Azure Identity-Clientbibliothek für JavaScript – Version 4.1.0
Die Azure Identity-Bibliothek bietet Microsoft Entra ID (ehemals Azure Active Directory) Tokenauthentifizierung über eine Reihe von praktischen TokenCredential-Implementierungen.
Beispiele für verschiedene Anmeldeinformationen finden Sie auf der Seite Azure Identity-Beispiele.
Wichtige Links:
Erste Schritte
Migrieren von v1 zu v2 von @azure/identity
Wenn Sie v1 von @azure/identity
verwenden, lesen Sie den Migrationsleitfaden zum Aktualisieren auf v2.
Die derzeitig unterstützten Umgebungen
- LTS-Versionen von Node.js
- Hinweis: Wenn Ihre Anwendung auf Node.js v8 oder niedriger ausgeführt wird und Sie Ihre Node.js Version nicht auf die neueste stabile Version aktualisieren können, heften Sie Ihre
@azure/identity
Abhängigkeit auf Version 1.1.0 an.
- Hinweis: Wenn Ihre Anwendung auf Node.js v8 oder niedriger ausgeführt wird und Sie Ihre Node.js Version nicht auf die neueste stabile Version aktualisieren können, heften Sie Ihre
- Neueste Versionen von Safari, Chrome, Edge und Firefox.
- Hinweis: Unter den verschiedenen Anmeldeinformationen, die in dieser Bibliothek exportiert werden,
InteractiveBrowserCredential
ist die einzige, die im Browser unterstützt wird.
- Hinweis: Unter den verschiedenen Anmeldeinformationen, die in dieser Bibliothek exportiert werden,
Ausführlichere Informationen finden Sie in der Supportrichtlinie.
Installieren des Pakets
Installieren von Azure Identity mit npm
:
npm install --save @azure/identity
Voraussetzungen
- Ein Azure-Abonnement.
- Optional: Die Azure CLI und/oder Azure PowerShell können auch nützlich sein, um sich in einer Entwicklungsumgebung zu authentifizieren und Kontorollen zu verwalten.
Empfohlene Verwendung von @azure/identity
Die von verfügbar gemachten @azure/identity
Anmeldeinformationsklassen sind darauf ausgerichtet, die einfachste Möglichkeit zur Authentifizierung der Azure SDK-Clients lokal, in Ihren Entwicklungsumgebungen und in der Produktion bereitzustellen. Wir streben nach Einfachheit und angemessener Unterstützung der Authentifizierungsprotokolle, um die meisten Authentifizierungsszenarien abzudecken, die in Azure möglich sind. Wir erweitern aktiv, um weitere Szenarien abzudecken. Eine vollständige Liste der angebotenen Anmeldeinformationen finden Sie im Abschnitt Anmeldeinformationsklassen .
Alle von bereitgestellten @azure/identity
Anmeldeinformationstypen werden in Node.js unterstützt. Für Browser ist der Anmeldeinformationstyp, InteractiveBrowserCredential
der für grundlegende Authentifizierungsszenarien verwendet werden soll.
Die meisten Anmeldeinformationstypen, die von der Microsoft Authentication Library for JavaScript (MSAL.js) angeboten werden@azure/identity
. Insbesondere verwenden wir die v2-MSAL.js-Bibliotheken, die den OAuth 2.0-Autorisierungscodefluss mit PKCE verwenden und OpenID-konform sind. Die MSAL.js Bibliotheken, z. B. @azure/msal-common, @azure/msal-node und @azure/msal-browser, sind zwar @azure/identity
auf Einfachheit ausgerichtet, bieten jedoch robuste Unterstützung für die von Azure unterstützten Authentifizierungsprotokolle.
Wann etwas anderes verwendet werden sollte
Bei den @azure/identity
Anmeldeinformationstypen handelt es TokenCredential
sich um Implementierungen der Klasse @azure/core-auth. Im Prinzip funktioniert jedes Objekt mit einer getToken
-Methode, die erfüllt getToken(scopes: string | string[], options?: GetTokenOptions): Promise<AccessToken | null>
, als TokenCredential
. Dies bedeutet, dass Entwickler ihre eigenen Anmeldeinformationstypen schreiben können, um Authentifizierungsfälle zu unterstützen, die nicht von abgedeckt werden @azure/identity
. Weitere Informationen finden Sie unter Benutzerdefinierte Anmeldeinformationen.
