Authentifizieren bei Azure mit Azure CLI

Die Azure CLI unterstützt verschiedene Authentifizierungsmethoden. Schränken Sie die Anmeldeberechtigungen für Ihren Anwendungsfall ein, damit Ihre Azure-Ressourcen sicher bleiben.

Anmelden bei Azure mit Azure CLI

Beim Arbeiten mit der Azure CLI gibt es fünf Authentifizierungsoptionen:

Authentifizierungsmethode Vorteile
Azure Cloud Shell Azure Cloud Shell protokolliert Sie automatisch und ist die einfachste Möglichkeit, loszulegen.
Interaktives Anmelden Dies ist eine gute Option, wenn Sie gerade dabei sind, Azure CLI-Befehle kennenzulernen, und die Azure CLI lokal ausführen. Melden Sie sich über Ihren Browser mit dem Az-Anmeldebefehl an . Bei der interaktiven Anmeldung erhalten Sie außerdem eine Abonnementauswahl, um Ihr Standardabonnement automatisch festzulegen.
Anmelden mit einem Dienstprinzipal Wenn Sie Skripts schreiben, sind Dienstprinzipale die empfohlene Methode. Sie gewähren einem Dienstprinzipal nur die erforderlichen Mindestberechtigungen und sorgen so für die Sicherheit Ihrer Automatisierung.
Anmelden mit einer verwalteten Identität Die Verwaltung von Geheimnissen, Anmeldeinformationen, Zertifikaten und Schlüsseln für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar. Indem Sie eine verwaltete Identität verwenden, müssen Sie die Anmeldeinformationen nicht mehr verwalten.

Suchen oder Ändern Ihres aktuellen Abonnements

Nachdem Sie sich anmelden, werden CLI-Befehle gegen Ihr Standardabonnement ausgeführt. Wenn Sie über mehrere Abonnements verfügen, ändern Sie Ihr Standardabonnement mithilfe von az account set --subscription.

az account set --subscription "<subscription ID or name>"

Weitere Informationen zum Verwalten von Azure-Abonnements finden Sie unter Verwalten von Azure-Abonnements mit der Azure CLI.

Aktualisierungstoken

Wenn Sie sich mit einem Benutzerkonto anmelden, generiert und speichert die Azure CLI ein Aktualisierungstoken für die Authentifizierung. Da Zugriffstoken nur kurze Zeit gültig sind, wird gleichzeitig mit dem Zugriffstoken auch ein Aktualisierungstoken ausgegeben. Die Clientanwendung kann dann dieses Aktualisierungstoken bei Bedarf gegen ein neues Zugriffstoken austauschen. Weitere Informationen zur Lebensdauer und Ablauf von Token finden Sie unter Aktualisierungstoken in der Microsoft Identity Platform.

Verwenden Sie den Befehl "az account get-access-token" zum Abrufen des Zugriffstokens:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Hier sind einige zusätzliche Informationen zum Ablaufdatum von Zugriffstoken:

  • Ablaufdaten werden in einem Format aktualisiert, das von MSAL-basierter Azure CLI unterstützt wird.
  • Ab Azure CLI 2.54.0 gibt az account get-access-token die Eigenschaft zusammen mit der expires_on Eigenschaft für die expiresOn Tokenablaufzeit zurück.
  • Die expires_on Eigenschaft stellt einen POSIX-Zeitstempel (Portable Operating System Interface) dar, während die expiresOn Eigenschaft eine lokale Datumstime darstellt.
  • Die Eigenschaft drückt keine "Faltung" aus, wenn Sommerzeit expiresOn endet. Dies kann zu Problemen in Ländern oder Regionen führen, in denen Sommerzeit angenommen wird. Weitere Informationen zur "Faltung" finden Sie unter PEP 495 – Ortszeitdeutigkeit.
  • Es wird empfohlen, für nachgeschaltete Anwendungen die expires_on Eigenschaft zu verwenden, da sie den Universal Time Code (UTC) verwendet.

Beispielausgabe:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Hinweis

Je nachdem, welche Anmeldemethode Sie verwenden, gelten für Ihren Mandanten möglicherweise Richtlinien für bedingten Zugriff, die Ihren Zugriff auf bestimmte Ressourcen einschränken.

Siehe auch