Partage via


S’authentifier auprès d’Azure à l’aide d’Azure CLI

Azure CLI prend en charge plusieurs méthodes d’authentification. Limitez les autorisations de connexion pour votre cas d’usage afin de sécuriser vos ressources Azure.

Se connecter à Azure avec Azure CLI

Il existe quatre options d’authentification lors de l’utilisation d’Azure CLI :

Méthode d'authentification Avantage
Azure Cloud Shell Azure Cloud Shell vous connecte automatiquement et constitue le moyen le plus simple de commencer.
Connexion interactive Il s’agit d’une bonne option pour apprendre les commandes Azure CLI et exécuter Azure CLI localement. Connectez-vous via votre navigateur avec la commande az login . La connexion interactive vous donne également un sélecteur d’abonnement pour définir automatiquement votre abonnement par défaut.
Connexion avec une identité managée Les identités managées fournissent une identité managée Azure pour les applications à utiliser lors de la connexion aux ressources qui prennent en charge l’authentification Microsoft Entra. L’utilisation d’une identité managée élimine la nécessité de gérer les secrets, les informations d’identification, les certificats et les clés.
Se connecter à l’aide d’un principal de service Lorsque vous écrivez des scripts, l’utilisation d’un principal de service est l’approche d’authentification recommandée. Octroyez uniquement les autorisations nécessaires à un principal de service pour garantir la sécurité de votre automatisation.

Authentification multifacteur (MFA)

Microsoft a annoncé en mai 2024 qu’il exigera l’authentification multifacteur pour tous les utilisateurs Azure. Pour plus d’informations sur la planification de cette modification, consultez Planification de l’authentification multifacteur obligatoire pour Azure et d’autres portails d’administration.

L’authentification multifacteur affecte uniquement les utilisateurs de Microsoft Entra ID. Il n’aura pas d’impact sur les principaux de service ou les identités managées.

Rechercher ou modifier votre abonnement actuel

Une fois connecté, les commandes CLI sont exécutées sur votre abonnement par défaut. Si vous avez plusieurs abonnements, modifiez votre abonnement par défaut à l’aide az account set --subscriptionde .

az account set --subscription "<subscription ID or name>"

Pour en savoir plus sur la gestion des abonnements Azure, consultez le guide pratique pour gérer les abonnements Azure avec Azure CLI.

Jetons d’actualisation

Lors de la connexion avec un compte d’utilisateur, Azure CLI génère et stocke un jeton d’actualisation d’authentification. Les jetons d’accès n’étant valides que pendant une courte période, un jeton d’actualisation est émis en même temps que le jeton d’accès. L’application cliente peut alors échanger ce jeton d’actualisation contre un nouveau jeton d’accès si nécessaire. Pour plus d’informations sur la durée de vie et l’expiration des jetons, consultez Jetons d’actualisation dans la plateforme d’identités Microsoft.

Utilisez la commande az account get-access-token pour récupérer le jeton d’accès :

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Voici quelques informations supplémentaires sur les dates d’expiration des jetons d’accès :

  • Les dates d’expiration sont mises à jour dans un format pris en charge par AZURE CLI basée sur MSAL.
  • À partir d’Azure CLI 2.54.0, az account get-access-token retourne la expires_on propriété en même temps que la expiresOn propriété pour l’heure d’expiration du jeton.
  • La expires_on propriété représente un horodatage POSIX (Portable Operating System Interface) tandis que la expiresOn propriété représente une datetime locale.
  • La expiresOn propriété n’exprime pas « plier » lorsque l’heure d’été se termine. Cela peut entraîner des problèmes dans les pays ou régions où l’heure d’été est adoptée. Pour plus d’informations sur « plier », consultez PEP 495 – Désambiguation de l’heure locale.
  • Nous vous recommandons d’utiliser la expires_on propriété pour les applications en aval, car elle utilise le code UTC (Universal Time Code).

Exemple de sortie :

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Remarque

Selon votre méthode de connexion, votre locataire peut avoir des stratégies d’accès conditionnel qui limitent votre accès à certaines ressources.

Voir aussi