Méthodes d’authentification

Azure CLI prend en charge plusieurs méthodes d’authentification. Limitez les autorisations de connexion pour votre cas d’usage afin de sécuriser vos ressources Azure.

Se connecter à Azure avec Azure CLI

Il existe cinq options d’authentification lorsque vous travaillez avec Azure CLI :

Méthode d'authentification Avantage
Azure Cloud Shell Azure Cloud Shell vous connecte automatiquement et constitue le moyen le plus simple de commencer.
Connexion interactive Il s’agit d’une bonne option pour apprendre les commandes Azure CLI et exécuter Azure CLI localement. Connectez-vous via votre navigateur avec la commande az login .
Connexion avec un principal de service Quand vous écrivez des scripts, il est recommandé d’utiliser un principal de service. Octroyez uniquement les autorisations nécessaires à un principal de service pour garantir la sécurité de votre automatisation.
Connexion avec une identité managée La gestion des secrets, des informations d’identification, des certificats et des clés utilisés pour sécuriser la communication entre les services constitue un défi courant pour les développeurs. L’utilisation d’une identité managée élimine la nécessité de gérer ces informations d’identification.
Connexion avec le gestionnaire de comptes web (WAM) WAM est un composant Windows 10+ qui joue le rôle de répartiteur d’authentification. WAM offre une sécurité renforcée, et les améliorations sont fournies avec Windows.

Rechercher ou modifier votre abonnement actuel

Une fois connecté, les commandes CLI sont exécutées sur votre abonnement par défaut. Si vous avez plusieurs abonnements, vous pouvez changer votre abonnement par défaut en utilisant az account set --subscription.

az account set --subscription "<subscription ID or name>"

Pour en savoir plus sur la gestion des abonnements Azure, consultez le guide pratique pour gérer les abonnements Azure avec Azure CLI.

Jetons d’actualisation

Lors de la connexion avec un compte d’utilisateur, Azure CLI génère et stocke un jeton d’actualisation d’authentification. Les jetons d’accès n’étant valides que pendant une courte période, un jeton d’actualisation est émis en même temps que le jeton d’accès. L’application cliente peut alors échanger ce jeton d’actualisation contre un nouveau jeton d’accès si nécessaire. Pour plus d’informations sur la durée de vie et l’expiration des jetons, consultez Jetons d’actualisation dans la plateforme d’identités Microsoft.

Utilisez la commande az account get-access-token pour récupérer le jeton d’accès :

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Voici quelques informations supplémentaires sur les dates d’expiration des jetons d’accès :

  • Les dates d’expiration sont mises à jour dans un format pris en charge par AZURE CLI basée sur MSAL.
  • À partir d’Azure CLI 2.54.0, az account get-access-token retourne la expires_on propriété en même temps que la expiresOn propriété pour l’heure d’expiration du jeton.
  • La expires_on propriété représente un horodatage POSIX (Portable Operating System Interface) tandis que la expiresOn propriété représente une datetime locale.
  • La expiresOn propriété n’exprime pas « plier » lorsque l’heure d’été se termine. Cela peut entraîner des problèmes dans les pays ou régions où l’heure d’été est adoptée. Pour plus d’informations sur « plier », consultez PEP 495 – Désambiguation de l’heure locale.
  • Nous vous recommandons d’utiliser la expires_on propriété pour les applications en aval, car elle utilise le code UTC (Universal Time Code).

Exemple de sortie :

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Remarque

Selon votre méthode de connexion, votre locataire peut avoir des stratégies d’accès conditionnel en place qui limitent votre accès à certaines ressources.

Voir aussi