Udostępnij za pośrednictwem

Zaloguj się do platformy Azure interaktywnie przy użyciu Azure CLI

Interaktywne logowania do platformy Azure oferują bardziej intuicyjne i elastyczne środowisko użytkownika. Za pomocą Azure CLI możesz uwierzytelnić się w platformie Azure bezpośrednio za pomocą polecenia az login. To polecenie jest przydatne w przypadku zadań zarządzania ad hoc i środowisk wymagających ręcznego logowania, takich jak scenariusze z uwierzytelnianiem wieloskładnikowym (MFA). Ta metoda upraszcza dostęp do testowania skryptów, uczenia się i zarządzania na bieżąco bez konieczności wstępnego konfigurowania jednostek usługi lub innych metod uwierzytelniania nieinteraktywnego.

Ważne

Począwszy od września 2025 r., firma Microsoft będzie wymagać uwierzytelniania wieloskładnikowego (MFA) dla interfejsu wiersza polecenia platformy Azure i innych narzędzi wiersza polecenia. Ta zmiana dotyczy tylko tożsamości użytkowników identyfikatora Entra firmy Microsoft i nie ma wpływu na tożsamości obciążeń, takie jak jednostki usługi lub tożsamości zarządzane.

Jeśli używasz az login z nazwą użytkownika i hasłem do uwierzytelniania skryptów lub zautomatyzowanych przepływów pracy, nadszedł czas na migrację do tożsamości roboczej. Aby uzyskać więcej informacji, zobacz Wpływ uwierzytelniania wieloskładnikowego na interfejs wiersza polecenia platformy Azure w scenariuszach automatyzacji.

Wymagania wstępne

Logowanie interakcyjne

Aby zalogować się interaktywnie, użyj polecenia az login . Począwszy od interfejsu wiersza polecenia platformy Azure w wersji 2.61.0, interfejs wiersza polecenia platformy Azure domyślnie używa menedżera kont internetowych (WAM) w systemie Windows oraz logowania opartego na przeglądarce w systemach Linux i macOS.

az login

Selektor subskrypcji

Począwszy od interfejsu wiersza polecenia platformy Azure w wersji 2.61.0, jeśli masz dostęp do wielu subskrypcji, zostanie wyświetlony monit o wybranie subskrypcji platformy Azure w momencie logowania, jak pokazano w poniższym przykładzie.

Retrieving subscriptions for the selection...

[Tenant and subscription selection]

No    Subscription name                     Subscription ID                           Tenant name
----  ------------------------------------  ----------------------------------------  --------------
[1]   Facility Services Subscription        00000000-0000-0000-0000-000000000000      Contoso
[2]   Finance Department Subscription       00000000-0000-0000-0000-000000000000      Contoso
[3]   Human Resources Subscription          00000000-0000-0000-0000-000000000000      Contoso
[4] * Information Technology Subscription   00000000-0000-0000-0000-000000000000      Contoso

The default is marked with an *; the default tenant is 'Contoso' and subscription is
'Information Technology Subscription' (00000000-0000-0000-0000-000000000000).

Select a subscription and tenant (Type a number or Enter for no changes): 2

Tenant: Contoso
Subscription: Finance Department Subscription (00000000-0000-0000-0000-000000000000)

[Announcements] With the new Azure CLI login experience, you can select the subscription you want to
use more easily. Learn more about it and its configuration at
https://go.microsoft.com/fwlink/?linkid=2271236

If you encounter any problems, open an issue at https://aka.ms/azclibug

Podczas następnego logowania się, wcześniej wybrany klient i subskrypcja zostaną oznaczone jako domyślne gwiazdką (*) przy ich numerze. To oznaczenie umożliwia naciśnięcie Enter, aby wybrać domyślną subskrypcję.

Domyślnie polecenia są uruchamiane względem wybranej subskrypcji. Użyj polecenia az account set , aby zmienić subskrypcję z wiersza polecenia w dowolnym momencie. Aby uzyskać więcej informacji, zobacz Jak zarządzać subskrypcjami platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure.

Poniżej przedstawiono kilka wskazówek dotyczących selektora subskrypcji, które należy wziąć pod uwagę:

  • Selektor subskrypcji jest dostępny tylko w 64-bitowych systemach Windows, Linux lub macOS.
  • Selektor subskrypcji jest dostępny tylko w przypadku korzystania z az login polecenia .
  • Podczas logowania się przy użyciu jednostki usługi lub tożsamości zarządzanej nie zostanie wyświetlony monit o wybranie subskrypcji.

