Auf Englisch lesen

Freigeben über


Authentifizieren bei Azure mit Azure CLI

Die Azure CLI unterstützt verschiedene Authentifizierungsmethoden. Um Ihre Azure-Ressourcen sicher zu halten, beschränken Sie Anmeldeberechtigungen für Ihren Anwendungsfall.

Anmelden bei Azure mit Azure CLI

Beim Arbeiten mit der Azure CLI gibt es vier Authentifizierungsoptionen:

Authentifizierungsmethode Vorteile
Azure Cloud Shell Azure Cloud Shell protokolliert Sie automatisch und ist die einfachste Möglichkeit, loszulegen.
Interaktives Anmelden Diese Option eignet sich gut, wenn Sie Azure CLI-Befehle erlernen und die Azure CLI lokal ausführen. Mit dem Befehl az login melden Sie sich über Ihren Browser an. Bei der interaktiven Anmeldung erhalten Sie außerdem eine Abonnementauswahl, um Ihr Standardabonnement automatisch festzulegen.
Anmelden mit einer verwalteten Identität Verwaltete Identitäten stellen eine von Azure verwaltete Identität für Anwendungen bereit, die beim Herstellen einer Verbindung mit Ressourcen verwendet werden, die die Microsoft Entra-Authentifizierung unterstützen. Durch die Verwendung einer verwalteten Identität müssen Sie geheime Schlüssel, Anmeldeinformationen, Zertifikate und Schlüssel verwalten.
Anmelden mithilfe eines Dienstprinzipals Beim Schreiben von Skripts ist die Verwendung eines Dienstprinzipals der empfohlene Authentifizierungsansatz. Sie erteilen nur die entsprechenden Berechtigungen, die für einen Dienstprinzipal erforderlich sind, damit Ihre Automatisierung sicher bleibt.

So funktioniert's: Azure Multi-Factor Authentication

Ab 2025 erzwingt Microsoft obligatorische MFA für Azure CLI und andere Befehlszeilentools. Weitere Informationen zu dieser Anforderung finden Sie in unserem Blogbeitrag.

MFA wirkt sich nur auf die Benutzeridentitäten von Microsoft Entra ID aus. Dies wirkt sich nicht auf Arbeitsauslastungsidentitäten aus, z. B. Dienstprinzipien und verwaltete Identitäten.

Wenn Sie az login mit einer Entra-ID und einem Kennwort zum Authentifizieren eines Skripts oder automatisierten Prozesses verwenden, planen Sie jetzt die Migration zu einer Workload-Identität. Hier sind einige hilfreiche Links, die Sie bei der Änderung unterstützen:

Suchen oder Ändern Ihres aktuellen Abonnements

Nach der Anmeldung werden CLI-Befehle für Ihr Standardabonnement ausgeführt. Wenn Sie über mehrere Abonnements verfügen, ändern Sie Ihr Standardabonnement mithilfe von az account set --subscription.

az account set --subscription "<subscription ID or name>"

Weitere Informationen zum Verwalten von Azure-Abonnements finden Sie unter Verwalten von Azure-Abonnements mit der Azure CLI.

Aktualisierungstoken

Wenn Sie sich mit einem Benutzerkonto anmelden, generiert und speichert die Azure CLI ein Aktualisierungstoken für die Authentifizierung. Da Zugriffstoken nur kurze Zeit gültig sind, wird gleichzeitig mit dem Zugriffstoken auch ein Aktualisierungstoken ausgegeben. Die Clientanwendung kann dann dieses Aktualisierungstoken bei Bedarf gegen ein neues Zugriffstoken austauschen. Weitere Informationen zur Lebensdauer und Ablauf von Token finden Sie unter Aktualisierungstoken in der Microsoft Identity Platform.

Verwenden Sie den Befehl "az account get-access-token" zum Abrufen des Zugriffstokens:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Hier sind einige zusätzliche Informationen zum Ablaufdatum von Zugriffstoken:

  • Ablaufdaten werden in einem Format aktualisiert, das von MSAL-basierter Azure CLI unterstützt wird.
  • Ab Azure CLI 2.54.0 gibt az account get-access-token die Eigenschaft zusammen mit der expires_on Eigenschaft für die expiresOn Tokenablaufzeit zurück.
  • Die expires_on Eigenschaft stellt einen POSIX-Zeitstempel (Portable Operating System Interface) dar, während die expiresOn Eigenschaft eine lokale Datumstime darstellt.
  • Die Eigenschaft drückt keine "Faltung" aus, wenn Sommerzeit expiresOn endet. Dies kann zu Problemen in Ländern oder Regionen führen, in denen Sommerzeit angenommen wird. Weitere Informationen zur "Faltung" finden Sie unter PEP 495 – Ortszeitdeutigkeit.
  • Es wird empfohlen, für nachgeschaltete Anwendungen die expires_on Eigenschaft zu verwenden, da sie den Universal Time Code (UTC) verwendet.

Beispielausgabe:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Hinweis

Je nach Anmeldemethode verfügt Ihr Mandant möglicherweise über Richtlinien für bedingten Zugriff, die den Zugriff auf bestimmte Ressourcen einschränken.

Siehe auch