Anmelden mit der Azure CLI

Es gibt mehrere Authentifizierungsarten für die Azure-Befehlszeilenschnittstelle (Command-Line Interface, CLI). Wie melden Sie sich also an? Den einfachsten Einstieg ermöglicht der Azure Cloud Shell-Dienst, der Sie automatisch anmeldet. Lokal können Sie sich interaktiv über Ihren Browser mit dem Befehl az login anmelden. Beim Schreiben von Skripts wird die Verwendung von Dienstprinzipalen empfohlen. Indem Sie einem Dienstprinzipal nur die erforderlichen Mindestberechtigungen erteilen, können Sie Ihre Automatisierung schützen.

Ihre Anmeldeinformationen werden nicht von der Azure CLI gespeichert. Stattdessen wird von Azure ein Authentifizierungsaktualisierungstoken generiert und gespeichert. Ab August 2018 wird dieses Token nach 90-tägiger Inaktivität widerrufen. Dieser Wert kann jedoch von Microsoft oder von Ihrem Mandantenadministrator geändert werden. Wenn das Token widerrufen wurde, werden Sie von der Befehlszeilenschnittstelle aufgefordert, sich erneut anzumelden.

Nach der Anmeldung werden CLI-Befehle für Ihr Standardabonnement ausgeführt. Sollten Sie über mehrere Abonnements verfügen, können Sie das Standardabonnement ändern.

Hinweis

Je nach Ihrer Anmeldemethode verfügt Ihr Mandanten möglicherweise über Richtlinien für bedingten Zugriff, die Ihren Zugriff auf bestimmte Ressourcen einschränken.

Interaktives Anmelden

Die Standardauthentifizierungsmethode für Anmeldungen der Azure CLI ist die Anmeldung über einen Webbrowser mit Zugriffstoken.

  1. Führen Sie den Befehl login aus.

    az login
    

    Wenn die CLI Ihren Standardbrowser öffnen kann, wird der Autorisierungscodefluss initiiert und der Standardbrowser geöffnet, um eine Azure-Anmeldeseite zu laden.

    Andernfalls initiiert er den Gerätecodefluss und fordert Sie auf, eine Browserseite zu https://aka.ms/devicelogin öffnen und den Code einzugeben, der am Terminal angezeigt wird.

    Falls kein Webbrowser verfügbar ist oder er nicht geöffnet werden kann, können Sie den Gerätecodefluss mit az login --use-device-code erzwingen.

  2. Melden Sie sich im Browser mit Ihren Anmeldeinformationen an.

Anmelden mit Anmeldeinformationen über die Befehlszeile

Geben Sie Ihre Azure-Benutzeranmeldeinformationen in der Befehlszeile an.

Hinweis

Dieser Ansatz funktioniert nicht für Microsoft-Konten oder Konten, für die die Authentifizierung in zwei Schritten aktiviert ist.

az login -u <username> -p <password>

Wichtig

Wenn Sie die Anzeige Ihres Kennworts in der Konsole vermeiden möchten und az login interaktiv verwenden, können Sie den Befehl read -s unter bash nutzen.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

Verwenden Sie in PowerShell das Cmdlet Get-Credential.

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Anmelden mit einem Dienstprinzipal

Dienstprinzipale sind Konten, die nicht an einen bestimmten Benutzer gebunden sind und über Berechtigungen verfügen können, die ihnen über vordefinierte Rollen zugewiesen werden. Die Authentifizierung mit einem Dienstprinzipal ist die beste Methode zum Schreiben sicherer Skripts oder Programme und ermöglicht das Anwenden von Berechtigungseinschränkungen und lokal gespeicherten statischen Anmeldeinformationen. Weitere Informationen zu Dienstprinzipalen finden Sie unter Erstellen eines Azure-Dienstprinzipals mit Azure CLI 2.0.

Für die Anmeldung mit einem Dienstprinzipal benötigen Sie Folgendes:

  • Die dem Dienstprinzipal zugeordnete URL bzw. den zugeordneten Namen
  • Das Dienstprinzipalkennwort oder das X509-Zertifikat (im PEM-Format), das zum Erstellen des Dienstprinzipals verwendet wurde
  • Den dem Dienstprinzipal zugeordneten Mandanten, als .onmicrosoft.com-Domäne oder Azure-Objekt-ID

Hinweis

In einer PEM-Datei muss ein Zertifikat (CERTIFICATE) an den privaten Schlüssel (PRIVATE KEY) angefügt werden. Ein Beispiel für ein PEM-Dateiformat finden Sie unter Zertifikatbasierte Authentifizierung.

Wichtig

Falls Ihr Dienstprinzipal ein in Key Vault gespeichertes Zertifikat nutzt, muss der private Schlüssel des Zertifikats verfügbar sein, ohne dass eine Anmeldung bei Azure erforderlich ist. Informationen zum Abrufen des Zertifikats für az login finden Sie unter Abrufen des Zertifikats aus Key Vault.

az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>

Wichtig

Wenn Sie die Anzeige Ihres Kennworts in der Konsole vermeiden möchten und az login interaktiv verwenden, können Sie den Befehl read -s unter bash nutzen.

read -sp "Azure password: " AZ_PASS && echo && az login --service-principal -u <app-id> -p $AZ_PASS --tenant <tenant>

Verwenden Sie in PowerShell das Cmdlet Get-Credential.

$AzCred = Get-Credential -UserName <app-id>
az login --service-principal -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password --tenant <tenant>

Anmelden mit einem anderen Mandanten

Sie können mit dem Argument --tenant einen Mandanten auswählen, unter dem Sie sich anmelden möchten. Der Wert dieses Arguments kann eine Domäne vom Typ .onmicrosoft.com oder die Azure-Objekt-ID für den Mandanten sein. Mit --tenant können sowohl interaktive Methoden als auch die Befehlszeile für die Anmeldung verwendet werden.

az login --tenant <tenant>

Anmelden mit einer verwalteten Identität

Auf Ressourcen, die für verwaltete Identitäten von Azure-Ressourcen konfiguriert sind, können Sie sich mit der verwalteten Identität anmelden. Das Anmelden mit der Identität der Ressource erfolgt über das Flag --identity.

az login --identity

Verfügt die Ressource über mehrere benutzerseitig zugewiesene verwaltete Identitäten und keine systemseitig zugewiesene Identität, müssen Sie für die Anmeldung die Client-ID, Objekt-ID oder Ressourcen-ID der benutzerseitig zugewiesenen verwalteten Identität mit --username angeben.

az login --identity --username <client_id|object_id|resource_id>

Weitere Informationen zu verwalteten Identitäten für Azure-Ressourcen finden Sie unter Konfigurieren von verwalteten Identitäten für Azure-Ressourcen auf einem virtuellen Azure-Computer mithilfe der Azure-Befehlszeilenschnittstelle und Verwenden von verwalteten Identitäten für Azure-Ressourcen auf einem virtuellen Azure-Computer für die Anmeldung.

Weitere Informationen