Emitir tokens Entra utilizando a CLI do Azure

Use a CLI do Azure para emitir um token do Microsoft Entra e chamar APIs REST do Azure DevOps. Como os tokens de acesso Entra duram apenas uma hora, eles são ideais para operações pontuais rápidas. Você pode usar a CLI do Azure para adquirir um token de usuário para si mesmo ou em nome de uma entidade de serviço.

Pré-requisitos

Categoria	Requerimentos
Entra inquilino e subscrição	Verifique se a assinatura está associada ao locatário conectado à organização de DevOps do Azure que você está tentando acessar. Se não souber o seu locatário ou ID de subscrição, pode encontrá-los no portal do Azure.
CLI do Azure	Transferir e instalar a CLI do Azure.
Aplicação Entra	(Se estiver a autenticar para um principal de serviço) Crie a aplicação Entra e tenha o ID do cliente da aplicação e o segredo do cliente prontos.

Entre na CLI do Azure usando o comando az login e siga as instruções na tela.
Defina a assinatura correta para o usuário conectado com esses comandos bash. Verifique se a ID da assinatura do Azure está associada ao locatário conectado à organização do Azure DevOps que você está tentando acessar. Se não souber o seu ID de subscrição, pode encontrá-lo no portal do Azure.
```
az account set -s <subscription-id>
```
Gere um token de acesso do Microsoft Entra ID com o comando az account get-access-token usando a ID de recurso do Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.
```
az account get-access-token \
--resource 499b84ac-1321-427f-aa17-267ca6975798 \
--query "accessToken" \
-o tsv
```

Obter um token para um utilizador

Entre no Azure PowerShell usando o comando Connect-AzAccount e siga as instruções na tela.
Defina a assinatura correta para o usuário conectado com esses comandos do PowerShell. Verifique se a ID da assinatura do Azure está associada ao locatário conectado à organização do Azure DevOps que você está tentando acessar. Se não souber o seu ID de subscrição, pode encontrá-lo no portal do Azure.
```
Set-AzContext -Subscription <subscriptionID>
```
Gere um token de acesso do Microsoft Entra ID com o comando Get-AzAccessToken usando a ID de recurso do Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.
```
Get-AzAccessToken -ResourceUrl '499b84ac-1321-427f-aa17-267ca6975798'
```

Observação

Get-AzAccessToken retorna o token como um SecureString. Se você não tiver certeza de como usar o SecureString, consulte a documentação. Para converter um SecureString em texto sem formatação para usar em um cabeçalho de autenticação, aproveite a classe .NET [System.Runtime.InteropServices.Marshal] para converter o SecureString em um ponteiro BSTR (cadeia binária) e, em seguida, leia o ponteiro como uma cadeia de texto sem formatação para uma variável.

Obter um token para um principal de serviço

Inicie sessão na CLI do Azure como principal de serviço usando o comando az devops login.
Siga as instruções no ecrã e conclua o início de sessão.

# To authenticate a service principal with a password or cert:
az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>

# To authenticate a managed identity:
az login --identity

Defina a assinatura correta para a entidade de serviço conectada digitando o comando:

az account set -s <subscription-id>

Gere um token de acesso do Microsoft Entra ID com o ID do recurso az account get-access-token do Azure DevOps: 499b84ac-1321-427f-aa17-267ca6975798.

$accessToken = az account get-access-token --resource 499b84ac-1321-427f-aa17-267ca6975798 --query "accessToken" --output tsv

Observação

Use a ID do aplicativo Azure DevOps, não nosso URI de recurso, para gerar tokens.

Agora, pode usar os comandos az cli como de costume. Vamos tentar chamar uma API de DevOps do Azure passando-a nos cabeçalhos como um token de Bearer:

$apiVersion = "7.1-preview.1"
$uri = "https://dev.azure.com/${yourOrgname}/_apis/projects?api-version=${apiVersion}"
$headers = @{
    Accept = "application/json"
    Authorization = "Bearer $accessToken"
}
Invoke-RestMethod -Uri $uri -Headers $headers -Method Get | Select-Object -ExpandProperty value ` | Select-Object id, name

Feedback

Esta página foi útil?

Last updated on 2025-09-18

Partilhar via

Emitir tokens Entra utilizando a CLI do Azure

Pré-requisitos

Obtenha um token Entra para si mesmo

Feedback

Recursos adicionais