Obwohl unsere Anmeldeinformationstypen viele erweiterte Fälle unterstützen, möchten Entwickler möglicherweise die vollständige Kontrolle über das Authentifizierungsprotokoll. Für diesen Anwendungsfall wird empfohlen, die Microsoft Authentication Library for JavaScript (MSAL.js) direkt zu verwenden. Weitere Informationen finden Sie unter den folgenden Links:
- Wir stellen einige erweiterte Anwendungsfälle von
@azure/identity
auf der Seite Azure Identity Examples (Beispiele für Azure Identity) dar .- Dort haben wir speziell einen Abschnitt "Erweiterte Beispiele" .
- Wir haben auch einen Abschnitt, in dem gezeigt wird, wie Sie sich direkt mit MSAL authentifizieren.
Für erweiterte Authentifizierungsworkflows im Browser gibt es einen Abschnitt, in dem gezeigt wird, wie Sie die @azure/msal-browser-Bibliothek direkt verwenden, um Azure SDK-Clients zu authentifizieren.
Authentifizieren des Clients in der Entwicklungsumgebung
Wir empfehlen zwar die Verwendung der verwalteten Identitäts- oder Dienstprinzipalauthentifizierung in Ihrer Produktionsanwendung, beim lokalen Debuggen und Ausführen von Code verwenden Entwickler jedoch typischerweise ihre eigenen Konten zum Authentifizieren von Aufrufen an Azure-Dienste. Es gibt mehrere Entwicklertools, die verwendet werden können, um diese Authentifizierung in Ihrer Entwicklungsumgebung auszuführen.
Authentifizieren über den Azure Developer CLI
Entwickler, die außerhalb einer IDE codieren, können auch die [Azure Developer CLI][azure_developer_cli] verwenden, um sich zu authentifizieren. Anwendungen, die DefaultAzureCredential
oder AzureDeveloperCliCredential
verwenden, können dieses Konto beim lokalen Ausführen dann zum Authentifizieren von Aufrufen in ihrer Anwendung verwenden.
Um sich bei [Azure Developer CLI][azure_developer_cli] zu authentifizieren, können Benutzer den Befehl azd auth login
ausführen. Für Benutzer, die auf einem System mit einem Standardwebbrowser ausgeführt werden, startet der Azure Developer CLI den Browser, um den Benutzer zu authentifizieren.
Für Systeme ohne Standardwebbrowser verwendet der azd auth login --use-device-code
-Befehl den Gerätecode-Authentifizierungsfluss.
Authentifizieren über die Azure CLI
Anwendungen, die direkt oder über das AzureCliCredential
DefaultAzureCredential
verwenden, können das Azure CLI-Konto verwenden, um Aufrufe in der Anwendung zu authentifizieren, wenn sie lokal ausgeführt werden.
Um sich bei der Azure CLI zu authentifizieren, können Benutzer den Befehl az login
ausführen. Für Benutzer in einem System mit einem Standardwebbrowser startet die Azure CLI den Browser, um den Benutzer zu authentifizieren.
Für Systeme ohne Standardwebbrowser verwendet der az login
-Befehl den Gerätecode-Authentifizierungsfluss. Der Benutzer kann durch Angeben des Arguments --use-device-code
auch erzwingen, dass die Azure CLI den Gerätecodefluss verwendet, anstatt einen Browser zu starten.
Authentifizieren über Azure PowerShell
Anwendungen, die direkt oder über das AzurePowerShellCredential
DefaultAzureCredential
verwenden, können das mit Azure PowerShell verbundene Konto verwenden, um Aufrufe in der Anwendung zu authentifizieren, wenn sie lokal ausgeführt werden.
Um sich bei Azure PowerShell Benutzer zu authentifizieren, können Sie das Connect-AzAccount
Cmdlet ausführen. Standardmäßig startet ike die Azure CLI Connect-AzAccount
den Standardwebbrowser, um ein Benutzerkonto zu authentifizieren.
Wenn die interaktive Authentifizierung in der Sitzung nicht unterstützt werden kann, erzwingt das -UseDeviceAuthentication
Argument, dass das Cmdlet stattdessen einen Authentifizierungsfluss für Gerätecode verwendet, ähnlich der entsprechenden Option in den Anmeldeinformationen der Azure CLI.
