identity الحزمة

بيانات الاعتماد لعملاء Azure SDK.

الحِزم

aio

بيانات الاعتماد لعملاء Azure SDK غير المتزامنين.

الفصول

AuthenticationRecord

معلومات الحساب غير السري لمستخدم مصادق عليه

تمكن DeviceCodeCredential هذه الفئة و InteractiveBrowserCredential من الوصول إلى بيانات المصادقة المخزنة مؤقتا مسبقا. يجب ألا تنشئ التطبيقات مثيلات من هذه الفئة. يجب عليهم بدلا من ذلك الحصول على واحد من أسلوب مصادقة بيانات الاعتماد، مثل authenticate. راجع نموذج user_authentication لمزيد من التفاصيل.

AuthenticationRequiredError

المصادقة التفاعلية مطلوبة للحصول على رمز مميز.

يتم رفع هذا الخطأ فقط بواسطة بيانات اعتماد المستخدم التفاعلية التي تم تكوينها لعدم المطالبة تلقائيا بتفاعل المستخدم حسب الحاجة. توفر خصائصه معلومات إضافية قد تكون مطلوبة للمصادقة. يوضح نموذج control_interactive_prompts معالجة هذا الخطأ عن طريق استدعاء أسلوب "المصادقة" لبيانات الاعتماد.

AuthorizationCodeCredential

المصادقة عن طريق استرداد رمز تخويل تم الحصول عليه مسبقا من Azure Active Directory.

راجع وثائق Azure Active Directory لمزيد من المعلومات حول تدفق المصادقة.

AzureAuthorityHosts

بيانات الاعتماد لعملاء Azure SDK.

AzureCliCredential

المصادقة عن طريق طلب رمز مميز من Azure CLI.

يتطلب هذا تسجيل الدخول مسبقا إلى Azure عبر "az login"، وسيستخدم هوية CLI المسجلة حاليا.

AzureDeveloperCliCredential

المصادقة عن طريق طلب رمز مميز من Azure Developer CLI.

Azure Developer CLI هي أداة واجهة سطر الأوامر التي تسمح للمطورين بإنشاء الموارد وإدارتها وتوزيعها في Azure. تم إنشاؤه أعلى Azure CLI ويوفر وظائف إضافية خاصة بمطوري Azure. يسمح للمستخدمين بالمصادقة كمستخدم و/أو كيان خدمة مقابل Azure Active Directory (Azure AD). يصادق AzureDeveloperCliCredential في بيئة تطوير ويكتسب رمزا مميزا نيابة عن المستخدم أو كيان الخدمة المسجل في Azure Developer CLI. يعمل كمستخدم Azure Developer CLI الذي قام بتسجيل الدخول أو كيان الخدمة وينفذ أمر Azure CLI أسفل لمصادقة التطبيق مقابل Azure Active Directory.

لاستخدام بيانات الاعتماد هذه، يحتاج المطور إلى المصادقة محليا في Azure Developer CLI باستخدام أحد الأوامر أدناه:

  • قم بتشغيل "تسجيل الدخول إلى azd auth" في Azure Developer CLI للمصادقة بشكل تفاعلي كمستخدم.

  • قم بتشغيل "azd auth login –client-id 'client_id' –client-secret 'client_secret' –tenant-id 'tenant_id'" للمصادقة ككيان خدمة.

قد تحتاج إلى تكرار هذه العملية بعد فترة زمنية معينة، اعتمادا على صلاحية رمز التحديث المميز في مؤسستك. بشكل عام، فترة صلاحية الرمز المميز للتحديث هي بضعة أسابيع إلى بضعة أشهر. سيطالبك AzureDeveloperCliCredential بتسجيل الدخول مرة أخرى.

AzurePowerShellCredential

المصادقة عن طريق طلب رمز مميز من Azure PowerShell.

يتطلب هذا تسجيل الدخول مسبقا إلى Azure عبر "Connect-AzAccount"، وسيستخدم الهوية المسجلة حاليا.

CertificateCredential

المصادقة ككيان خدمة باستخدام شهادة.

