Delen via

Interactief aanmelden met Azure CLI

  • Artikel

Interactieve aanmeldingen bij Azure bieden een intuïtievere en flexibele gebruikerservaring. Met interactieve aanmelding met Azure CLI kunnen gebruikers zich rechtstreeks bij Azure verifiëren via de az-aanmeldingsopdracht . Dit is handig voor ad-hocbeheertaken en voor omgevingen waarvoor handmatige aanmelding is vereist, zoals klanten met meervoudige verificatie (MFA). Deze methode vereenvoudigt de toegang voor scripttests, leren en on-the-fly-beheer zonder dat u vooraf service-principals of andere niet-interactieve verificatiemethoden hoeft te configureren.

Vereisten

Interactieve aanmelding

Gebruik de opdracht az login om u interactief aan te melden . Vanaf Azure CLI versie 2.61.0 maakt Azure CLI standaard gebruik van Web Account Manager (WAM) in Windows en een browsergebaseerde aanmelding op Linux en macOS.

az login

Abonnementkiezer

Vanaf Azure CLI versie 2.61.0, als u toegang hebt tot meerdere abonnementen, wordt u gevraagd om een Azure-abonnement te selecteren op het moment van aanmelden, zoals wordt weergegeven in het volgende voorbeeld.

Retrieving subscriptions for the selection...

[Tenant and subscription selection]

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2]   Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4] * Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Information Technology Subscription' (00000000-0000-0000-0000-000000000000).

Select a subscription and tenant (Type a number or Enter for no changes): 2

Tenant: Contoso
Subscription: Finance Department Subscription (00000000-0000-0000-0000-000000000000)

[Announcements]
With the new Azure CLI login experience, you can select the subscription you want to use more easily.
Learn more about it and its configuration at https://go.microsoft.com/fwlink/?linkid=2271236

If you encounter any problem, please open an issue at https://aka.ms/azclibug

De volgende keer dat u zich aanmeldt, worden de eerder geselecteerde tenant en het abonnement gemarkeerd als de standaardwaarde met een sterretje (*) naast het nummer. Hierdoor kunt u op Enter drukken om het standaardabonnement te selecteren.

Opdrachten worden standaard uitgevoerd voor het geselecteerde abonnement. U kunt uw abonnement nog steeds az account set op elk gewenst moment wijzigen vanaf een opdrachtregel. Zie Azure-abonnementen beheren met de Azure CLI voor meer informatie.

Hier volgen enkele richtlijnen voor de abonnementskiezer om rekening mee te houden:

  • De abonnementkiezer is alleen beschikbaar in 64-bits Windows, Linux of macOS.
  • De abonnementskiezer is alleen beschikbaar wanneer u de az login opdracht gebruikt.
  • U wordt niet gevraagd om een abonnement te selecteren wanneer u zich aanmeldt met een service-principal of beheerde identiteit.

Als u de functie voor de abonnementskiezer wilt uitschakelen, stelt u de configuratie-eigenschap core.login_experience_v2 in op off.

az config set core.login_experience_v2=off
az login

Aanmelden met Web Account Manager (WAM) in Windows

Vanaf Azure CLI versie 2.61.0 is Web Account Manager (WAM) nu de standaardverificatiemethode in Windows. WAM is een Windows 10+-onderdeel dat fungeert als verificatiebroker. (Een verificatiebroker is een toepassing die wordt uitgevoerd op de computer van een gebruiker die de verificatiehanddruk en tokenonderhoud voor verbonden accounts beheert.)

Het gebruik van WAM heeft verschillende voordelen:

Als u een probleem ondervindt en wilt terugkeren naar de vorige verificatiemethode op basis van een browser, stelt u de eigenschap core.enable_broker_on_windows configuratie in op false.

az account clear
az config set core.enable_broker_on_windows=false
az login

WAM is beschikbaar in Windows 10 en hoger en op Windows Server 2019 en hoger.

Aanmelden met een browser

De Azure CLI wordt standaard ingesteld op een verificatiemethode op basis van een browser wanneer een van de volgende voorwaarden waar is:

  • Het besturingssysteem (OS) is Mac of Linux, of het Windows-besturingssysteem is ouder dan Windows 10 of Windows Server 2019.
  • De core.enable_broker_on_windows configuratie-eigenschap is ingesteld op false.

Volg deze stappen om u aan te melden met een browser:

  1. Voer de opdracht az login uit.

    az login

    Als de Azure CLI uw standaardbrowser kan openen, wordt de autorisatiecodestroom gestart en wordt de standaardbrowser geopend om een Azure-aanmeldingspagina te laden.

    Anders wordt de apparaatcodestroom gestart en wordt u geïnstrueerd om een browserpagina te openen op https://aka.ms/devicelogin. Voer vervolgens de code in die wordt weergegeven in uw terminal.