Jeśli chcesz wyłączyć funkcję selektora subskrypcji, ustaw właściwość konfiguracji core.login_experience_v2 na off.

az config set core.login_experience_v2=off
az login

Logowanie się przy użyciu Menedżera kont sieci Web (WAM) w systemie Windows

Począwszy od wersji interfejsu wiersza polecenia platformy Azure 2.61.0, Menedżer kont sieci Web (WAM) jest domyślną metodą uwierzytelniania w systemie Windows. WAM to składnik systemu Windows 10+, który działa jako broker uwierzytelniania. Broker uwierzytelniania to aplikacja uruchamiana na komputerze użytkownika. Zarządza procedurami uwierzytelniania i zarządzaniem tokenami dla połączonych kont.

Korzystanie z WAM ma kilka korzyści:

  • Zwiększone zabezpieczenia. Zobacz dostęp warunkowy, ochrona tokenu (wersja próbna).
  • Obsługa funkcji Windows Hello, zasad dostępu warunkowego i kluczy FIDO.
  • Usprawnione logowanie jednokrotne.
  • Poprawki błędów i ulepszenia dostarczane z systemem Windows.

Jeśli wystąpi problem i chcesz przywrócić poprzednią metodę uwierzytelniania opartą na przeglądarce, ustaw właściwość konfiguracji core.enable_broker_on_windows na false.

az account clear
az config set core.enable_broker_on_windows=false
az login

WAM jest dostępny w systemie Windows 10 lub nowszym oraz w systemie Windows Server 2019 i nowszych wersjach.

Logowanie przy użyciu przeglądarki

Azure CLI domyślnie używa metody uwierzytelniania opartej na przeglądarce, gdy zachodzi jeden z następujących warunków:

  • System operacyjny to Linux, macOS lub Windows OS jest starszy niż Windows 10 lub Windows Server 2019.
  • Właściwość konfiguracji core.enable_broker_on_windows jest ustawiona na wartość false.

Aby zalogować się za pomocą przeglądarki, wykonaj następujące kroki:

  1. Uruchom polecenie az login.

    az login

    Jeśli interfejs wiersza polecenia platformy Azure może otworzyć domyślną przeglądarkę, inicjuje przepływ kodu autoryzacji i otwiera domyślną przeglądarkę, aby załadować stronę logowania platformy Azure.

    W przeciwnym razie inicjuje przepływ kodu urządzenia i nakazuje otwarcie strony przeglądarki pod adresem https://aka.ms/devicelogin. Następnie wprowadź kod wyświetlany w terminalu.

    Jeśli żadna przeglądarka internetowa nie jest dostępna lub nie można otworzyć przeglądarki internetowej, możesz wymusić przepływ kodu urządzenia za pomocą polecenia az login --use-device-code.

  2. Zaloguj się w przeglądarce, używając danych swojego konta.

Logowanie przy użyciu poświadczeń w wierszu polecenia

Podaj poświadczenia użytkownika platformy Azure w wierszu polecenia. Ta metoda uwierzytelniania powinna być używana tylko podczas interaktywnej pracy z interfejsem wiersza polecenia platformy Azure. W przypadku aplikacji na poziomie produkcyjnym użyj jednostki usługi lub tożsamości zarządzanej.

Takie podejście nie działa z kontami Microsoft ani kontami z włączonym uwierzytelnianiem wieloskładnikowym (MFA). Otrzymasz komunikat dotyczący uwierzytelniania interakcyjnego .

az login --user <username> --password <password>

Ważne

Aby uniknąć wyświetlania hasła w terminalu podczas interaktywnego korzystania z az login, użyj polecenia read -s w Bashu.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

W programie PowerShell użyj polecenia cmdlet Get-Credential.

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Zaloguj się za pomocą innego klienta

Możesz wybrać najemcę, aby zalogować się za pomocą argumentu --tenant. Wartość tego argumentu może być domeną lub identyfikatorem obiektu dla dzierżawy na platformie Azure. Metody logowania interaktywnego i wiersza poleceń działają z --tenant.

W przypadku wybrania środowisk i rozpoczęcia pracy z interfejsem wiersza polecenia platformy Azure w wersji 2.61.0 należy najpierw wyłączyć selektor subskrypcji, ustawiając core.login_experience_v2 właściwość konfiguracji na off.

