Anmelden mit der Azure CLI
Es gibt mehrere Authentifizierungsarten für die Azure-Befehlszeilenschnittstelle (Command-Line Interface, CLI), wie melden Sie sich also an? Den einfachsten Einstieg ermöglicht der Azure Cloud Shell-Dienst, der Sie automatisch anmeldet. Lokal können Sie sich interaktiv über Ihren Browser mit dem Befehl az login anmelden. Wenn Sie Skripts schreiben, ist der empfohlene Ansatz die Verwendung von Dienstprinzipalen. Indem Sie einem Dienstprinzipal nur die erforderlichen Mindestberechtigungen erteilen, können Sie Ihre Automatisierung schützen.
Wenn Sie sich mit einem Benutzerkonto anmelden, generiert und speichert die Azure CLI ein Authentifizierungsaktualisierungstoken. Weitere Informationen zur Konfiguration von Aktualisierungs- und Sitzungstoken finden Sie unter Richtlinieneigenschaften der Aktualisierungs- und Sitzungstokenlebensdauer.
Nachdem Sie sich anmelden, werden CLI-Befehle gegen Ihr Standardabonnement ausgeführt. Sollten Sie über mehrere Abonnements verfügen, können Sie das Standardabonnement ändern.
Hinweis
Je nach Ihrer Anmeldemethode verfügt Ihr Mandanten möglicherweise über Richtlinien für bedingten Zugriff, die Ihren Zugriff auf bestimmte Ressourcen einschränken.
Interaktives Anmelden
Die Standardauthentifizierungsmethode für Anmeldungen der Azure CLI ist die Anmeldung über einen Webbrowser mit Zugriffstoken.
Führen Sie den Befehl
login
aus.az login
Wenn die CLI Ihren Standardbrowser öffnen kann, wird der Autorisierungscodeflow initiiert und der Standardbrowser geöffnet, um eine Azure-Anmeldeseite zu laden.
Andernfalls wird der Gerätecodeflow initiiert, und Sie werden aufgefordert, eine Browserseite unter https://aka.ms/devicelogin zu öffnen und den Code einzugeben, der im Terminal angezeigt wird.
Falls kein Webbrowser verfügbar ist oder er nicht geöffnet werden kann, können Sie den Gerätecodefluss mit az login --use-device-code erzwingen.
Melden Sie sich im Browser mit Ihren Anmeldeinformationen an.
Anmelden mit Anmeldeinformationen über die Befehlszeile
Geben Sie Ihre Azure-Benutzeranmeldeinformationen in der Befehlszeile an.
Hinweis
Dieser Ansatz funktioniert nicht für Microsoft-Konten oder Konten, für die die Authentifizierung in zwei Schritten aktiviert ist.
az login -u <username> -p <password>
Wichtig
Wenn Sie die Anzeige Ihres Kennworts in der Konsole vermeiden möchten und az login
interaktiv verwenden, können Sie den Befehl read -s
unter bash
nutzen.
read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS
Verwenden Sie in PowerShell das Cmdlet Get-Credential
.
$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password
Anmelden mit einem Dienstprinzipal
Dienstprinzipale sind Konten, die nicht an einen bestimmten Benutzer gebunden sind und über Berechtigungen verfügen können, die ihnen über vordefinierte Rollen zugewiesen werden. Die Authentifizierung mit einem Dienstprinzipal ist die beste Methode zum Schreiben sicherer Skripts oder Programme und ermöglicht das Anwenden von Berechtigungseinschränkungen und lokal gespeicherten statischen Anmeldeinformationen. Weitere Informationen finden Sie unter Arbeiten mit Azure-Dienstprinzipalen über die Azure CLI.
Für die Anmeldung mit einem Dienstprinzipal benötigen Sie Folgendes:
- Die dem Dienstprinzipal zugeordnete URL bzw. den zugeordneten Namen
- Das Dienstprinzipalkennwort oder das X509-Zertifikat (im PEM-Format), das zum Erstellen des Dienstprinzipals verwendet wurde
- Den dem Dienstprinzipal zugeordneten Mandanten, als
.onmicrosoft.com
-Domäne oder Azure-Objekt-ID
Hinweis
In einer PEM-Datei muss ein Zertifikat (CERTIFICATE) an den privaten Schlüssel (PRIVATE KEY) angefügt werden. Ein Beispiel für ein PEM-Dateiformat finden Sie unter Zertifikatbasierte Authentifizierung.