يجب أن تحتوي الشهادة على مفتاح خاص RSA، لأن بيانات الاعتماد هذه توقع التأكيدات باستخدام RS256. راجع وثائق Azure Active Directory لمزيد من المعلومات حول تكوين مصادقة الشهادة.

ChainedTokenCredential

تسلسل بيانات الاعتماد التي هي في حد ذاتها بيانات اعتماد.

يستدعي get_token أسلوبه get_token كل بيانات اعتماد في التسلسل، بالترتيب، مع إرجاع أول رمز مميز صالح تم تلقيه.

ClientAssertionCredential

مصادقة كيان خدمة بتأكيد JWT.

بيانات الاعتماد هذه مخصصة للسيناريوهات المتقدمة. CertificateCredential لديه واجهة برمجة تطبيقات أكثر ملاءمة لسيناريو التأكيد الأكثر شيوعا، ومصادقة كيان الخدمة بشهادة.

ClientSecretCredential

المصادقة ككيان خدمة باستخدام سر العميل.

CredentialUnavailableError

لم تحاول بيانات الاعتماد المصادقة لأن البيانات أو الحالة المطلوبة غير متوفرة.

DefaultAzureCredential

بيانات اعتماد افتراضية قادرة على التعامل مع معظم سيناريوهات مصادقة Azure SDK.

تعتمد الهوية التي يستخدمها على البيئة. عند الحاجة إلى رمز مميز للوصول، فإنه يطلب واحدا باستخدام هذه الهويات بدوره، ويتوقف عندما يوفر رمزا مميزا:

  1. كيان خدمة تم تكوينه بواسطة متغيرات البيئة. انظرEnvironmentCredential لمزيد من التفاصيل.

  2. WorkloadIdentityCredential إذا تم تعيين تكوين متغير البيئة بواسطة خطاف الويب لهوية حمل العمل Azure.

  3. هوية مدارة من Azure. انظرManagedIdentityCredential لمزيد من التفاصيل.

  4. على Windows فقط: مستخدم قام بتسجيل الدخول باستخدام تطبيق Microsoft، مثل Visual Studio. إذا كانت الهويات المتعددة موجودة في ذاكرة التخزين المؤقت، فسيتم استخدام قيمة متغير AZURE_USERNAME البيئة لتحديد الهوية التي يجب استخدامها. انظرSharedTokenCacheCredential لمزيد من التفاصيل.

  5. الهوية المسجلة حاليا في Azure CLI.

  6. الهوية المسجلة حاليا في Azure PowerShell.

  7. الهوية المسجلة حاليا في Azure Developer CLI.

هذا السلوك الافتراضي قابل للتكوين باستخدام وسيطات الكلمات الأساسية.

DeviceCodeCredential

مصادقة المستخدمين من خلال تدفق التعليمات البرمجية للجهاز.

عند get_token استدعاء، تحصل بيانات الاعتماد هذه على عنوان URL للتحقق ورمز من Azure Active Directory. يجب على المستخدم الاستعراض وصولا إلى عنوان URL، وإدخال التعليمات البرمجية، والمصادقة باستخدام Azure Active Directory. إذا مصادقة المستخدم بنجاح، تتلقى بيانات الاعتماد رمز وصول مميز.

تعد بيانات الاعتماد هذه مفيدة بشكل أساسي لمصادقة مستخدم في بيئة بدون مستعرض ويب، مثل جلسة SSH. إذا كان مستعرض ويب متوفرا، InteractiveBrowserCredential فهو أكثر ملاءمة لأنه يفتح متصفحا تلقائيا إلى صفحة تسجيل الدخول.

EnvironmentCredential

بيانات اعتماد تم تكوينها بواسطة متغيرات البيئة.

بيانات الاعتماد هذه قادرة على المصادقة ككيان خدمة باستخدام سر العميل أو شهادة، أو كمستخدم مع اسم مستخدم وكلمة مرور. تتم محاولة التكوين بهذا الترتيب، باستخدام متغيرات البيئة هذه:

كيان الخدمة مع البيانات السرية:

  • AZURE_TENANT_ID: معرف مستأجر كيان الخدمة. يسمى أيضا معرف "الدليل" الخاص به.

