Sdílet prostřednictvím


identity Balíček

Přihlašovací údaje pro klienty Azure SDK

Balíčky

aio

Přihlašovací údaje pro asynchronní klienty Sady Azure SDK

Třídy

AuthenticationRecord

Informace o účtu, který není tajný, pro ověřeného uživatele

Tato třída umožňuje DeviceCodeCredential přístup InteractiveBrowserCredential k dříve uloženým ověřovacím datům v mezipaměti. Aplikace by neměly vytvářet instance této třídy. Místo toho by měli získat metodu ověřování přihlašovacích údajů, například authenticate. Další podrobnosti najdete v ukázce user_authentication.

AuthenticationRequiredError

K získání tokenu se vyžaduje interaktivní ověřování.

Tato chyba je vyvolána pouze interaktivními přihlašovacími údaji uživatele nakonfigurovanými tak, aby se podle potřeby automaticky nevybídá k interakci uživatele. Jeho vlastnosti poskytují další informace, které mohou být vyžadovány k ověření. Ukázka control_interactive_prompts ukazuje zpracování této chyby voláním metody "authenticate" přihlašovacích údajů.

AuthorizationCodeCredential

Ověřuje se uplatněním autorizačního kódu získaného dříve z Azure Active Directory.

Další informace o toku ověřování najdete v dokumentaci k Azure Active Directory .

AzureAuthorityHosts

Přihlašovací údaje pro klienty Azure SDK

AzureCliCredential

Ověřuje se vyžádáním tokenu z Azure CLI.

To vyžaduje předchozí přihlášení k Azure pomocí příkazu az login a použije aktuálně přihlášenou identitu rozhraní příkazového řádku.

AzureDeveloperCliCredential

Ověřuje se vyžádáním tokenu ze Azure Developer CLI.

Azure Developer CLI je nástroj rozhraní příkazového řádku, který vývojářům umožňuje vytvářet, spravovat a nasazovat prostředky v Azure. Je postavený na Rozhraní příkazového řádku Azure a poskytuje další funkce specifické pro vývojáře Azure. Umožňuje uživatelům ověřovat se jako uživatel nebo instanční objekt ve službě Azure Active Directory (Azure AD). AzureDeveloperCliCredential se ověří ve vývojovém prostředí a získá token jménem přihlášeného uživatele nebo instančního objektu v Azure Developer CLI. Funguje jako Azure Developer CLI přihlášeného uživatele nebo instančního objektu a spustí příkaz Azure CLI, který ověří aplikaci ve službě Azure Active Directory.

Aby bylo možné použít tyto přihlašovací údaje, musí se vývojář ověřit místně v Azure Developer CLI pomocí jednoho z následujících příkazů:

  • Spuštěním příkazu "azd auth login" v Azure Developer CLI interaktivně ověřte jako uživatel.

  • Spuštěním příkazu azd auth login –client-id 'client_id' –client-secret 'client_secret' –tenant-id 'tenant_id' ověřte jako instanční objekt.

V závislosti na platnosti obnovovacího tokenu ve vaší organizaci může být potřeba tento proces po určité době opakovat. Obecně platí, že doba platnosti tokenu aktualizace je několik týdnů až několik měsíců. AzureDeveloperCliCredential vás vyzve k opětovnému přihlášení.

AzurePowerShellCredential

Ověřuje se vyžádáním tokenu ze Azure PowerShell.

To vyžaduje předchozí přihlášení k Azure přes Connect-AzAccount a použije aktuálně přihlášenou identitu.

CertificateCredential

Ověřuje se jako instanční objekt pomocí certifikátu.

Certifikát musí mít privátní klíč RSA, protože tyto přihlašovací údaje podepisují kontrolní výrazy pomocí RS256. Další informace o konfiguraci ověřování certifikátů najdete v dokumentaci ke službě Azure Active Directory .

ChainedTokenCredential

Posloupnost přihlašovacích údajů, která je sama o sobě přihlašovacími údaji.

Jeho get_token metoda volá get_token u jednotlivých přihlašovacích údajů v pořadí, v uvedeném pořadí a vrací první platný přijatý token.

ClientAssertionCredential

Ověří instanční objekt pomocí kontrolního výrazu JWT.

Tyto přihlašovací údaje jsou určené pro pokročilé scénáře. CertificateCredential má pohodlnější rozhraní API pro nejběžnější scénář kontrolního výrazu, kdy se instanční objekt ověřuje certifikátem.

ClientSecretCredential

Ověřuje se jako instanční objekt pomocí tajného klíče klienta.

CredentialUnavailableError

Přihlašovací údaje se nepokusily o ověření, protože požadovaná data nebo stav nejsou k dispozici.

