Bagikan melalui

Masuk secara interaktif dengan Azure CLI

  • Artikel

Login interaktif ke Azure menawarkan pengalaman pengguna yang lebih intuitif dan fleksibel. Masuk interaktif dengan Azure CLI memungkinkan pengguna untuk mengautentikasi ke Azure secara langsung melalui perintah az login , yang berguna untuk tugas manajemen ad-hoc dan untuk lingkungan yang memerlukan masuk manual, seperti pelanggan dengan autentikasi multifaktor (MFA). Metode ini menyederhanakan akses untuk pengujian skrip, pembelajaran, dan manajemen on-the-fly tanpa perlu mengonfigurasi perwakilan layanan sebelumnya atau metode autentikasi noninteraktif lainnya.

Prasyarat

Login interaktif

Untuk masuk secara interaktif, gunakan perintah az login . Dimulai dengan Azure CLI versi 2.61.0, Azure CLI menggunakan Web Account Manager (WAM) di Windows, dan login berbasis browser di Linux dan macOS secara default.

az login

Pemilih langganan

Dimulai dengan Azure CLI versi 2.61.0, jika Anda memiliki akses ke beberapa langganan, Anda diminta untuk memilih langganan Azure pada saat masuk, seperti yang ditunjukkan dalam contoh berikut.

Retrieving subscriptions for the selection...

[Tenant and subscription selection]

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2]   Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4] * Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Information Technology Subscription' (00000000-0000-0000-0000-000000000000).

Select a subscription and tenant (Type a number or Enter for no changes): 2

Tenant: Contoso
Subscription: Finance Department Subscription (00000000-0000-0000-0000-000000000000)

[Announcements]
With the new Azure CLI login experience, you can select the subscription you want to use more easily.
Learn more about it and its configuration at https://go.microsoft.com/fwlink/?linkid=2271236

If you encounter any problem, please open an issue at https://aka.ms/azclibug

Saat berikutnya Anda masuk, penyewa dan langganan yang dipilih sebelumnya ditandai sebagai default dengan tanda bintang (*) di samping nomornya. Ini memungkinkan Anda menekan Enter untuk memilih langganan default.

Perintah dijalankan terhadap langganan yang dipilih secara default. Anda masih dapat menggunakan az account set untuk mengubah langganan Anda dari baris perintah kapan saja. Untuk informasi selengkapnya, lihat Cara mengelola langganan Azure dengan Azure CLI.

Berikut adalah beberapa panduan tentang pemilih langganan yang perlu diingat:

  • Pemilih langganan hanya tersedia di Windows, Linux, atau macOS 64-bit.
  • Pemilih langganan hanya tersedia saat menggunakan az login perintah .
  • Anda tidak diminta untuk memilih langganan saat masuk dengan perwakilan layanan atau identitas terkelola.

Jika ingin menonaktifkan fitur pemilih langganan, atur properti konfigurasi core.login_experience_v2 ke off.

az config set core.login_experience_v2=off
az login

Masuk dengan Web Account Manager (WAM) di Windows

Dimulai dengan Azure CLI versi 2.61.0, Web Account Manager (WAM) sekarang menjadi metode autentikasi default di Windows. WAM adalah komponen Windows 10+ yang bertindak sebagai broker autentikasi. (Broker autentikasi adalah aplikasi yang berjalan pada komputer pengguna yang mengelola jabat tangan autentikasi dan pemeliharaan token untuk akun yang terhubung.)

Menggunakan WAM memiliki beberapa manfaat:

  • Keamanan yang ditingkatkan. Lihat Akses Bersyarah: Perlindungan token (pratinjau).
  • Dukungan untuk Windows Hello, kebijakan akses bersyarah, dan kunci FIDO.
  • Akses menyeluruh yang disederhanakan.
  • Perbaikan bug dan penyempurnaan dikirim dengan Windows.

Jika Anda mengalami masalah dan ingin kembali ke metode autentikasi berbasis browser sebelumnya, atur properti konfigurasi core.enable_broker_on_windows ke false.

az account clear
az config set core.enable_broker_on_windows=false
az login

WAM tersedia di Windows 10 dan yang lebih baru, dan pada Windows Server 2019 dan yang lebih baru.

Masuk dengan browser

Azure CLI default ke metode autentikasi berbasis browser saat salah satu hal berikut ini benar:

  • Sistem operasi (OS) adalah Mac, atau Linux, atau OS Windows lebih lama dari Windows 10 atau Windows Server 2019.
  • Properti core.enable_broker_on_windows konfigurasi diatur ke false.

Ikuti langkah-langkah berikut untuk masuk dengan browser:

  1. Jalankan perintah az login.

    az login

    Jika Azure CLI dapat membuka browser default Anda, Azure CLI memulai alur kode otorisasi dan membuka browser default untuk memuat halaman masuk Azure.

