Emitir tokens do Entra com a CLI do Azure

Use a CLI do Azure para emitir um token do Microsoft Entra e chamar APIs REST do Azure DevOps. Como os tokens de acesso do Entra duram apenas uma hora, eles são ideais para operações pontuais rápidas. Você pode usar a CLI do Azure para adquirir um token de usuário para si mesmo ou em nome de uma entidade de serviço.

Pré-requisitos

Categoria	Requisitos
Locatário e assinatura do Entra	Verifique se a assinatura está associada ao locatário conectado à organização do Azure DevOps que você está tentando acessar. Se você não souber sua ID de locatário ou assinatura, poderá encontrá-la no portal do Azure.
CLI do Azure	Baixe e instale a CLI do Azure.
Aplicativo Entra	(Se estiver autenticando para um principal de serviço) Crie o aplicativo Entra e tenha a ID do cliente do aplicativo e o segredo do cliente prontos.

Entre na CLI do Azure usando o comando az login e siga as instruções na tela.
Defina a assinatura correta para o usuário conectado com esses comandos bash. Verifique se a ID da assinatura do Azure está associada ao locatário conectado à organização do Azure DevOps que você está tentando acessar. Se você não souber sua ID de locatário, poderá encontrá-la no portal do Azure.
```
az account set -s <subscription-id>
```
Gere um token de acesso Microsoft Entra ID com o comando az account get-access-token usando a ID de recurso do Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.
```
az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv
```

Obter um token para um usuário

Entre no Azure PowerShell usando o comando Connect-AzAccount e siga as instruções na tela.
Defina a assinatura correta para o usuário conectado com esses comandos do PowerShell. Verifique se a ID da assinatura do Azure está associada ao locatário conectado à organização do Azure DevOps que você está tentando acessar. Se você não souber sua ID de locatário, poderá encontrá-la no portal do Azure.
```
Set-AzContext -Subscription <subscriptionID>
```
Gere um token de acesso Microsoft Entra ID com o comando Get-AzAccessToken usando a ID de recurso do Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.
```
Get-AzAccessToken -ResourceUrl '499b84ac-1321-427f-aa17-267ca6975798'
```

Observação

Get-AzAccessToken retorna o token como um SecureString. Se você não tiver certeza de como usar SecureString, consulte a documentação. Para converter um SecureString em texto sem formatação a ser usado em um Cabeçalho de Autenticação, aproveite a classe .NET [System.Runtime.InteropServices.Marshal] para converter o SecureString em um ponteiro BSTR (cadeia de caracteres binária) e leia o ponteiro como uma cadeia de caracteres de texto sem formatação em uma variável.

Obter um token para uma entidade de serviço

Conecte-se à CLI do Azure como a entidade de serviço usando o comando az devops login.
Siga as instruções na tela e conclua a entrada.

# To authenticate a service principal with a password or cert:
az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>

# To authenticate a managed identity:
az login --identity

Defina a assinatura correta para a entidade de serviço assinada inserindo o comando:

az account set -s <subscription-id>

Gere um token de acesso da Microsoft Entra ID com o ID do recurso do Azure DevOps: az account get-access-token.

$accessToken = az account get-access-token --resource 499b84ac-1321-427f-aa17-267ca6975798 --query "accessToken" --output tsv

Observação

Use a ID do aplicativo Azure DevOps, não nosso URI de recurso, para gerar tokens.

Agora, você pode usar az cli comandos como de costume. Vamos tentar chamar uma API do Azure DevOps passando-a nos cabeçalhos como um Bearer token:

$apiVersion = "7.1-preview.1"
$uri = "https://dev.azure.com/${yourOrgname}/_apis/projects?api-version=${apiVersion}"
$headers = @{
    Accept = "application/json"
    Authorization = "Bearer $accessToken"
}
Invoke-RestMethod -Uri $uri -Headers $headers -Method Get | Select-Object -ExpandProperty value ` | Select-Object id, name

Comentários

Esta página foi útil?

Last updated on 2025-09-18

Compartilhar via

Emitir tokens do Entra com a CLI do Azure

Pré-requisitos

Obtenha um token Entra para você

Comentários

Recursos adicionais