# disable the subscription selector (v. 2.61.0 and up)
az config set core.login_experience_v2=off

# login with a tenant ID
az login --tenant 00000000-0000-0000-0000-000000000000

Aby ponownie włączyć selektor subskrypcji, uruchom polecenie az config set core.login_experience_v2=on. Aby uzyskać więcej informacji na temat selektora subskrypcji, zobacz Interactive login.

Aby zmienić aktywnego najemcę po zalogowaniu, zobacz Jak zmienić aktywnego najemcę.

Logowanie przy użyciu --scope

az login --scope https://management.core.windows.net//.default

Wyloguj się

Aby wylogować się z platformy Azure, użyj polecenia az logout .

az logout

Wyczyść pamięć podręczną subskrypcji

Aby zaktualizować listę subskrypcji, użyj polecenia az account clear. Aby wyświetlić zaktualizowaną listę, musisz zalogować się ponownie.

az account clear

az login

Wyczyszczenie pamięci podręcznej subskrypcji nie jest technicznie tym samym procesem, co wylogowywanie się z platformy Azure. Jednak po wyczyszczeniu pamięci podręcznej subskrypcji nie można uruchamiać poleceń Azure CLI, w tym az account set, dopóki nie zalogujesz się ponownie.

Odświeżanie tokenów

Po zalogowaniu się przy użyciu konta użytkownika interfejs wiersza polecenia platformy Azure generuje i przechowuje token odświeżania uwierzytelniania. Ponieważ tokeny dostępu są ważne tylko przez krótki czas, token odświeżania jest wystawiany w tym samym czasie, gdy token dostępu jest wystawiany. Aplikacja kliencka może następnie, jeśli to konieczne, wymienić ten token odświeżania na nowy token dostępu. Aby uzyskać więcej informacji na temat okresu istnienia i wygasania tokenów, zobacz Odświeżanie tokenów na platformie tożsamości firmy Microsoft.

Użyj polecenia az account get-access-token , aby pobrać token dostępu:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Oto kilka dodatkowych informacji na temat dat wygaśnięcia tokenu dostępu:

  • Daty wygaśnięcia są aktualizowane w formacie obsługiwanym przez interfejs wiersza polecenia platformy Azure oparty na protokole MSAL.
  • Począwszy od Azure CLI 2.54.0, az account get-access-token zwraca właściwość expires_on oraz właściwość expiresOn, które dotyczą czasu wygaśnięcia tokenu.
  • Właściwość expires_on reprezentuje znacznik czasu przenośnego interfejsu systemu operacyjnego (POSIX), podczas gdy expiresOn właściwość reprezentuje lokalną datę/godzinę.
  • Właściwość expiresOn nie wyraża "zmiany", gdy kończy się czas letni. Może to spowodować problemy w krajach lub regionach, w których przyjmuje się czas letni. Aby uzyskać więcej informacji na temat "rozróżnienia czasu lokalnego", zobacz PEP 495 – Rozróżnienie czasu lokalnego.
  • Zalecamy używanie właściwości expires_on w aplikacjach podrzędnych, ponieważ wykorzystuje uniwersalny czas koordynowany (UTC).

Przykładowy wynik:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Rozwiązywanie problemów

Połączenie dla tej witryny nie jest bezpieczne

Gdy domyślna przeglądarka to Microsoft Edge, może wystąpić następujący błąd podczas próby interaktywnego zalogowania się na platformie Azure przy użyciu az login: "Połączenie dla tej witryny nie jest bezpieczne." Aby rozwiązać ten problem, odwiedź stronę edge://net-internals/#hsts w przeglądarce Microsoft Edge. Dodaj localhost w obszarze "Usuń zasady zabezpieczeń domeny" i wybierz pozycję Usuń.

Wymagane jest uwierzytelnianie interakcyjne

Ten komunikat jest wyświetlany podczas używania tożsamości użytkownika do uwierzytelniania na platformie Azure, a uwierzytelnianie wieloskładnikowe jest wymagane. Rozwiązaniem jest użycie tożsamości obciążenia , takiej jak jednostka usługi lub tożsamość zarządzana do uwierzytelniania na platformie Azure.

Nie udało się uwierzytelnić wobec klienta

Ten błąd występuje, gdy pojedyncza tożsamość użytkownika Entra należy do wielu dzierżawców platformy Azure. Azure CLI przegląda dostępne dzierżawy i próbuje uwierzytelnić. Aby zalogować się przy użyciu wybranego klienta, użyj parametru --tenant . Aby uzyskać więcej informacji, zobacz Logowanie się przy użyciu innego najemcy.

Dalsze kroki