Authentifizieren bei Azure mit Azure CLI
Die Azure CLI unterstützt verschiedene Authentifizierungsmethoden. Schränken Sie die Anmeldeberechtigungen für Ihren Anwendungsfall ein, damit Ihre Azure-Ressourcen sicher bleiben.
Anmelden bei Azure mit Azure CLI
Beim Arbeiten mit der Azure CLI gibt es fünf Authentifizierungsoptionen:
| Authentifizierungsmethode | Vorteile |
|---|---|
| Azure Cloud Shell | Azure Cloud Shell protokolliert Sie automatisch und ist die einfachste Möglichkeit, loszulegen. |
| Interaktives Anmelden | Dies ist eine gute Option, wenn Sie gerade dabei sind, Azure CLI-Befehle kennenzulernen, und die Azure CLI lokal ausführen. Melden Sie sich über Ihren Browser mit dem Az-Anmeldebefehl an . |
| Interaktive Anmeldung (Vorschau) | Mit dieser Option werden Sie aufgefordert, Ihr Abonnement bei Verwendung des Az-Anmeldebefehls zu wählen. |
| Anmelden mit einem Dienstprinzipal | Wenn Sie Skripts schreiben, sind Dienstprinzipale die empfohlene Methode. Sie gewähren einem Dienstprinzipal nur die erforderlichen Mindestberechtigungen und sorgen so für die Sicherheit Ihrer Automatisierung. |
| Anmelden mit einer verwalteten Identität | Die Verwaltung von Geheimnissen, Anmeldeinformationen, Zertifikaten und Schlüsseln für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar. Indem Sie eine verwaltete Identität verwenden, müssen Sie die Anmeldeinformationen nicht mehr verwalten. |
| Anmelden mit Web Account Manager (WAM) | WAM ist eine Komponente für Windows 10+, die als Authentifizierungsbroker fungiert. WAM bietet erweiterte Sicherheit und Verbesserungen und ist im Lieferumfang von Windows enthalten. |
Suchen oder Ändern Ihres aktuellen Abonnements
Nachdem Sie sich anmelden, werden CLI-Befehle gegen Ihr Standardabonnement ausgeführt. Wenn Sie über mehrere Abonnements verfügen, ändern Sie Ihr Standardabonnement mithilfe von az account set --subscription.
az account set --subscription "<subscription ID or name>"
Eine weitere Option besteht darin, die Authentifizierungsvorschau von Azure CLI 2.59.0 zu verwenden. Die Authentifizierungsvorschau stellt zum Zeitpunkt der Anmeldung eine Mandanten- und Abonnementliste bereit, und Sie werden aufgefordert, ein Standardabonnement auszuwählen.
Weitere Informationen zum Verwalten von Azure-Abonnements finden Sie unter Verwalten von Azure-Abonnements mit der Azure CLI.
Aktualisierungstoken
Wenn Sie sich mit einem Benutzerkonto anmelden, generiert und speichert die Azure CLI ein Aktualisierungstoken für die Authentifizierung. Da Zugriffstoken nur kurze Zeit gültig sind, wird gleichzeitig mit dem Zugriffstoken auch ein Aktualisierungstoken ausgegeben. Die Clientanwendung kann dann dieses Aktualisierungstoken bei Bedarf gegen ein neues Zugriffstoken austauschen. Weitere Informationen zur Lebensdauer und Ablauf von Token finden Sie unter Aktualisierungstoken in der Microsoft Identity Platform.
Verwenden Sie den Befehl "az account get-access-token" zum Abrufen des Zugriffstokens:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Hier sind einige zusätzliche Informationen zum Ablaufdatum von Zugriffstoken:
- Ablaufdaten werden in einem Format aktualisiert, das von MSAL-basierter Azure CLI unterstützt wird.
- Ab Azure CLI 2.54.0 gibt
az account get-access-tokendie Eigenschaft zusammen mit derexpires_onEigenschaft für dieexpiresOnTokenablaufzeit zurück. - Die
expires_onEigenschaft stellt einen POSIX-Zeitstempel (Portable Operating System Interface) dar, während dieexpiresOnEigenschaft eine lokale Datumstime darstellt. - Die Eigenschaft drückt keine "Faltung" aus, wenn Sommerzeit
expiresOnendet. Dies kann zu Problemen in Ländern oder Regionen führen, in denen Sommerzeit angenommen wird. Weitere Informationen zur "Faltung" finden Sie unter PEP 495 – Ortszeitdeutigkeit. - Es wird empfohlen, für nachgeschaltete Anwendungen die
expires_onEigenschaft zu verwenden, da sie den Universal Time Code (UTC) verwendet.
Beispielausgabe:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Hinweis
Je nachdem, welche Anmeldemethode Sie verwenden, gelten für Ihren Mandanten möglicherweise Richtlinien für bedingten Zugriff, die Ihren Zugriff auf bestimmte Ressourcen einschränken.