Wichtig
Falls Ihr Dienstprinzipal ein in Key Vault gespeichertes Zertifikat nutzt, muss der private Schlüssel des Zertifikats verfügbar sein, ohne dass eine Anmeldung bei Azure erforderlich ist. Informationen zum Abrufen des Zertifikats für az login
finden Sie unter Abrufen des Zertifikats aus Key Vault.
az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>
Wichtig
Wenn Sie die Anzeige Ihres Kennworts in der Konsole vermeiden möchten und az login
interaktiv verwenden, können Sie den Befehl read -s
unter bash
nutzen.
read -sp "Azure password: " AZ_PASS && echo && az login --service-principal -u <app-id> -p $AZ_PASS --tenant <tenant>
Verwenden Sie in PowerShell das Cmdlet Get-Credential
.
$AzCred = Get-Credential -UserName <app-id>
az login --service-principal -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password --tenant <tenant>
Weitere Informationen zu PEM-Dateiformaten finden Sie unter Arbeiten mit Azure-Dienstprinzipalen über die Azure CLI.
Anmelden mit einem anderen Mandanten
Sie können mit dem Argument --tenant
einen Mandanten auswählen, unter dem Sie sich anmelden möchten. Der Wert dieses Arguments kann eine Domäne vom Typ .onmicrosoft.com
oder die Azure-Objekt-ID für den Mandanten sein. Mit --tenant
können sowohl interaktive Methoden als auch die Befehlszeile für die Anmeldung verwendet werden.
az login --tenant <tenant>
Anmelden mit einer verwalteten Identität
Auf Ressourcen, die für verwaltete Identitäten von Azure-Ressourcen konfiguriert sind, können Sie sich mit der verwalteten Identität anmelden. Das Anmelden mit der Identität der Ressource erfolgt über das Flag --identity
.
az login --identity
Verfügt die Ressource über mehrere benutzerseitig zugewiesene verwaltete Identitäten und keine systemseitig zugewiesene Identität, müssen Sie für die Anmeldung die Client-ID, Objekt-ID oder Ressourcen-ID der benutzerseitig zugewiesenen verwalteten Identität mit --username
angeben.
az login --identity --username <client_id|object_id|resource_id>
Weitere Informationen zu verwalteten Identitäten für Azure-Ressourcen finden Sie unter Konfigurieren von verwalteten Identitäten für Azure-Ressourcen auf einem virtuellen Azure-Computer mithilfe der Azure-Befehlszeilenschnittstelle und Verwenden von verwalteten Identitäten für Azure-Ressourcen auf einem virtuellen Azure-Computer für die Anmeldung.
Anmelden mit Web Account Manager (WAM)
Die Azure CLI bietet jetzt Vorschauunterstützung für Web Account Manager (WAM). WAM ist eine Komponente für Windows 10+, die als Authentifizierungsbroker fungiert. (Ein Authentifizierungsbroker ist eine Anwendung, die auf dem Computer eines Benutzers ausgeführt wird und die Authentifizierungs-Handshakes und die Tokenwartung für verbundene Konten verwaltet.)
Die Verwendung von WAM bietet mehrere Vorteile:
- Erhöhte Sicherheit. Siehe Bedingter Zugriff: Tokenschutz (Vorschau).
- Support für Windows Hello, Richtlinien für bedingten Zugriff und FIDO-Schlüssel.
- Optimiertes einmaliges Anmelden.
- In Windows enthaltene Fehlerbehebungen und Verbesserungen.
Die Anmeldung mit WAM ist eine optionale Vorschaufunktion. Nach der Aktivierung wird die vorherige browserbasierte Benutzeroberfläche ersetzt.
az config set core.allow_broker=true
az account clear
az login
Im derzeitigen Entwicklungsstage gibt es einige bekannte Einschränkungen für WAM:
- WAM ist unter Windows 10 und höher sowie unter Windows Server 2019 und höher verfügbar. Unter Mac, Linux und früheren Windows-Versionen führen wir automatisch ein Fallback auf einen Browser durch.
- Microsoft-Konten (beispielsweise @outlook.com oder @live.com) werden derzeit nicht unterstützt. Wir arbeiten mit dem Microsoft-Identitätsteam zusammen, um den Support zu einem späteren Zeitpunkt anzubieten.