Azure Identity-Clientbibliothek für JavaScript– Version 3.3.0
Die Azure Identity-Bibliothek stellt die Azure Active Directory-Tokenauthentifizierung (Azure AD) über eine Reihe von praktischen TokenCredential-Implementierungen bereit.
Beispiele für verschiedene Anmeldeinformationen finden Sie auf der Seite Azure Identity-Beispiele.
Wichtige Links:
Erste Schritte
Migrieren von v1 zu v2 von @azure/identity
Wenn Sie v1 von @azure/identityverwenden, lesen Sie den Migrationsleitfaden zum Aktualisieren auf v2.
Die derzeitig unterstützten Umgebungen
- LTS-Versionen von Node.js
- Hinweis: Wenn Ihre Anwendung unter Node.js v8 oder niedriger ausgeführt wird und Sie Ihr Node.js Version nicht auf die neueste stabile Version aktualisieren können, heften Sie Ihre
@azure/identityAbhängigkeit an Version 1.1.0 an.
- Hinweis: Wenn Ihre Anwendung unter Node.js v8 oder niedriger ausgeführt wird und Sie Ihr Node.js Version nicht auf die neueste stabile Version aktualisieren können, heften Sie Ihre
- Neueste Versionen von Safari, Chrome, Edge und Firefox.
- Hinweis: Unter den verschiedenen Anmeldeinformationen, die in dieser Bibliothek exportiert werden,
InteractiveBrowserCredentialist die einzige, die im Browser unterstützt wird.
- Hinweis: Unter den verschiedenen Anmeldeinformationen, die in dieser Bibliothek exportiert werden,
Ausführlichere Informationen finden Sie in der Supportrichtlinie.
Installieren des Pakets
Installieren von Azure Identity mit npm:
npm install --save @azure/identity
Voraussetzungen
- Ein Azure-Abonnement.
- Optional: Die Azure CLI und/oder Azure PowerShell können auch für die Authentifizierung in einer Entwicklungsumgebung und die Verwaltung von Kontorollen nützlich sein.
Empfohlene Verwendung von @azure/identity
Die von verfügbar gemachten @azure/identity Anmeldeinformationsklassen konzentrieren sich auf die einfachste Möglichkeit, die Azure SDK-Clients lokal, in Ihren Entwicklungsumgebungen und in der Produktion zu authentifizieren. Wir streben die Einfachheit und angemessene Unterstützung der Authentifizierungsprotokolle an, um die meisten Authentifizierungsszenarien abzudecken, die in Azure möglich sind. Wir erweitern aktiv, um weitere Szenarien abzudecken. Eine vollständige Liste der angebotenen Anmeldeinformationen finden Sie im Abschnitt Anmeldeinformationsklassen .
Alle von bereitgestellten @azure/identity Anmeldeinformationstypen werden in Node.js unterstützt. Für Browser ist der Anmeldeinformationstyp, InteractiveBrowserCredential der für Standardauthentifizierungsszenarien verwendet werden soll.
Die meisten von angebotenen @azure/identity Anmeldeinformationstypen verwenden die Microsoft Authentication Library for JavaScript (MSAL.js). Insbesondere verwenden wir die v2-MSAL.js-Bibliotheken, die den OAuth 2.0-Autorisierungscodefluss mit PKCE verwenden und OpenID-kompatibel sind. Die MSAL.js Bibliotheken, z. B. @azure/msal-common, @azure/msal-node und @azure/msal-browser, sind zwar @azure/identity auf Einfachheit ausgerichtet, bieten jedoch eine robuste Unterstützung für die von Azure unterstützten Authentifizierungsprotokolle.
Wann sollte etwas anderes verwendet werden?
Die @azure/identity Anmeldeinformationstypen sind Implementierungen der Klasse @azure/core-authTokenCredential. Im Prinzip funktioniert jedes Objekt mit einer getToken -Methode, die erfüllt, getToken(scopes: string | string[], options?: GetTokenOptions): Promise<AccessToken | null> als .TokenCredential Dies bedeutet, dass Entwickler ihre eigenen Anmeldeinformationstypen schreiben können, um Authentifizierungsfälle zu unterstützen, die nicht von abgedeckt werden @azure/identity. Weitere Informationen finden Sie unter Benutzerdefinierte Anmeldeinformationen.
Obwohl unsere Anmeldeinformationstypen viele erweiterte Fälle unterstützen, möchten Entwickler möglicherweise vollständige Kontrolle über das Authentifizierungsprotokoll. Für diesen Anwendungsfall wird die direkte Verwendung der Microsoft-Authentifizierungsbibliothek für JavaScript (MSAL.js) empfohlen. Weitere Informationen finden Sie unter den folgenden Links:
- Auf der Seite Azure Identity Examples (Beispiele für Azure-Identitäten) werden einige erweiterte Anwendungsfälle von
@azure/identitybeschrieben.- Dort haben wir speziell einen Abschnitt Erweiterte Beispiele .
- Wir haben auch einen Abschnitt, der zeigt, wie Sie sich direkt mit MSAL authentifizieren.
Für erweiterte Authentifizierungsworkflows im Browser wird in einem Abschnitt erläutert, wie Sie die @azure/msal-browser-Bibliothek direkt zum Authentifizieren von Azure SDK-Clients verwenden.