Authentifizieren über Visual Studio Code
Entwickler, die Visual Studio Code verwenden, können die Azure-Kontoerweiterung verwenden, um sich über den Editor zu authentifizieren. Apps, die verwenden VisualStudioCodeCredential
, können dieses Konto dann verwenden, um Anrufe in ihrer App zu authentifizieren, wenn sie lokal ausgeführt werden.
Stellen Sie zum Authentifizieren in Visual Studio Code sicher, dass die Azure-Kontoerweiterung installiert ist. Öffnen Sie nach der Installation die Befehlspalette , und führen Sie den Befehl Azure: Anmelden aus .
Verwenden Sie zusätzlich das @azure/identity-vscode
Plug-In-Paket. Dieses Paket stellt die Abhängigkeiten von VisualStudioCodeCredential
bereit und aktiviert es. Siehe Plugins.
Es handelt sich um ein bekanntes Problem, das bei Azure-Kontoerweiterungsversionen, die VisualStudioCodeCredential
neuer als 0.9.11 sind, nicht funktioniert. Es wird eine langfristige Lösung für dieses Problem ausgeführt. Erwägen Sie in der Zwischenzeit die Authentifizierung über die Azure CLI.
Authentifizieren des Clients in Browsern
Um Azure SDK-Clients in Webbrowsern zu authentifizieren, bieten wir den an, der InteractiveBrowserCredential
so festgelegt werden kann, dass die Umleitung oder Popups zum Abschließen des Authentifizierungsflusses verwendet werden können. Es ist erforderlich, zuerst eine Azure-App Registrierung im Azure-Portal für Ihre Webanwendung zu erstellen.
Wichtige Begriffe
Wenn Sie dies zum ersten Mal verwenden @azure/identity
oder Microsoft Entra ID, lesen Sie zuerst Verwenden @azure/identity
mit Microsoft Entra ID. Dieses Dokument bietet ein tieferes Verständnis der Plattform und der richtigen Konfiguration Ihres Azure-Kontos.
Anmeldeinformationen
Bei den Anmeldeinformationen handelt es sich um eine Klasse, die die Daten enthält oder abrufen kann, die für einen Dienstclient zum Authentifizieren von Anforderungen erforderlich sind. Dienstclients im azure SDK akzeptieren Anmeldeinformationen, wenn sie erstellt werden. Dienstclients verwenden diese Anmeldeinformationen, um Anforderungen beim Dienst zu authentifizieren.
Die Azure Identity-Bibliothek konzentriert sich auf die OAuth-Authentifizierung mit Microsoft Entra ID und bietet eine Vielzahl von Anmeldeinformationsklassen, die ein Microsoft Entra Token zum Authentifizieren von Dienstanforderungen abrufen können. Alle Anmeldeinformationsklassen in dieser Bibliothek sind Implementierungen der abstrakten Klasse TokenCredential, und jede von ihnen kann verwendet werden, um Dienstclients zu erstellen, die sich mit einem TokenCredential authentifizieren können.
Siehe Anmeldeinformationsklassen.
DefaultAzureCredential
Eignet DefaultAzureCredential
sich für die meisten Szenarien, in denen die Anwendung letztendlich in Azure ausgeführt werden soll. Dies liegt daran, dass die Anmeldeinformationen kombiniert, die DefaultAzureCredential
häufig zur Authentifizierung verwendet werden, wenn sie bereitgestellt werden, mit Anmeldeinformationen, die für die Authentifizierung in einer Entwicklungsumgebung verwendet werden.
Hinweis:
DefaultAzureCredential
Soll den Einstieg in das SDK vereinfachen, indem gängige Szenarien mit vernünftigem Standardverhalten behandelt werden. Entwickler, die mehr Kontrolle wünschen oder deren Szenario von den Standardeinstellungen nicht abgedeckt wird, sollten andere Anmeldeinformationstypen verwenden.