DefaultAzureCredential

Výchozí přihlašovací údaje schopné zpracovat většinu scénářů ověřování sady Azure SDK.

Identita, která se používá, závisí na prostředí. Když je potřeba přístupový token, vyžádá si ho s použitím těchto identit a zastaví se, když jedna poskytne token:

  1. Instanční objekt nakonfigurovaný proměnnými prostředí. Další podrobnosti najdete EnvironmentCredential v tématu.

  2. WorkloadIdentityCredential, pokud konfiguraci proměnné prostředí nastavuje webhook identity úlohy Azure.

  3. Spravovaná identita Azure. Další podrobnosti najdete ManagedIdentityCredential v tématu.

  4. Pouze ve Windows: Uživatel, který se přihlásil pomocí aplikace Microsoftu, jako je Visual Studio. Pokud je v mezipaměti více identit, použije se hodnota proměnné AZURE_USERNAME prostředí k výběru identity, která se má použít. Další podrobnosti najdete SharedTokenCacheCredential v tématu.

  5. Identita aktuálně přihlášená k Azure CLI

  6. Identita aktuálně přihlášená k Azure PowerShell.

  7. Identita aktuálně přihlášená k Azure Developer CLI.

Toto výchozí chování lze konfigurovat pomocí argumentů klíčových slov.

DeviceCodeCredential

Ověřuje uživatele prostřednictvím toku kódu zařízení.

Při get_token volání tyto přihlašovací údaje získají ověřovací adresu URL a kód z Azure Active Directory. Uživatel musí přejít na adresu URL, zadat kód a ověřit se pomocí Azure Active Directory. Pokud se uživatel úspěšně ověří, přihlašovací údaje obdrží přístupový token.

Tyto přihlašovací údaje jsou primárně užitečné pro ověřování uživatele v prostředí bez webového prohlížeče, jako je relace SSH. Pokud je dostupný webový prohlížeč, je pohodlnější, InteractiveBrowserCredential protože automaticky otevře prohlížeč na přihlašovací stránce.

EnvironmentCredential

Přihlašovací údaje nakonfigurované proměnnými prostředí.

Tyto přihlašovací údaje se mohou ověřovat jako instanční objekt pomocí tajného klíče klienta nebo certifikátu nebo jako uživatel s uživatelským jménem a heslem. Konfigurace se provede v tomto pořadí s použitím těchto proměnných prostředí:

Instanční objekt s tajným kódem:

  • AZURE_TENANT_ID: ID tenanta instančního objektu. Označuje se také jako ID adresáře.

  • AZURE_CLIENT_ID: ID klienta instančního objektu

  • AZURE_CLIENT_SECRET: jeden z tajných klíčů klienta instančního objektu

  • AZURE_AUTHORITY_HOST: autorita koncového bodu Azure Active Directory, například "login.microsoftonline.com", autorita pro veřejný cloud Azure, což je výchozí hodnota, když není zadaná žádná hodnota.

Instanční objekt s certifikátem:

  • AZURE_TENANT_ID: ID tenanta instančního objektu. Označuje se také jako ID adresáře.

  • AZURE_CLIENT_ID: ID klienta instančního objektu

  • AZURE_CLIENT_CERTIFICATE_PATH: cesta k souboru certifikátu PEM nebo PKCS12 včetně privátního klíče.

  • AZURE_CLIENT_CERTIFICATE_PASSWORD: (volitelné) heslo k souboru certifikátu, pokud existuje.

  • AZURE_AUTHORITY_HOST: autorita koncového bodu Azure Active Directory, například "login.microsoftonline.com", autorita pro veřejný cloud Azure, což je výchozí hodnota, když není zadaná žádná hodnota.

Uživatel s uživatelským jménem a heslem:

  • AZURE_CLIENT_ID: ID klienta aplikace

  • AZURE_USERNAME: uživatelské jméno (obvykle e-mailová adresa)

  • AZURE_PASSWORD: heslo uživatele

  • AZURE_TENANT_ID: (volitelné) ID tenanta instančního objektu. Označuje se také jako ID adresáře. Pokud není k dispozici, ve výchozím nastavení se nastaví tenant organizace, který podporuje jenom pracovní nebo školní účty Azure Active Directory.

  • AZURE_AUTHORITY_HOST: autorita koncového bodu Azure Active Directory, například "login.microsoftonline.com", autorita pro veřejný cloud Azure, což je výchozí hodnota, když není zadaná žádná hodnota.

InteractiveBrowserCredential

Otevře prohlížeč pro interaktivní ověřování uživatele.

get_token otevře prohlížeč na přihlašovací adresu URL poskytovanou službou Azure Active Directory a ověří tam uživatele s tokem autorizačního kódu, přičemž k ochraně kódu interně použije PKCE (proof key for Code Exchange).