  • AZURE_CLIENT_ID: معرف عميل كيان الخدمة

  • AZURE_CLIENT_SECRET: أحد أسرار عميل كيان الخدمة

  • AZURE_AUTHORITY_HOST: سلطة نقطة نهاية Azure Active Directory، على سبيل المثال "login.microsoftonline.com"، وهي مرجع Azure Public Cloud، وهو الافتراضي عند عدم إعطاء أي قيمة.

كيان الخدمة مع الشهادة:

  • AZURE_TENANT_ID: معرف مستأجر كيان الخدمة. يسمى أيضا معرف "الدليل" الخاص به.

  • AZURE_CLIENT_ID: معرف عميل كيان الخدمة

  • AZURE_CLIENT_CERTIFICATE_PATH: المسار إلى ملف شهادة PEM أو PKCS12 بما في ذلك المفتاح الخاص.

  • AZURE_CLIENT_CERTIFICATE_PASSWORD: (اختياري) كلمة مرور ملف الشهادة، إن وجدت.

  • AZURE_AUTHORITY_HOST: سلطة نقطة نهاية Azure Active Directory، على سبيل المثال "login.microsoftonline.com"، وهي مرجع Azure Public Cloud، وهو الافتراضي عند عدم إعطاء أي قيمة.

المستخدم الذي يحمل اسم المستخدم وكلمة المرور:

  • AZURE_CLIENT_ID: معرف عميل التطبيق

  • AZURE_USERNAME: اسم مستخدم (عادة ما يكون عنوان بريد إلكتروني)

  • AZURE_PASSWORD: كلمة مرور هذا المستخدم

  • AZURE_TENANT_ID: (اختياري) معرف مستأجر كيان الخدمة. يسمى أيضا معرف "الدليل" الخاص به. إذا لم يتم توفيره، فسيتم تعيينه افتراضيا إلى مستأجر "المؤسسات"، الذي يدعم حسابات العمل أو المؤسسة التعليمية في Azure Active Directory فقط.

  • AZURE_AUTHORITY_HOST: سلطة نقطة نهاية Azure Active Directory، على سبيل المثال "login.microsoftonline.com"، وهي مرجع Azure Public Cloud، وهو الافتراضي عند عدم إعطاء أي قيمة.

InteractiveBrowserCredential

فتح مستعرض لمصادقة مستخدم بشكل تفاعلي.

get_token يفتح متصفحا إلى عنوان URL لتسجيل الدخول الذي يوفره Microsoft Azure Active Directory ويصادق مستخدما هناك مع تدفق رمز التخويل، باستخدام PKCE (مفتاح إثبات تبادل التعليمات البرمجية) داخليا لحماية التعليمات البرمجية.

KnownAuthorities

الاسم المستعار ل AzureAuthorityHosts

ManagedIdentityCredential

المصادقة بهوية مدارة من Azure في أي بيئة استضافة تدعم الهويات المدارة.

يتم تعيين بيانات الاعتماد هذه افتراضيا لاستخدام هوية معينة من قبل النظام. لتكوين هوية معينة من قبل المستخدم، استخدم إحدى وسيطات الكلمة الأساسية. راجع وثائق Azure Active Directory لمزيد من المعلومات حول تكوين الهوية المدارة للتطبيقات.

OnBehalfOfCredential

مصادقة كيان الخدمة عبر التدفق نيابة عن التدفق.

عادة ما يتم استخدام هذا التدفق من قبل خدمات الطبقة المتوسطة التي تخول الطلبات إلى خدمات أخرى بهوية مستخدم مفوضة. نظرا لأن هذا ليس تدفق مصادقة تفاعليا، يجب أن يكون للتطبيق الذي يستخدمه موافقة المسؤول لأي أذونات مفوضة قبل طلب الرموز المميزة لها. راجع وثائق Azure Active Directory للحصول على وصف أكثر تفصيلا للتدفق نيابة عن.

SharedTokenCacheCredential

المصادقة باستخدام الرموز المميزة في ذاكرة التخزين المؤقت المحلية المشتركة بين تطبيقات Microsoft.

TokenCachePersistenceOptions

خيارات التخزين المؤقت للرمز المميز المستمر.