Wenn von Node.js verwendet wird, wird versucht, DefaultAzureCredential
sich über die folgenden Mechanismen in der Reihenfolge zu authentifizieren:
- Umgebung : Liest
DefaultAzureCredential
Kontoinformationen, die über Umgebungsvariablen angegeben wurden, und verwendet sie für die Authentifizierung. - Workloadidentität: Wenn die Anwendung in Azure Kubernetes Service mit aktivierter verwalteter Identität bereitgestellt wird,
DefaultAzureCredential
authentifiziert sich damit. - Verwaltete Identität : Wenn die Anwendung auf einem Azure-Host mit aktivierter verwalteter Identität bereitgestellt wird, authentifiziert sich mit
DefaultAzureCredential
diesem Konto. - Azure CLI : Wenn der Entwickler ein Konto über den Azure CLI-Befehl
az login
authentifiziert hat, authentifiziert sich mitDefaultAzureCredential
diesem Konto. - Azure PowerShell: Wenn sich der Entwickler mit dem Azure PowerShell-Modulbefehl
Connect-AzAccount
authentifiziert hat, authentifiziert sich derDefaultAzureCredential
mit diesem Konto. - Azure Developer CLI: Wenn der Entwickler ein Konto über den Befehl Azure Developer CLI
azd auth login
authentifiziert hat, authentifiziert sich derDefaultAzureCredential
mit diesem Konto.
Fortsetzungsrichtlinie
Ab Version 3.3.0 versucht, sich mit allen Entwickleranmeldeinformationen zu authentifizieren, DefaultAzureCredential
bis eine erfolgreich ist, unabhängig von Fehlern, die früheren Entwickleranmeldeinformationen aufgetreten sind. Beispielsweise kann ein Entwickleranmeldeinformation versuchen, ein Token abzurufen, und schlägt fehl. DefaultAzureCredential
Daher werden die nächsten Anmeldeinformationen im Flow fortgesetzt. Bereitgestellte Dienstanmeldeinformationen beenden den Flow mit einer ausgelösten Ausnahme, wenn sie versuchen können, Token abzurufen, aber keine empfangen.
Dies ermöglicht es, alle Entwickleranmeldeinformationen auf Ihrem Computer zu testen und gleichzeitig ein vorhersagbares bereitgestelltes Verhalten zu haben.
Hinweis zu VisualStudioCodeCredential
Aufgrund eines bekannten ProblemsVisualStudioCodeCredential
wurde aus der DefaultAzureCredential
Tokenkette entfernt. Wenn das Problem in einem zukünftigen Release behoben wird, wird diese Änderung wiederhergestellt.
Plug-Ins
Azure Identity for JavaScript bietet eine Plug-In-API, mit der wir bestimmte Funktionen über separate Plug-In-Pakete bereitstellen können. Das @azure/identity
Paket exportiert eine Funktion der obersten Ebene (useIdentityPlugin
), die zum Aktivieren eines Plug-Ins verwendet werden kann. Wir bieten zwei Plug-In-Pakete:
@azure/identity-broker
, das Unterstützung für die Brokerauthentifizierung über einen nativen Broker bereitstellt, z. B. Web account Manager.@azure/identity-cache-persistence
, das eine persistente Tokenzwischenspeicherung in Node.js unter Verwendung eines nativen sicheren Speichersystems bereitstellt, das von Ihrem Betriebssystem bereitgestellt wird. Mit diesem Plug-In können zwischengespeicherteaccess_token
Werte sitzungsübergreifend beibehalten werden, was bedeutet, dass ein interaktiver Anmeldeflow nicht wiederholt werden muss, solange ein zwischengespeichertes Token verfügbar ist.
Beispiele
Weitere Beispiele für die Verwendung verschiedener Anmeldeinformationen finden Sie auf der Seite „Azure Identity Examples“
Authentifizieren mit der DefaultAzureCredential
In diesem Beispiel wird die Authentifizierung von KeyClient
aus der clientbibliothek @azure/keyvault-keys mithilfe von DefaultAzureCredential
veranschaulicht.
// The default credential first checks environment variables for configuration as described above.
// If environment configuration is incomplete, it will try managed identity.
