Métodos de autenticación

La CLI de Azure admite varios métodos de autenticación. Restrinja los permisos de inicio de sesión para su caso de uso para proteger los recursos de Azure.

Inicio de sesión en Azure con la CLI de Azure

Hay cinco opciones de autenticación al trabajar con la CLI de Azure:

Método de autenticación Ventaja
Azure Cloud Shell Azure Cloud Shell le registra automáticamente y es la manera más fácil de empezar.
Inicio de sesión interactivo Esta es una buena opción al aprender comandos de la CLI de Azure y ejecutar la CLI de Azure localmente. Inicie sesión a través del explorador con el comando az login .
Inicio de sesión mediante una entidad de servicio Al escribir scripts, el uso de una entidad de servicio es el enfoque recomendado. Para proteger la automatización, conceda los permisos adecuados necesarios a la entidad de servicio.
Inicio de sesión con una identidad administrada Un desafío común para los desarrolladores es la administración de secretos, credenciales, certificados, claves, etc. que se usan para proteger la comunicación entre servicios. El uso de una identidad administrada elimina la necesidad de administrar estas credenciales.
Inicio de sesión con el Administrador de cuentas web (WAM) WAM es un componente Windows 10+ que actúa como agente de autenticación. WAM proporciona seguridad mejorada e incluye mejoras con Windows.

Búsqueda o cambio de la suscripción actual

Después de iniciar sesión, los comandos de la CLI se ejecutan en su suscripción predeterminada. Si tiene varias suscripciones, puede cambiar la suscripción predeterminada mediante az account set --subscription.

az account set --subscription "<subscription ID or name>"

Para más información sobre la administración de suscripciones de Azure, consulte Cómo administrar suscripciones de Azure con la CLI de Azure.

Tokens de actualización

Al iniciar sesión con una cuenta de usuario, la CLI de Azure genera y almacena un token de actualización de autenticación. Dado que los tokens de acceso son válidos durante un breve período de tiempo, se emite un token de actualización al mismo tiempo que se emite el token de acceso. La aplicación cliente puede intercambiar este token de actualización por un nuevo token de acceso cuando es necesario. Para obtener más información sobre la vigencia y expiración del token, consulte Actualizar tokens en la plataforma de identidad de Microsoft.

Use el comando az account get-access-token para recuperar el token de acceso:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

A continuación se muestra información adicional sobre las fechas de expiración del token de acceso:

  • Las fechas de expiración se actualizan en un formato compatible con la CLI de Azure basada en MSAL.
  • A partir de la CLI de Azure 2.54.0, az account get-access-token devuelve la expires_on propiedad junto con la expiresOn propiedad para la hora de expiración del token.
  • La expires_on propiedad representa una marca de tiempo de interfaz de sistema operativo portátil (POSIX) mientras que la expiresOn propiedad representa una fecha y hora local.
  • La expiresOn propiedad no expresa "plegado" cuando finaliza el horario de verano. Esto puede causar problemas en países o regiones donde se adopta el horario de verano. Para obtener más información sobre el "plegado", consulte PEP 495 – Desambiguación de hora local.
  • Se recomienda que las aplicaciones de bajada usen la expires_on propiedad , ya que usa el código de hora universal (UTC).

Salida de ejemplo:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Nota:

En función del método de inicio de sesión, el inquilino puede tener directivas de acceso condicional que restrinjan el acceso a determinados recursos.

Consulte también