L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Émettre des jetons Entra avec Azure CLI
Utilisez Azure CLI pour émettre un jeton Microsoft Entra et appeler des API REST Azure DevOps. Étant donné que les jetons d’accès Entra ne durent qu’une heure, ils sont idéaux pour les opérations ponctuelles rapides. Vous pouvez utiliser Azure CLI pour acquérir un jeton utilisateur pour vous-même ou pour le compte d’un principal de service.
Conditions préalables
Catégorie
Spécifications
Entra tenant et abonnement
Vérifiez que l’abonnement est associé au locataire connecté à l’organisation Azure DevOps auquel vous essayez d’accéder. Si vous ne connaissez pas votre locataire ou votre ID d’abonnement, vous pouvez le trouver dans le portail Azure.
(Si l'authentification pour un principal de service est nécessaire) Créez l'application Entra et veillez à disposer de l'ID client et de la clé secrète client de l'application.
Connectez-vous à l’Azure CLI en utilisant la commande az login et suivez les instructions affichées à l’écran.
Définissez l’abonnement approprié pour l’utilisateur connecté avec ces commandes bash. Assurez-vous que l’ID d’abonnement Azure est associé au locataire connecté à l’organisation Azure DevOps à laquelle vous essayez d’accéder. Si vous ne connaissez pas votre ID d’abonnement, vous pouvez le trouver dans le portail Azure.
az account set -s <subscription-id>
Générez un jeton d’accès d’ID Microsoft Entra avec la commande az account get-access-token à l’aide de l’ID de ressource Azure DevOps : 499b84ac-1321-427f-aa17-267ca6975798.
Connectez-vous à Azure PowerShell à l’aide de la commande Connect-AzAccount et suivez les instructions à l’écran.
Définissez l’abonnement approprié pour l’utilisateur connecté avec ces commandes PowerShell. Assurez-vous que l’ID d’abonnement Azure est associé au locataire connecté à l’organisation Azure DevOps à laquelle vous essayez d’accéder. Si vous ne connaissez pas votre ID d’abonnement, vous pouvez le trouver dans le portail Azure.
Set-AzContext -Subscription <subscriptionID>
Générez un jeton d’accès d’ID Microsoft Entra avec la commande Get-AzAccessToken à l’aide de l’ID de ressource Azure DevOps : 499b84ac-1321-427f-aa17-267ca6975798.
Get-AzAccessToken retourne le jeton en tant que SecureString. Si vous ne savez pas comment utiliser SecureString, reportez-vous à la documentation. Pour convertir un SecureString en texte brut à utiliser dans un en-tête d’authentification, tirez parti de la classe .NET [System.Runtime.InteropServices.Marshal] pour convertir SecureString en pointeur BSTR (chaîne binaire), puis lisez le pointeur en tant que chaîne de texte brut en variable.
Obtenir un jeton pour un principal de service
Connectez-vous à Azure CLI en tant que principal de service à l’aide de la az devops login commande.
Suivez les instructions à l’écran et terminez la connexion.
# To authenticate a service principal with a password or cert:
az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>
# To authenticate a managed identity:
az login --identity
Définissez l’abonnement correct et approprié pour le service principal connecté en entrant la commande :
az account set -s <subscription-id>
Générez un jeton d’accès d’ID Microsoft Entra avec l’ID az account get-access-token de ressource Azure DevOps : 499b84ac-1321-427f-aa17-267ca6975798.