Verifiëren bij Azure met behulp van Azure CLI
De Azure CLI ondersteunt verschillende verificatiemethoden. Beperk aanmeldingsmachtigingen voor uw use-case om uw Azure-resources veilig te houden.
Aanmelden bij Azure met Azure CLI
Er zijn vijf verificatieopties bij het werken met de Azure CLI:
| Verificatiemethode | Voordeel |
|---|---|
| Azure Cloud Shell | Azure Cloud Shell meldt u automatisch aan en is de eenvoudigste manier om aan de slag te gaan. |
| Interactief aanmelden | Dit is een goede optie bij het leren van Azure CLI-opdrachten en het lokaal uitvoeren van de Azure CLI. Meld u aan via uw browser met de opdracht az login . Interactieve aanmelding biedt u ook een abonnementkiezer om automatisch uw standaardabonnement in te stellen. |
| Aanmelden met een service-principal | Wanneer u scripts schrijft, is het gebruik van een service-principal de aanbevolen benadering. U verleent alleen de juiste machtigingen die nodig zijn voor een service-principal om uw automatisering veilig te houden. |
| Aanmelden met een beheerde identiteit | Een veelvoorkomende uitdaging voor ontwikkelaars is het beheer van geheimen, referenties, certificaten en sleutels om communicatie tussen services te beveiligen. Als u een beheerde identiteit gebruikt, hoeft u deze referenties niet meer te beheren. |
Uw huidige abonnement zoeken of wijzigen
Nadat u zich hebt aangemeld, worden CLI-opdrachten uitgevoerd voor uw standaardabonnement. Als u meerdere abonnementen hebt, wijzigt u uw standaardabonnement met behulp van az account set --subscription.
az account set --subscription "<subscription ID or name>"
Zie Azure-abonnementen beheren met de Azure CLI voor meer informatie over het beheren van Azure-abonnementen.
Tokens vernieuwen
Wanneer u zich aanmeldt met een gebruikersaccount, genereert en slaat Azure CLI een verificatievernieuwingstoken op. Omdat toegangstokens slechts een korte periode geldig zijn, wordt er een vernieuwingstoken uitgegeven op hetzelfde moment dat het toegangstoken wordt uitgegeven. De clienttoepassing kan dit vernieuwingstoken vervolgens uitwisselen voor een nieuw toegangstoken wanneer dat nodig is. Zie Tokens vernieuwen in het Microsoft Identity Platform voor meer informatie over de levensduur en vervaldatum van tokens.
Gebruik de opdracht az account get-access-token om het toegangstoken op te halen:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Hier volgen enkele aanvullende informatie over vervaldatums voor toegangstokens:
- Vervaldatums worden bijgewerkt in een indeling die wordt ondersteund door azure CLI op basis van MSAL.
- Vanaf Azure CLI 2.54.0 retourneert
az account get-access-tokenu deexpires_oneigenschap naast deexpiresOneigenschap voor de verlooptijd van het token. - De
expires_oneigenschap vertegenwoordigt een POSIX-tijdstempel (Portable Operating System Interface), terwijl deexpiresOneigenschap een lokale datum/tijd vertegenwoordigt. - De
expiresOneigenschap drukt niet 'vouw' uit wanneer zomertijd eindigt. Dit kan problemen veroorzaken in landen of regio's waar zomertijd wordt aangenomen. Zie PEP 495 – Local Time Disambiguation voor meer informatie over "fold". - We raden downstreamtoepassingen aan om de
expires_oneigenschap te gebruiken, omdat deze gebruikmaakt van de Universal Time Code (UTC).
Voorbeelduitvoer:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Notitie
Afhankelijk van uw aanmeldingsmethode heeft uw tenant mogelijk beleid voor voorwaardelijke toegang waarmee u de toegang tot bepaalde resources beperkt.
