OnBehalfOfCredential Třída

Ověřuje instanční objekt prostřednictvím toku on-behalf-of.

Tento tok obvykle používají služby střední vrstvy, které autorizují požadavky na jiné služby s delegovanou identitou uživatele. Vzhledem k tomu, že se nejedná o tok interaktivního ověřování, musí mít aplikace, která ho používá, souhlas správce se všemi delegovanými oprávněními, než za ně požádá o tokeny. Podrobnější popis toku on-behalf-of najdete v dokumentaci k Azure Active Directory .

Dědičnost

azure.identity._internal.msal_credentials.MsalCredential

OnBehalfOfCredential

azure.identity._internal.get_token_mixin.GetTokenMixin

OnBehalfOfCredential

Konstruktor

OnBehalfOfCredential(tenant_id: str, client_id: str, **kwargs: Any)

Parametry

tenant_id

str

Vyžadováno

ID tenanta instančního objektu. Označuje se také jako ID adresáře.

client_id

str

Vyžadováno

ID klienta instančního objektu

client_secret

str

Nepovinný parametr. Tajný klíč klienta pro ověření instančního objektu. Je nutné zadat client_secret nebo client_certificate .

client_certificate

bytes

Nepovinný parametr. Bajty certifikátu ve formátu PEM nebo PKCS12, včetně privátního klíče pro ověření instančního objektu. Je nutné zadat client_secret nebo client_certificate .

user_assertion

str

Povinná hodnota. Přístupový token, který přihlašovací údaje budou používat jako kontrolní výraz uživatele při vyžádání tokenů jménem uživatele

authority

str

Autorita koncového bodu Azure Active Directory, například "login.microsoftonline.com", autorita pro veřejný cloud Azure (což je výchozí nastavení). AzureAuthorityHosts definuje autority pro jiné cloudy.

password

str nebo bytes

Heslo certifikátu. Používá se pouze v případech, kdy je k dispozici client_certificate . Pokud je tato hodnota řetězec unicode, bude kódována jako UTF-8. Pokud certifikát vyžaduje jiné kódování, předejte místo toho vhodně zakódované bajty.

disable_instance_discovery

bool

Určuje, jestli se při pokusu o ověření provádí zjišťování instancí. Nastavení na hodnotu true zcela zakáže zjišťování instancí i ověřování autority. Tato funkce je určená pro použití ve scénářích, kdy není možné dosáhnout koncového bodu metadat, například v privátních cloudech nebo ve službě Azure Stack. Proces zjišťování instancí zahrnuje načtení metadat autority za https://login.microsoft.com/ účelem ověření autority. Když tuto hodnotu nastavíte na Hodnotu True, ověření autority se zakáže. Proto je důležité zajistit, aby nakonfigurovaný hostitel autority byl platný a důvěryhodný.

additionally_allowed_tenants

List[str]

Určuje tenanty kromě zadaného "tenant_id", pro které přihlašovací údaje můžou získat tokeny. Přidejte hodnotu se zástupným znakem "*", aby přihlašovací údaje mohly získávat tokeny pro všechny tenanty, ke které má aplikace přístup.

Příklady

Vytvořte OnBehalfOfCredential.

   from azure.identity import OnBehalfOfCredential

   credential = OnBehalfOfCredential(
       tenant_id="<tenant_id>",
       client_id="<client_id>",
       client_secret="<client_secret>",
       user_assertion="<access_token>",
   )

Metody

close
get_token	Vyžádejte si přístupový token pro obory. Klienti sady Azure SDK tuto metodu volali automaticky.

close

close() -> None

get_token

Vyžádejte si přístupový token pro obory.

Klienti sady Azure SDK tuto metodu volali automaticky.

get_token(*scopes: str, claims: str | None = None, tenant_id: str | None = None, **kwargs: Any) -> AccessToken

Parametry

scopes

str

Vyžadováno

požadované obory pro přístupový token. Tato metoda vyžaduje alespoň jeden obor. Další informace o oborech najdete v tématu https://learn.microsoft.com/azure/active-directory/develop/scopes-oidc.

claims

str

další deklarace identity vyžadované v tokenu, například ty, které se vrátí při napadení deklarací identity poskytovatele prostředků po selhání autorizace.

tenant_id

str

volitelného tenanta, který se má zahrnout do žádosti o token.

enable_cae

bool

určuje, jestli se má pro požadovaný token povolit průběžné vyhodnocování přístupu (CAE). Výchozí hodnota je False.

Návraty

Přístupový token s požadovanými obory.

Návratový typ

AccessToken

Výjimky

CredentialUnavailableError

přihlašovací údaje se nemohou pokusit o ověření, protože nemají požadovaná data, stav nebo podporu platformy.

ClientAuthenticationError

ověřování se nezdařilo. Atribut chyby message uvádí důvod.