KnownAuthorities

Alias pro AzureAuthorityHosts

ManagedIdentityCredential

Ověřuje se pomocí spravované identity Azure v libovolném hostitelském prostředí, které podporuje spravované identity.

Tyto přihlašovací údaje ve výchozím nastavení používají identitu přiřazenou systémem. Ke konfiguraci identity přiřazené uživatelem použijte jeden z argumentů klíčového slova. Další informace o konfiguraci spravované identity pro aplikace najdete v dokumentaci k Azure Active Directory .

OnBehalfOfCredential

Ověřuje instanční objekt prostřednictvím toku on-behalf-of.

Tento tok obvykle používají služby střední vrstvy, které autorizují požadavky na jiné služby s delegovanou identitou uživatele. Vzhledem k tomu, že se nejedná o tok interaktivního ověřování, musí mít aplikace, která ho používá, souhlas správce se všemi delegovanými oprávněními, než za ně požádá o tokeny. Podrobnější popis toku on-behalf-of najdete v dokumentaci k Azure Active Directory .

SharedTokenCacheCredential

Ověřuje se pomocí tokenů v místní mezipaměti sdílené mezi aplikacemi Microsoftu.

TokenCachePersistenceOptions

Možnosti pro ukládání trvalých tokenů do mezipaměti

Většina přihlašovacích údajů přijímá instanci této třídy a konfiguruje trvalé ukládání tokenů do mezipaměti. Výchozí hodnoty nakonfigurují přihlašovací údaje tak, aby používaly mezipaměť sdílenou s vývojářskými nástroji Microsoftu a SharedTokenCacheCredential. Pokud chcete data přihlašovacích údajů izolovat od jiných aplikací, zadejte název mezipaměti.

Ve výchozím nastavení se mezipaměť šifruje pomocí rozhraní API pro ochranu uživatelských dat aktuální platformy, a pokud tato funkce není k dispozici, vyvolá chybu. Pokud chcete nakonfigurovat mezipaměť tak, aby se místo vyvolání chyby vrátila k nezašifrovaným souborům, zadejte allow_unencrypted_storage=True.

Upozornění

Mezipaměť obsahuje ověřovací tajné kódy. Pokud mezipaměť není zašifrovaná, je jejím ochranou

odpovědnosti aplikace. Porušením jejího obsahu dojde k úplnému ohrožení účtů.

UsernamePasswordCredential

Ověří uživatele pomocí uživatelského jména a hesla.

Microsoft obecně tento druh ověřování nedoporučuje, protože je méně bezpečný než jiné ověřovací toky.

Ověřování pomocí těchto přihlašovacích údajů není interaktivní, takže není kompatibilní s žádnou formou vícefaktorového ověřování nebo výzvy k vyjádření souhlasu. Aplikace už musí mít souhlas uživatele nebo správce adresáře.

Tyto přihlašovací údaje mohou ověřovat pouze pracovní a školní účty; Účty Microsoft nejsou podporované. Další informace o typech účtů najdete v dokumentaci ke službě Azure Active Directory .

VisualStudioCodeCredential

Ověří se jako uživatel Azure přihlášený k editoru Visual Studio Code prostřednictvím rozšíření Azure Account.

Je známo , že tyto přihlašovací údaje nefungují s novějšími verzemi rozšíření účtu Azure než 0.9.11. Probíhá dlouhodobé řešení tohoto problému. Mezitím zvažte ověření pomocí AzureCliCredential.

WorkloadIdentityCredential

Ověřuje se pomocí identity úlohy Azure Active Directory.

Ověřování identit úloh je funkce v Azure, která umožňuje aplikacím běžícím na virtuálních počítačích přistupovat k dalším prostředkům Azure bez nutnosti instančního objektu nebo spravované identity. Při ověřování identit úloh se aplikace ověřují pomocí vlastní identity, a ne pomocí sdíleného instančního objektu nebo spravované identity. Ověřování identit úloh používá koncept přihlašovacích údajů účtu služby (SAC), které se automaticky vytvářejí v Azure a bezpečně se ukládají na virtuálním počítači. Pomocí ověřování identit úloh se můžete vyhnout nutnosti spravovat a obměňovat instanční objekty nebo spravované identity pro každou aplikaci na každém virtuálním počítači. Vzhledem k tomu, že se přidružení zabezpečení vytváří automaticky a spravuje je Azure, nemusíte si dělat starosti s ukládáním a zabezpečením citlivých přihlašovacích údajů.

WorkloadIdentityCredential podporuje ověřování identit úloh Azure v Azure Kubernetes a získává token pomocí přihlašovacích údajů účtu služby dostupných v prostředí Azure Kubernetes. Další informace najdete v tomto přehledu identit úloh .