    Jika tidak, ini memulai alur kode perangkat dan menginstruksikan Anda untuk membuka halaman browser di https://aka.ms/devicelogin. Kemudian, masukkan kode yang ditampilkan di terminal Anda.

    Jika tidak ada browser atau browser web tidak dapat dibuka, gunakan secara paksa alur kode perangkat dengan az login --use-device-code.

  2. Masuk menggunakan kredensial akun Anda di browser.

Masuk dengan info masuk di baris perintah

Masukkan info masuk pengguna Azure Anda di baris perintah. Hanya gunakan metode autentikasi ini untuk mempelajari perintah Azure CLI. Aplikasi tingkat produksi harus menggunakan perwakilan layanan atau identitas terkelola.

Pendekatan ini tidak berfungsi dengan akun Microsoft atau akun yang mengaktifkan autentikasi dua faktor. Anda menerima pesan autentikasi interaktif diperlukan .

az login --user <username> --password <password>

Penting

Jika Anda tidak ingin menampilkan kata sandi di konsol dan menggunakan az login secara interaktif, gunakan perintah read -s di bagian bash.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

Di PowerShell, gunakan Cmdlet Get-Credential.

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Masuk dengan penyewa yang berbeda

Anda dapat memilih penyewa untuk masuk di bawah dengan argumen --tenant. Nilai argumen ini bisa berupa domain .onmicrosoft.com atau ID objek Azure untuk penyewa. Metode masuk interaktif dan baris perintah berfungsi dengan --tenant.

Di lingkungan tertentu dan dimulai di Azure CLI versi 2.61.0, Anda harus terlebih dahulu menonaktifkan pemilih langganan dengan mengatur core.login_experience_v2 properti konfigurasi ke off.

# disable the subscription selector (v. 2.61.0 and up)
az config set core.login_experience_v2=off

# login with a tenant ID
az login --tenant 00000000-0000-0000-0000-000000000000

Untuk mengaktifkan kembali pemilih langganan, jalankan az config set core.login_experience_v2=on. Untuk informasi selengkapnya tentang pemilih langganan, lihat Login interaktif

Setelah masuk, jika Anda ingin mengubah penyewa aktif Anda, lihat Cara mengubah penyewa aktif Anda.

Masuk menggunakan --scope

az login --scope https://management.core.windows.net//.default

Keluar

Untuk menghapus akses ke Azure, gunakan perintah az logout .

az logout

Menghapus cache langganan Anda

Untuk memperbarui daftar langganan Anda, gunakan perintah hapus akun az. Anda harus masuk lagi untuk melihat daftar yang diperbarui.

az account clear

az login

Menghapus cache langganan Anda secara teknis bukan proses yang sama dengan keluar dari Azure. Namun, saat menghapus cache langganan, Anda tidak dapat menjalankan perintah Azure CLI, termasuk az account set, hingga Anda masuk lagi.

Token refresh

Saat Anda masuk dengan akun pengguna, Azure CLI menghasilkan dan menyimpan token refresh autentikasi. Karena token akses hanya berlaku untuk waktu yang singkat, token refresh dikeluarkan pada saat yang sama token akses dikeluarkan. Aplikasi klien kemudian dapat menukar token refresh ini dengan token akses baru ketika diperlukan. Untuk informasi selengkapnya tentang masa pakai dan kedaluwarsa token, lihat Menyegarkan token di platform identitas Microsoft.

Gunakan perintah az account get-access-token untuk mengambil token akses:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Berikut adalah beberapa informasi tambahan tentang tanggal kedaluwarsa token akses:

  • Tanggal kedaluwarsa diperbarui dalam format yang didukung oleh Azure CLI berbasis MSAL.
  • Mulai dari Azure CLI 2.54.0, az account get-access-token mengembalikan expires_on properti bersama expiresOn properti untuk waktu kedaluwarsa token.
  • Properti expires_on mewakili tanda waktu Antarmuka Sistem Operasi Portabel (POSIX) sementara expiresOn properti mewakili tanggalwaktu lokal.
  • Properti expiresOn tidak mengekspresikan "lipatan" saat Daylight Saving Time berakhir. Hal ini dapat menyebabkan masalah di negara atau wilayah tempat Daylight Saving Time diadopsi. Untuk informasi selengkapnya tentang "lipatan", lihat PEP 495 – Disambiguasi Waktu Lokal.
  • Sebaiknya aplikasi hilir menggunakan expires_on properti , karena menggunakan Universal Time Code (UTC).

Contoh output:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Pemecahan Masalah

Saat browser default Anda adalah Microsoft Edge, Anda mungkin mengalami kesalahan berikut saat mencoba masuk ke Azure secara interaktif dengan az login: "Koneksi untuk situs ini tidak aman." Untuk mengatasi masalah ini, kunjungi edge://net-internals/#hsts di Microsoft

Tepi. Tambahkan localhost di bagian "Hapus kebijakan keamanan domain" dan pilih Hapus.

Lihat juga