使用 Azure CLI 颁发 Entra 令牌

1. 使用 az login 命令登录到 Azure CLI，并按照屏幕上的说明进行操作。

2. 使用这些 bash 命令为登录用户设置正确的订阅。 请确保 Azure 订阅 ID 与连接到你尝试访问的 Azure DevOps 组织的租户相关联。 如果不知道订阅 ID，可以在 Azure 门户中找到它。

   az account set -s <subscription-id>
   

3. 使用 Azure DevOps 资源 ID az account get-access-token 通过 499b84ac-1321-427f-aa17-267ca6975798 命令生成 Microsoft Entra ID 访问令牌。

   az account get-access-token \
   --resource 499b84ac-1321-427f-aa17-267ca6975798 \
   --query "accessToken" \
   -o tsv
   

1. 使用 Connect-AzAccount 命令登录到 Azure PowerShell，并按照屏幕上的说明进行作。

2. 使用这些 PowerShell 命令为登录用户设置正确的订阅。 请确保 Azure 订阅 ID 与连接到你尝试访问的 Azure DevOps 组织的租户相关联。 如果不知道订阅 ID，可以在 Azure 门户中找到它。

   Set-AzContext -Subscription <subscriptionID>
   

3. 使用 Azure DevOps 资源 ID Get-AzAccessToken 通过 499b84ac-1321-427f-aa17-267ca6975798 命令生成 Microsoft Entra ID 访问令牌。

   Get-AzAccessToken -ResourceUrl '499b84ac-1321-427f-aa17-267ca6975798'
   

获取服务主体的令牌

1. 使用 az devops login 命令以服务主体身份登录到 Azure CLI。
2. 按照屏幕上的说明完成登录。

# To authenticate a service principal with a password or cert:
az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>

# To authenticate a managed identity:
az login --identity

3. 输入以下命令，为已登录服务主体设置正确的订阅：

az account set -s <subscription-id>

4. 使用 az account get-access-token Azure DevOps 资源 ID 生成Microsoft Entra ID 访问令牌： 499b84ac-1321-427f-aa17-267ca6975798

$accessToken = az account get-access-token --resource 499b84ac-1321-427f-aa17-267ca6975798 --query "accessToken" --output tsv

5. 现在，可以按常规使用 az cli 命令。 让我们尝试通过将 `Bearer` 令牌传入标头来调用 Azure DevOps API：

$apiVersion = "7.1-preview.1"
$uri = "https://dev.azure.com/${yourOrgname}/_apis/projects?api-version=${apiVersion}"
$headers = @{
    Accept = "application/json"
    Authorization = "Bearer $accessToken"
}
Invoke-RestMethod -Uri $uri -Headers $headers -Method Get | Select-Object -ExpandProperty value ` | Select-Object id, name