplatné. Umožňuje az account set kdykoli změnit předplatné z příkazového řádku. Další informace najdete v tématu Správa předplatných Azure pomocí Azure CLI.

Tady je několik pokynů pro selektor předplatného, které je potřeba mít na paměti:

  • Selektor předplatného je dostupný jenom v 64bitové verzi Windows, Linuxu nebo macOS.
  • Selektor předplatného je k dispozici pouze při použití az login příkazu.
  • Při přihlášení pomocí služebního principálu nebo spravované identity se nezobrazí výzva k výběru předplatného.

Pokud chcete zakázat funkci selektoru předplatného, nastavte vlastnost konfigurace core.login_experience_v2 na off.

az config set core.login_experience_v2=off
az login

Přihlášení pomocí Správce webových účtů (WAM) ve Windows

Počínaje verzí Azure CLI 2.61.0je výchozí metodou ověřování ve Windows Správce webových účtů (WAM). WAM je komponenta Windows 10+ , která funguje jako zprostředkovatel ověřování. Zprostředkovatel ověřování je aplikace, která běží na počítači uživatele. Spravuje handshake procesy ověřování a údržbu tokenů pro připojené účty.

Použití WAM má několik výhod:

Pokud narazíte na problém a chcete se vrátit k předchozí metodě ověřování na základě prohlížeče, nastavte vlastnost konfigurace core.enable_broker_on_windows na false.

az account clear
az config set core.enable_broker_on_windows=false
az login

WAM je k dispozici ve Windows 10 a novějších verzích a v systémech Windows Server 2019 a novějších.

Přihlášení pomocí prohlížeče

Azure CLI ve výchozím nastavení používá metodu ověřování založenou na prohlížeči, pokud platí jedna z následujících podmínek:

  • Operační systém je Linux, macOS nebo operační systém Windows starší než Windows 10 nebo Windows Server 2019.
  • Vlastnost konfigurace core.enable_broker_on_windows je nastavena na hodnotu false.

Pokud se chcete přihlásit pomocí prohlížeče, postupujte takto:

  1. Spusťte příkaz az login.

    az login

    Pokud Azure CLI může otevřít váš výchozí prohlížeč, zahájí tok autorizačního kódu a otevře výchozí prohlížeč pro načtení přihlašovací stránky Azure.

    V opačném případě zahájí tok kódu zařízení a dá vám pokyn, abyste otevřeli stránku prohlížeče na https://aka.ms/deviceloginadrese . Pak zadejte kód zobrazený v terminálu.

    Pokud není k dispozici žádný webový prohlížeč nebo se webový prohlížeč neotevře, můžete vynutit tok kódu zařízení s az login --use-device-code.

  2. Přihlaste se pomocí přihlašovacích údajů vašeho účtu v prohlížeči.

Přihlášení pomocí přihlašovacích údajů na příkazovém řádku

Zadejte na příkazovém řádku své přihlašovací údaje uživatele Azure. Tuto metodu ověřování byste měli použít pouze při interaktivní práci s Azure CLI. Pro aplikace na úrovni produkční aplikace použijte principál služby nebo spravovanou identitu.

Tento přístup nefunguje s účty Microsoft nebo účty, které mají povolené vícefaktorové ověřování (MFA). Zobrazí se vám zpráva je potřeba interaktivní ověření.

az login --user <username> --password <password>

Důležité

Chcete-li se vyhnout zobrazení hesla v terminálu při interaktivním použití az login , použijte read -s příkaz v Bash.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

V PowerShellu použijte rutinu Get-Credential .

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Přihlásit se pomocí jiného nájemníka

Můžete vybrat tenanta, ke kterému se chcete přihlásit, pomocí argumentu --tenant. Hodnota tohoto argumentu může být .onmicrosoft.com buď doména, nebo ID objektu Azure pro tenanta. Interaktivní metody přihlášení i metody přihlašování z příkazového řádku fungují s --tenant.