// Azure Key Vault service to use
import { KeyClient } from "@azure/keyvault-keys";
// Azure authentication library to access Azure Key Vault
import { DefaultAzureCredential } from "@azure/identity";
// Azure SDK clients accept the credential as a parameter
const credential = new DefaultAzureCredential();
// Create authenticated client
const client = new KeyClient(vaultUrl, credential);
Geben Sie eine benutzerseitig zugewiesene verwaltete Identität mit dem DefaultAzureCredential
Ein relativ häufiges Szenario umfasst die Authentifizierung mithilfe einer benutzerseitig zugewiesenen verwalteten Identität für eine Azure-Ressource. Sehen Sie sich das Beispiel zur Authentifizierung einer benutzerseitig zugewiesenen verwalteten Identität mit DefaultAzureCredential an, um zu sehen, wie dies zu einer relativ einfachen Aufgabe gemacht wird, die mithilfe von Umgebungsvariablen oder im Code konfiguriert werden kann.
Definieren eines benutzerdefinierten Authentifizierungsflusses mit ChainedTokenCredential
DefaultAzureCredential
ist zwar im Allgemeinen die schnellste Möglichkeit, mit der Entwicklung von Anwendungen für Azure zu beginnen, erfahrenere Benutzer möchten aber möglicherweise die Anmeldeinformationen anpassen, die bei der Authentifizierung berücksichtigt werden. Mit ChainedTokenCredential
können Benutzer mehrere Anmeldeinformationeninstanzen kombinieren, um eine angepasste Kette von Anmeldeinformationen zu definieren. In diesem Beispiel wird das Erstellen eines ChainedTokenCredential
veranschaulicht, bei dem versucht wird, sich mit zwei unterschiedlich konfigurierten Instanzen von ClientSecretCredential
zu authentifizieren, um dann die KeyClient
von den @azure/keyvault-keys zu authentifizieren:
import { ClientSecretCredential, ChainedTokenCredential } from "@azure/identity";
// When an access token is requested, the chain will try each
// credential in order, stopping when one provides a token
const firstCredential = new ClientSecretCredential(tenantId, clientId, clientSecret);
const secondCredential = new ClientSecretCredential(tenantId, anotherClientId, anotherSecret);
const credentialChain = new ChainedTokenCredential(firstCredential, secondCredential);
// The chain can be used anywhere a credential is required
import { KeyClient } from "@azure/keyvault-keys";
const client = new KeyClient(vaultUrl, credentialChain);
Unterstützung verwalteter Identitäten
Die Authentifizierung verwalteter Identitäten wird entweder über die DefaultAzureCredential
Anmeldeinformationsklassen oder ManagedIdentityCredential
direkt für die folgenden Azure-Dienste unterstützt:
- Azure App Service und Azure Functions
- Azure Arc
- Azure Cloud Shell
- Azure Kubernetes Service
- Azure Service Fabric
- Dokumentation zu virtuellen Computern
- Azure-VM-Skalierungsgruppen
Beispiele für die Verwendung einer verwalteten Identität für die Authentifizierung finden Sie in den Beispielen.
Cloudkonfiguration
Anmeldeinformationen werden standardmäßig beim Microsoft Entra Endpunkt für die öffentliche Azure-Cloud authentifiziert. Um auf Ressourcen in anderen Clouds wie Azure Government oder einer privaten Cloud zuzugreifen, konfigurieren Sie Anmeldeinformationen mit dem authorityHost
Argument im Konstruktor. Die AzureAuthorityHosts
Schnittstelle definiert Autoritäten für bekannte Clouds. Für die US Government-Cloud können Sie Anmeldeinformationen auf diese Weise instanziieren:
import { AzureAuthorityHosts, ClientSecretCredential } from "@azure/identity";
const credential = new ClientSecretCredential(
"<YOUR_TENANT_ID>",
"<YOUR_CLIENT_ID>",
"<YOUR_CLIENT_SECRET>",
{
authorityHost: AzureAuthorityHosts.AzureGovernment,
}
);
Nicht für alle Anmeldeinformationen ist diese Konfiguration erforderlich. Anmeldeinformationen, die sich über ein Entwicklungstool authentifizieren, z AzureCliCredential
. B. , verwenden die Konfiguration dieses Tools. Akzeptiert ebenso ein authorityHost
Argument, VisualStudioCodeCredential
verwendet aber standardmäßig die authorityHost
entsprechende Azure: Cloud-Einstellung von Visual Studio Code.
