Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure
Interfejs wiersza polecenia platformy Azure obsługuje kilka metod uwierzytelniania. Ogranicz uprawnienia logowania dla twojego przypadku użycia, aby zapewnić bezpieczeństwo zasobów platformy Azure.
Logowanie się do platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure
Podczas pracy z interfejsem wiersza polecenia platformy Azure dostępnych jest pięć opcji uwierzytelniania:
| Metoda uwierzytelniania | Korzyść |
|---|---|
| Azure Cloud Shell | Usługa Azure Cloud Shell automatycznie rejestruje Cię i jest najprostszym sposobem rozpoczęcia pracy. |
| Logowanie interakcyjne | Jest to dobra opcja podczas uczenia się poleceń interfejsu wiersza polecenia platformy Azure i uruchamiania interfejsu wiersza polecenia platformy Azure lokalnie. Zaloguj się za pomocą przeglądarki za pomocą polecenia az login . |
| Logowanie interakcyjne (wersja zapoznawcza) | Ta opcja wyświetla monit o wybranie subskrypcji podczas korzystania z polecenia az login . |
| Logowanie przy użyciu jednostki usługi | Podczas pisania skryptów użycie jednostki usługi jest zalecane. Przyznasz tylko odpowiednie uprawnienia wymagane do jednostki usługi, która zapewnia bezpieczeństwo automatyzacji. |
| Logowanie przy użyciu tożsamości zarządzanej | Częstym wyzwaniem dla deweloperów jest zarządzanie wpisami tajnymi, poświadczeniami, certyfikatami i kluczami używanymi do zabezpieczania komunikacji między usługami. Użycie tożsamości zarządzanej eliminuje konieczność zarządzania tymi poświadczeniami. |
| Logowanie przy użyciu Menedżera kont sieci Web (WAM) | WAM to składnik systemu Windows 10+, który działa jako broker uwierzytelniania. WAM zapewnia ulepszone zabezpieczenia i ulepszenia są dostarczane z systemem Windows. |
Znajdowanie lub zmienianie bieżącej subskrypcji
Po zalogowaniu polecenia interfejsu wiersza polecenia są uruchamiane względem domyślnej subskrypcji. Jeśli masz wiele subskrypcji, zmień domyślną subskrypcję przy użyciu polecenia az account set --subscription.
az account set --subscription "<subscription ID or name>"
Inną opcją jest użycie wersji zapoznawczej uwierzytelniania interfejsu wiersza polecenia platformy Azure 2.59.0. Wersja zapoznawcza uwierzytelniania udostępnia listę dzierżaw i subskrypcji podczas logowania i zostanie wyświetlony monit o wybranie subskrypcji domyślnej.
Aby dowiedzieć się więcej na temat zarządzania subskrypcjami platformy Azure, zobacz Jak zarządzać subskrypcjami platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure.
Tokeny odświeżania
Po zalogowaniu się przy użyciu konta użytkownika interfejs wiersza polecenia platformy Azure generuje i przechowuje token odświeżania uwierzytelniania. Ponieważ tokeny dostępu są ważne tylko przez krótki czas, token odświeżania jest wystawiany w tym samym czasie, gdy token dostępu jest wystawiany. Aplikacja kliencka może następnie w razie potrzeby wymienić ten token odświeżania dla nowego tokenu dostępu. Aby uzyskać więcej informacji na temat okresu istnienia i wygaśnięcia tokenu, zobacz Odświeżanie tokenów w Platforma tożsamości Microsoft.
Użyj polecenia az account get-access-token, aby pobrać token dostępu:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Oto kilka dodatkowych informacji na temat dat wygaśnięcia tokenu dostępu:
- Daty wygaśnięcia są aktualizowane w formacie obsługiwanym przez interfejs wiersza polecenia platformy Azure oparty na protokole MSAL.
- Począwszy od interfejsu wiersza polecenia platformy Azure w wersji 2.54.0,
az account get-access-tokenzwracaexpires_onwłaściwość wraz z właściwościąexpiresOnczasu wygaśnięcia tokenu. - Właściwość
expires_onreprezentuje znacznik czasu przenośnego interfejsu systemu operacyjnego (POSIX), podczas gdyexpiresOnwłaściwość reprezentuje lokalną datę/godzinę. - Właściwość
expiresOnnie wyraża "fałszu", gdy kończy się czas letni. Może to spowodować problemy w krajach lub regionach, w których przyjmuje się czas letni. Aby uzyskać więcej informacji na temat "składania", zobacz PEP 495 – uściślanie czasu lokalnego. - Zalecamy używanie właściwości przez aplikacje
expires_onpodrzędne, ponieważ używa ono kodu uniwersalnego czasu (UTC).
Przykładowe wyjście:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Uwaga
W zależności od metody logowania dzierżawa może mieć zasady dostępu warunkowego, które ograniczają dostęp do określonych zasobów.