Ve vybraných prostředích a počínaje Azure CLI verzí 2.61.0 musíte nejprve deaktivovat výběr předplatného nastavením vlastnosti konfigurace na core.login_experience_v2.

# disable the subscription selector (v. 2.61.0 and up)
az config set core.login_experience_v2=off

# login with a tenant ID
az login --tenant 00000000-0000-0000-0000-000000000000

Pokud chcete znovu použít selektor předplatného, spusťte az config set core.login_experience_v2=onpříkaz . Další informace o selektoru předplatného najdete v tématu Interaktivní přihlášení.

Pokud chcete po přihlášení změnit aktivního tenanta, přečtěte si, jak změnit aktivního tenanta.

Přihlášení pomocí --scope

az login --scope https://management.core.windows.net//.default

Odhlásit se

K odhlášení z Azure použijte příkaz az logout .

az logout

Vymazání mezipaměti předplatného

Pokud chcete aktualizovat seznam předplatných, použijte příkaz az account clear . Pokud chcete zobrazit aktualizovaný seznam, musíte se znovu přihlásit.

az account clear

az login

Vymazání mezipaměti předplatného není technicky stejný proces jako odhlášení z Azure. Když ale vymažete mezipaměť předplatného, nemůžete spouštět příkazy Azure CLI, včetně az account set, dokud se znovu nepřihlásíte.

Aktualizace tokenů

Když se přihlásíte pomocí uživatelského účtu, Azure CLI vygeneruje a ukládá ověřovací obnovovací token. Vzhledem k tomu, že přístupové tokeny jsou platné pouze na krátkou dobu, vydává se obnovovací token současně s přístupovým tokenem. Klientská aplikace pak může tento obnovovací token v případě potřeby vyměnit za nový přístupový token. Další informace o životnosti a vypršení platnosti tokenů najdete v tématu Aktualizace tokenů na platformě Microsoft Identity Platform.

Pomocí příkazu az account get-access-token načtěte přístupový token:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Tady je několik dalších informací o datech vypršení platnosti přístupového tokenu:

  • Data vypršení platnosti se aktualizují ve formátu, který podporuje Azure CLI založené na MSAL.
  • Počínaje verzí Azure CLI 2.54.0 vrátí az account get-access-token vlastnost expires_on společně s vlastností expiresOn pro čas vypršení platnosti tokenu.
  • Vlastnost expires_on představuje časové razítko POSIX (Portable Operating System Interface), zatímco expiresOn vlastnost představuje místní datum a čas.
  • Vlastnost expiresOn nevyjadřuje "fold", když končí letní čas. To může způsobit problémy v zemích nebo oblastech, kde je přijat letní čas. Další informace o "fold" naleznete v PEP 495 – Rozlišení místního času.
  • Doporučujeme, aby podřízené aplikace používaly expires_on vlastnost, protože používá kód UTC (Universal Time Code).

Příklad výstupu:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Řešení problémů

Připojení pro tento web není zabezpečené.

Pokud je vaším výchozím prohlížečem Microsoft Edge, při interaktivním pokusu o přihlášení k Azure pomocí az loginse může zobrazit následující chyba: "Připojení pro tento web není bezpečné." Pokud chcete tento problém vyřešit, navštivte edge://net-internals/#hsts v Microsoft Edgi. Přidejte localhost v části Odstranit zásady zabezpečení domény a vyberte Odstranit.

Vyžaduje se interaktivní ověřování.

Tato zpráva se zobrazí při použití identity uživatele k ověření v Azure a vyžaduje se vícefaktorové ověřování. Řešením je použít identitu pracovního zatížení, jako je aplikační objekt nebo spravovanou identitu pro autentizaci vůči Azure.

Ověření selhalo vůči tenantovi

K této chybě dochází, když jedna identita uživatele Entra patří do více tenantů Azure. Azure CLI prochází tenanty, ke kterým máte přístup, a pokouší se je ověřit. Pokud se chcete přihlásit pomocí zvoleného tenanta, použijte parametr --tenant . Další informace najdete v tématu Přihlášení pomocí jiného klienta.

Další kroky