Anmeldeinformationsklassen
Authentifizieren von azure gehosteten Anwendungen
Leistungsnachweis | Verwendung | Beispiel |
---|---|---|
DefaultAzureCredential |
Bietet eine vereinfachte Authentifizierungsoberfläche, um schnell mit der Entwicklung von Anwendungen zu beginnen, die in Azure ausgeführt werden. | Beispiel |
ChainedTokenCredential |
Ermöglicht Benutzern das Definieren von benutzerdefinierten Authentifizierungsflüssen, die mehrere Anmeldeinformationen erstellen. | Beispiel |
EnvironmentCredential |
Authentifiziert einen Dienstprinzipal oder Benutzer über die in den Umgebungsvariablen angegebenen Anmeldeinformationen. | Beispiel |
ManagedIdentityCredential |
Authentifiziert die verwaltete Identität einer Azure-Ressource. | Beispiel |
WorkloadIdentityCredential |
Unterstützt Microsoft Entra Workload ID in Kubernetes. | Beispiel |
Authentifizieren von Dienstprinzipalen
Leistungsnachweis | Verwendung | Beispiel | Referenz |
---|---|---|---|
ClientAssertionCredential |
Authentifiziert einen Dienstprinzipal mithilfe einer signierten Clientassertion. | Beispiel | Dienstprinzipalauthentifizierung |
ClientCertificateCredential |
Authentifiziert einen Dienstprinzipal mithilfe eines Zertifikats. | Beispiel | Dienstprinzipalauthentifizierung |
ClientSecretCredential |
Authentifiziert einen Dienstprinzipal mithilfe eines geheimen Schlüssels. | Beispiel | Dienstprinzipalauthentifizierung |
Authentifizieren von Benutzern
Leistungsnachweis | Verwendung | Beispiel | Referenz |
---|---|---|---|
AuthorizationCodeCredential |
Authentifiziert einen Benutzer mit einem zuvor abgerufenen Autorisierungscode. | Beispiel | OAuth2-Authentifizierungscode |
DeviceCodeCredential |
Authentifiziert einen Benutzer interaktiv auf Geräten mit eingeschränkter Benutzeroberfläche. | Beispiel | Gerätecodeauthentifizierung |
InteractiveBrowserCredential |
Authentifiziert einen Benutzer interaktiv mit dem Standardsystembrowser. Weitere Informationen dazu, wie dies geschieht, finden Sie hier. | Beispiel | OAuth2-Authentifizierungscode |
OnBehalfOfCredential |
Weitergabe der delegierten Benutzeridentität und -berechtigungen über die Anforderungskette | Authentifizierung im Auftrag von | |
UsernamePasswordCredential |
Authentifiziert einen Benutzer mit einem Benutzernamen und einem Kennwort. | Beispiel | Authentifizierung mit Benutzername + Kennwort |
Authentifizieren über Entwicklungstools
Leistungsnachweis | Verwendung | Beispiel | Referenz |
---|---|---|---|
AzureCliCredential |
Authentifizieren in einer Entwicklungsumgebung mit der Azure CLI. | Beispiel | Azure CLI-Authentifizierung |
AzureDeveloperCliCredential |
Authentifizieren Sie sich in einer Entwicklungsumgebung mit dem aktivierten Benutzer oder Dienstprinzipal in Azure Developer CLI. | Azure Developer CLI-Referenz | |
AzurePowerShellCredential |
Authentifizieren Sie sich in einer Entwicklungsumgebung mit Azure PowerShell. | Beispiel | Azure PowerShell-Authentifizierung |
VisualStudioCodeCredential |
Authentifiziert sich als Benutzer, der bei der Azure-Kontoerweiterung von Visual Studio Code angemeldet ist. | Azure-Kontoerweiterung für VS Code |
Umgebungsvariablen
DefaultAzureCredential
und EnvironmentCredential
können mit Umgebungsvariablen konfiguriert werden. Jeder Authentifizierungstyp erfordert Werte für bestimmte Variablen.
