使用 MFA 登录到 Azure CLI
Posted
技术标签:
【中文标题】使用 MFA 登录到 Azure CLI【英文标题】:Login to Azure CLI with MFA 【发布时间】:2021-12-23 12:14:26 【问题描述】:安装在 Windows(和 Linux?)操作系统上的 Azure CLI 显然使用设备代码授权流程来登录用户。鉴于此类用户可能需要使用多因素 (MFA) 身份验证来执行管理任务,如何使用 Azure AD 作为身份提供程序为此用例(CLI 登录、强制执行 MFA)实施 MFA?
我的理解是,Azure 的 CLI 登录实现使用浏览器进行初始身份验证 - 这样做是为了让用户不会在 CLI 中输入登录密码。
【问题讨论】:
【参考方案1】:我的理解是 Azure 对 CLI 的登录实现 使用浏览器进行初始身份验证 - 并且这样做了 用户没有在 CLI 中输入登录密码。
是的,默认情况下,在 Azure 中,当您尝试通过 cli 登录时,它会启动浏览器会话以输入您的凭据并进行进一步的日志记录。
如果您想在使用 CLI 登录门户时启用 MFA,您必须在活动目录中为每个用户启用 MFA,如下所示。
如果您想确保每个尝试通过 Azure CLI 登录的用户都必须使用多重身份验证,那么您可以通过创建 conditional access policy 来实现此目的。
我们已经在我们的环境中对此进行了测试,方法是在 AAD 中创建一个用户并启用 MFA-per user 它工作正常。
您可以参考以下示例输出以供参考:
【讨论】:
以上是关于使用 MFA 登录到 Azure CLI的主要内容,如果未能解决你的问题,请参考以下文章
[Azure - Security] Azure的多重身份验证:使用AD(Azure Active Directory)开启用户MFA