    Als er geen webbrowser beschikbaar is of de webbrowser niet kan worden geopend, kunt u de stroom van apparaatcode forceren met az login --use-device-code.

  2. Meldt u zich in de browser aan met uw accountreferenties.

Meld u aan met uw referenties op de opdrachtregel.

Geef uw Azure-gebruikersreferenties op de opdrachtregel op. Gebruik deze verificatiemethode alleen voor het leren van Azure CLI-opdrachten. Toepassingen op productieniveau moeten een service-principal of beheerde identiteit gebruiken.

Deze methode werkt niet met Microsoft-accounts of met accounts waarvoor verificatie in twee stappen is ingeschakeld. U ontvangt een interactieve verificatiebericht .

az login --user <username> --password <password>

Belangrijk

Als u wilt voorkomen dat uw wachtwoord in de console wordt weergegeven en az login interactief gebruikt, gebruikt u de read -s-opdracht onder bash.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

Gebruik de Get-Credential cmdlet onder PowerShell.

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Aanmelden met een andere tenant

U kunt een tenant selecteren om u onder die naam aan te melden met het argument --tenant. De waarde van dit argument kan een .onmicrosoft.com-domein of de Azure-object-id van de tenant zijn. Zowel interactieve als opdrachtregel aanmeldingsmethoden werken met --tenant.

In bepaalde omgevingen en vanaf Azure CLI versie 2.61.0 moet u eerst de abonnementkiezer uitschakelen door de core.login_experience_v2 configuratie-eigenschap in te stellen op off.

# disable the subscription selector (v. 2.61.0 and up)
az config set core.login_experience_v2=off

# login with a tenant ID
az login --tenant 00000000-0000-0000-0000-000000000000

Als u de abonnementskiezer opnieuw wilt inschakelen, voert u de opdracht uit az config set core.login_experience_v2=on. Zie Interactieve aanmelding voor meer informatie over de abonnementkiezer

Als u na het aanmelden uw actieve tenant wilt wijzigen, raadpleegt u Instructies voor het wijzigen van uw actieve tenant.

Aanmelden met --scope

az login --scope https://management.core.windows.net//.default

Afmelden

Als u de toegang tot Azure wilt verwijderen, gebruikt u de opdracht az logout .

az logout

Uw abonnementscache wissen

Gebruik de opdracht az account clear om uw abonnementslijst bij te werken. U moet zich opnieuw aanmelden om een bijgewerkte lijst weer te geven.

az account clear

az login

Het wissen van uw abonnementscache is technisch gezien niet hetzelfde als het afmelden bij Azure. Wanneer u uw abonnementscache echter wist, kunt u geen Azure CLI-opdrachten uitvoeren, waaronder az account set, totdat u zich opnieuw aanmeldt.

Tokens vernieuwen

Wanneer u zich aanmeldt met een gebruikersaccount, genereert en slaat Azure CLI een verificatievernieuwingstoken op. Omdat toegangstokens slechts een korte periode geldig zijn, wordt er een vernieuwingstoken uitgegeven op hetzelfde moment dat het toegangstoken wordt uitgegeven. De clienttoepassing kan dit vernieuwingstoken vervolgens uitwisselen voor een nieuw toegangstoken wanneer dat nodig is. Zie Tokens vernieuwen in het Microsoft Identity Platform voor meer informatie over de levensduur en vervaldatum van tokens.

Gebruik de opdracht az account get-access-token om het toegangstoken op te halen:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Hier volgen enkele aanvullende informatie over vervaldatums voor toegangstokens:

  • Vervaldatums worden bijgewerkt in een indeling die wordt ondersteund door azure CLI op basis van MSAL.
  • Vanaf Azure CLI 2.54.0 retourneert az account get-access-token u de expires_on eigenschap naast de expiresOn eigenschap voor de verlooptijd van het token.
  • De expires_on eigenschap vertegenwoordigt een POSIX-tijdstempel (Portable Operating System Interface), terwijl de expiresOn eigenschap een lokale datum/tijd vertegenwoordigt.
  • De expiresOn eigenschap drukt niet 'vouw' uit wanneer zomertijd eindigt. Dit kan problemen veroorzaken in landen of regio's waar zomertijd wordt aangenomen. Zie PEP 495 – Local Time Disambiguation voor meer informatie over "fold".
  • We raden downstreamtoepassingen aan om de expires_on eigenschap te gebruiken, omdat deze gebruikmaakt van de Universal Time Code (UTC).

Voorbeelduitvoer:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Probleemoplossing

Wanneer uw standaardbrowser Microsoft Edge is, treedt mogelijk de volgende fout op wanneer u zich interactief probeert aan te melden bij Azure met az login: 'De verbinding voor deze site is niet beveiligd.' Ga naar edge://net-internals/#hsts in Microsoft om dit probleem op te lossen

Rand. Voeg localhost onder 'Domeinbeveiligingsbeleid verwijderen' toe en selecteer Verwijderen.

Zie ook