تقبل معظم بيانات الاعتماد مثيلا من هذه الفئة لتكوين التخزين المؤقت للرمز المميز المستمر. تقوم القيم الافتراضية بتكوين بيانات اعتماد لاستخدام ذاكرة تخزين مؤقت مشتركة مع أدوات مطور Microsoft و SharedTokenCacheCredential. لعزل بيانات بيانات الاعتماد عن التطبيقات الأخرى، حدد اسما لذاكرة التخزين المؤقت.

بشكل افتراضي، يتم تشفير ذاكرة التخزين المؤقت باستخدام واجهة برمجة تطبيقات حماية بيانات المستخدم للنظام الأساسي الحالي، وستثير خطأ عندما لا يكون هذا متوفرا. لتكوين ذاكرة التخزين المؤقت للرجوع إلى ملف غير مشفر بدلا من رفع خطأ، حدد allow_unencrypted_storage=True.

تحذير

تحتوي ذاكرة التخزين المؤقت على أسرار المصادقة. إذا لم تكن ذاكرة التخزين المؤقت مشفرة، فإن حمايتها هي

مسؤولية التطبيق. سيؤدي خرق محتوياته إلى اختراق الحسابات بشكل كامل.

UsernamePasswordCredential

مصادقة مستخدم باستخدام اسم مستخدم وكلمة مرور.

بشكل عام، لا توصي Microsoft بهذا النوع من المصادقة، لأنها أقل أمانا من تدفقات المصادقة الأخرى.

المصادقة باستخدام بيانات الاعتماد هذه ليست تفاعلية، لذلك فهي غير متوافقة مع أي شكل من أشكال المصادقة متعددة العوامل أو مطالبة الموافقة. يجب أن يكون للتطبيق بالفعل موافقة من المستخدم أو مسؤول الدليل.

يمكن لبيانات الاعتماد هذه مصادقة حسابات العمل والمدرسة فقط؛ حسابات Microsoft غير مدعومة. راجع وثائق Azure Active Directory لمزيد من المعلومات حول أنواع الحسابات.

VisualStudioCodeCredential

المصادقة كمستخدم Azure الذي سجل الدخول إلى Visual Studio Code عبر ملحق "حساب Azure".

من المعروف أن بيانات الاعتماد هذه لا تعمل مع إصدارات ملحق حساب Azure الأحدث من 0.9.11. هناك إصلاح طويل الأجل لهذه المشكلة قيد التقدم. في هذه الأثناء، ضع في اعتبارك المصادقة باستخدام AzureCliCredential.

WorkloadIdentityCredential

المصادقة باستخدام هوية حمل عمل Azure Active Directory.

مصادقة هوية حمل العمل هي ميزة في Azure تسمح للتطبيقات التي تعمل على الأجهزة الظاهرية (VMs) بالوصول إلى موارد Azure الأخرى دون الحاجة إلى كيان خدمة أو هوية مدارة. مع مصادقة هوية حمل العمل، تصادق التطبيقات نفسها باستخدام هويتها الخاصة، بدلا من استخدام كيان خدمة مشترك أو هوية مدارة. ضمن الغطاء، تستخدم مصادقة هوية حمل العمل مفهوم بيانات اعتماد حساب الخدمة (SACs)، والتي يتم إنشاؤها تلقائيا بواسطة Azure وتخزينها بشكل آمن في الجهاز الظاهري. باستخدام مصادقة هوية حمل العمل، يمكنك تجنب الحاجة إلى إدارة وتدوير كيانات الخدمة أو الهويات المدارة لكل تطبيق على كل جهاز ظاهري. بالإضافة إلى ذلك، نظرا لأن SACs يتم إنشاؤها تلقائيا وإدارتها بواسطة Azure، فلا داعي للقلق بشأن تخزين وتأمين بيانات الاعتماد الحساسة نفسها.

يدعم WorkloadIdentityCredential مصادقة هوية حمل العمل Azure على Azure Kubernetes ويكتسب رمزا مميزا باستخدام بيانات اعتماد حساب الخدمة المتوفرة في بيئة Azure Kubernetes. راجع نظرة عامة على هوية حمل العمل هذه لمزيد من المعلومات.