Dienstprinzipal mit Geheimnis
Variablenname | Wert |
---|---|
AZURE_CLIENT_ID |
ID einer Microsoft Entra-Anwendung |
AZURE_TENANT_ID |
ID des Microsoft Entra Mandanten der Anwendung |
AZURE_CLIENT_SECRET |
Eines der Clientgeheimnisse der Anwendung |
Dienstprinzipal mit Zertifikat
Variablenname | Wert |
---|---|
AZURE_CLIENT_ID |
ID einer Microsoft Entra-Anwendung |
AZURE_TENANT_ID |
ID des Microsoft Entra Mandanten der Anwendung |
AZURE_CLIENT_CERTIFICATE_PATH |
Pfad zu einer PEM-codierten Zertifikatdatei einschließlich privatem Schlüssel |
AZURE_CLIENT_CERTIFICATE_PASSWORD |
Kennwort der Zertifikatdatei, falls vorhanden |
Benutzername und Kennwort
Variablenname | Wert |
---|---|
AZURE_CLIENT_ID |
ID einer Microsoft Entra-Anwendung |
AZURE_TENANT_ID |
ID des Microsoft Entra Mandanten der Anwendung |
AZURE_USERNAME |
Ein Benutzername (normalerweise eine E-Mail-Adresse) |
AZURE_PASSWORD |
Das Kennwort des Benutzers |
Die Konfiguration wird in der oben genannten Reihenfolge versucht. Wenn zum Beispiel sowohl Werte für ein Clientgeheimnis als auch für ein Zertifikat vorhanden sind, wird das Clientgeheimnis verwendet.
Fortlaufende Zugriffsevaluierung
Ab Version 3.3.0 ist der Zugriff auf Ressourcen, die durch continuous Access Evaluation (CAE) geschützt sind, auf Anforderungsbasis möglich. Dies kann mithilfe der GetTokenOptions.enableCae(boolean)
API aktiviert werden. CAE wird für Entwickleranmeldeinformationen nicht unterstützt.
Zwischenspeichern von Tokens
Tokenzwischenspeicherung ist ein Feature, das von der Azure Identity-Bibliothek bereitgestellt wird und Apps Folgendes ermöglicht:
- Cachetoken im Arbeitsspeicher (Standard) und auf dem Datenträger (Opt-In).
- Verbessern sie Resilienz und Leistung.
- Verringern Sie die Anzahl der Anforderungen, die an Microsoft Entra ID zum Abrufen von Zugriffstoken gesendet werden.
Die Azure Identity-Bibliothek bietet sowohl In-Memory- als auch persistente Datenträgerzwischenspeicherung. Weitere Informationen finden Sie in der Dokumentation zur Tokenzwischenspeicherung.
Brokerauthentifizierung
Ein Authentifizierungsbroker ist eine Anwendung, die auf dem Computer eines Benutzers ausgeführt wird und die Authentifizierungshandshakes und die Tokenwartung für verbundene Konten verwaltet. Derzeit wird nur der Windows Web Account Manager (WAM) unterstützt. Verwenden Sie das Paket, um den @azure/identity-broker
Support zu aktivieren. Ausführliche Informationen zur Authentifizierung mit WAM finden Sie in der Dokumentation zum Broker-Plug-In.
Problembehandlung
Hilfe bei der Problembehandlung finden Sie im Leitfaden zur Problembehandlung.
Nächste Schritte
Dokumentation lesen
Die API-Dokumentation für diese Bibliothek finden Sie auf unserer Dokumentationswebsite.
Unterstützung von Clientbibliotheken
Client- und Verwaltungsbibliotheken, die auf der Seite "Azure SDK-Releases" aufgeführt sind und Microsoft Entra Authentifizierung unterstützen, akzeptieren Anmeldeinformationen aus dieser Bibliothek. Weitere Informationen zur Verwendung dieser Bibliotheken finden Sie in der Dokumentation, die auf der Releaseseite verlinkt ist.
Bekannte Probleme
Azure AD B2C-Unterstützung
Diese Bibliothek unterstützt den Azure AD B2C-Dienst nicht.
Weitere offene Probleme finden Sie im GitHub-Repository der Bibliothek.
Feedback bereitstellen
Wenn Fehler auftreten oder wenn Sie Vorschläge haben, erstellen Sie ein Problem.
Mitwirken
Wenn Sie an dieser Bibliothek mitwirken möchten, lesen Sie die Anleitung für Mitwirkende, um mehr darüber zu erfahren, wie Sie den Code erstellen und testen können.
Azure SDK for JavaScript
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für