Udostępnij za pośrednictwem


Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure

Interfejs wiersza polecenia platformy Azure obsługuje kilka metod uwierzytelniania. Ogranicz uprawnienia logowania dla twojego przypadku użycia, aby zapewnić bezpieczeństwo zasobów platformy Azure.

Logowanie się do platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure

Podczas pracy z interfejsem wiersza polecenia platformy Azure dostępnych jest pięć opcji uwierzytelniania:

Metoda uwierzytelniania Korzyść
Azure Cloud Shell Usługa Azure Cloud Shell automatycznie rejestruje Cię i jest najprostszym sposobem rozpoczęcia pracy.
Logowanie interakcyjne Jest to dobra opcja podczas uczenia się poleceń interfejsu wiersza polecenia platformy Azure i uruchamiania interfejsu wiersza polecenia platformy Azure lokalnie. Zaloguj się za pomocą przeglądarki za pomocą polecenia az login . Logowanie interakcyjne zapewnia również selektor subskrypcji do automatycznego ustawiania domyślnej subskrypcji.
Logowanie przy użyciu jednostki usługi Podczas pisania skryptów użycie jednostki usługi jest zalecane. Przyznasz tylko odpowiednie uprawnienia wymagane do jednostki usługi, która zapewnia bezpieczeństwo automatyzacji.
Logowanie przy użyciu tożsamości zarządzanej Częstym wyzwaniem dla deweloperów jest zarządzanie wpisami tajnymi, poświadczeniami, certyfikatami i kluczami używanymi do zabezpieczania komunikacji między usługami. Użycie tożsamości zarządzanej eliminuje konieczność zarządzania tymi poświadczeniami.

Znajdowanie lub zmienianie bieżącej subskrypcji

Po zalogowaniu polecenia interfejsu wiersza polecenia są uruchamiane względem domyślnej subskrypcji. Jeśli masz wiele subskrypcji, zmień domyślną subskrypcję przy użyciu polecenia az account set --subscription.

az account set --subscription "<subscription ID or name>"

Aby dowiedzieć się więcej na temat zarządzania subskrypcjami platformy Azure, zobacz Jak zarządzać subskrypcjami platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure.

Tokeny odświeżania

Po zalogowaniu się przy użyciu konta użytkownika interfejs wiersza polecenia platformy Azure generuje i przechowuje token odświeżania uwierzytelniania. Ponieważ tokeny dostępu są ważne tylko przez krótki czas, token odświeżania jest wystawiany w tym samym czasie, gdy token dostępu jest wystawiany. Aplikacja kliencka może następnie w razie potrzeby wymienić ten token odświeżania dla nowego tokenu dostępu. Aby uzyskać więcej informacji na temat okresu istnienia i wygaśnięcia tokenu, zobacz Odświeżanie tokenów w Platforma tożsamości Microsoft.

Użyj polecenia az account get-access-token, aby pobrać token dostępu:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Oto kilka dodatkowych informacji na temat dat wygaśnięcia tokenu dostępu:

  • Daty wygaśnięcia są aktualizowane w formacie obsługiwanym przez interfejs wiersza polecenia platformy Azure oparty na protokole MSAL.
  • Począwszy od interfejsu wiersza polecenia platformy Azure w wersji 2.54.0, az account get-access-token zwraca expires_on właściwość wraz z właściwością expiresOn czasu wygaśnięcia tokenu.
  • Właściwość expires_on reprezentuje znacznik czasu przenośnego interfejsu systemu operacyjnego (POSIX), podczas gdy expiresOn właściwość reprezentuje lokalną datę/godzinę.
  • Właściwość expiresOn nie wyraża "fałszu", gdy kończy się czas letni. Może to spowodować problemy w krajach lub regionach, w których przyjmuje się czas letni. Aby uzyskać więcej informacji na temat "składania", zobacz PEP 495 – uściślanie czasu lokalnego.
  • Zalecamy używanie właściwości przez aplikacje expires_on podrzędne, ponieważ używa ono kodu uniwersalnego czasu (UTC).

Przykładowe wyjście:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Uwaga

W zależności od metody logowania dzierżawa może mieć zasady dostępu warunkowego, które ograniczają dostęp do określonych zasobów.

Zobacz też