Authentifizieren des Clients in der Entwicklungsumgebung
Wir empfehlen zwar die Verwendung der verwalteten Identitäts- oder Dienstprinzipalauthentifizierung in Ihrer Produktionsanwendung, beim lokalen Debuggen und Ausführen von Code verwenden Entwickler jedoch typischerweise ihre eigenen Konten zum Authentifizieren von Aufrufen an Azure-Dienste. Es gibt mehrere Entwicklertools, die verwendet werden können, um diese Authentifizierung in Ihrer Entwicklungsumgebung auszuführen.
Authentifizieren über die Azure Developer CLI
Entwickler, die außerhalb einer IDE programmieren, können auch die [Azure Developer CLI][azure_developer_cli] zur Authentifizierung verwenden. Anwendungen, die DefaultAzureCredential oder AzureDeveloperCliCredential verwenden, können dieses Konto beim lokalen Ausführen dann zum Authentifizieren von Aufrufen in ihrer Anwendung verwenden.
Zur Authentifizierung mit [Azure Developer CLI][azure_developer_cli] können Benutzer den Befehl azd auth loginausführen. Für Benutzer, die auf einem System mit einem Standardwebbrowser ausgeführt werden, startet die Azure Developer CLI den Browser, um den Benutzer zu authentifizieren.
Für Systeme ohne Standardwebbrowser verwendet der azd auth login --use-device-code-Befehl den Gerätecode-Authentifizierungsfluss.
Authentifizieren über die Azure CLI
Anwendungen, die AzureCliCredentialdirekt oder über das DefaultAzureCredentialverwenden, können das Azure CLI-Konto verwenden, um Aufrufe in der Anwendung zu authentifizieren, wenn sie lokal ausgeführt werden.
Um sich bei der Azure CLI zu authentifizieren, können Benutzer den Befehl az login ausführen. Für Benutzer in einem System mit einem Standardwebbrowser startet die Azure CLI den Browser, um den Benutzer zu authentifizieren.
Für Systeme ohne Standardwebbrowser verwendet der az login-Befehl den Gerätecode-Authentifizierungsfluss. Der Benutzer kann durch Angeben des Arguments --use-device-code auch erzwingen, dass die Azure CLI den Gerätecodefluss verwendet, anstatt einen Browser zu starten.
Authentifizieren über Azure PowerShell
Anwendungen, die AzurePowerShellCredentialdirekt oder über das verwenden, können das konto, das DefaultAzureCredentialmit Azure PowerShell verbunden ist, verwenden, um Aufrufe in der Anwendung zu authentifizieren, wenn sie lokal ausgeführt werden.
Um sich bei Azure PowerShell Benutzer das Cmdlet ausführen können, um sich bei Azure PowerShell authentifizieren Connect-AzAccount zu können. Standardmäßig startet ike die Azure CLI den Standardwebbrowser, Connect-AzAccount um ein Benutzerkonto zu authentifizieren.
Wenn die interaktive Authentifizierung in der Sitzung nicht unterstützt werden kann, erzwingt das -UseDeviceAuthentication Argument, dass das Cmdlet stattdessen einen Gerätecodeauthentifizierungsflow verwendet, ähnlich der entsprechenden Option in den Azure CLI-Anmeldeinformationen.
Authentifizieren über Visual Studio Code
Entwickler, die Visual Studio Code verwenden, können die Azure-Kontoerweiterung verwenden, um sich über den Editor zu authentifizieren. Apps, die verwenden VisualStudioCodeCredential , können dann dieses Konto verwenden, um Aufrufe in ihrer App zu authentifizieren, wenn sie lokal ausgeführt werden.
Stellen Sie für die Authentifizierung in Visual Studio Code sicher, dass die Azure-Kontoerweiterung installiert ist. Öffnen Sie nach der Installation die Befehlspalette , und führen Sie den Befehl Azure: Anmelden aus .
Verwenden Sie außerdem das @azure/identity-vscode Plug-In-Paket. Dieses Paket stellt die Abhängigkeiten von VisualStudioCodeCredential bereit und aktiviert sie. Weitere Informationen finden Sie unter Plug-Ins.
Es handelt sich um ein bekanntes Problem , das VisualStudioCodeCredential mit Azure-Kontoerweiterungsversionen neuer als 0.9.11 nicht funktioniert. Eine langfristige Lösung dieses Problems wird ausgeführt. In der Zwischenzeit sollten Sie sich über die Azure CLI authentifizieren.
Authentifizieren des Clients in Browsern
Zum Authentifizieren von Azure SDK-Clients in Webbrowsern bieten wir die InteractiveBrowserCredentialan, die so festgelegt werden kann, dass umgeleitet oder Popups zum Abschließen des Authentifizierungsflows verwendet werden. Es ist erforderlich, zuerst eine Azure-App Registrierung im Azure-Portal für Ihre Webanwendung zu erstellen.
Wichtige Begriffe
Wenn Sie die Microsoft Identity Platform (Azure AD) zum ersten Mal verwenden @azure/identity , lesen Sie zuerst Verwenden @azure/identity mit Microsoft Identity Platform . Dieses Dokument bietet ein tieferes Verständnis der Plattform und der richtigen Konfiguration Ihres Azure-Kontos.
Anmeldeinformationen
Bei den Anmeldeinformationen handelt es sich um eine Klasse, die die Daten enthält oder abrufen kann, die für einen Dienstclient zum Authentifizieren von Anforderungen erforderlich sind. Dienstclients im azure SDK akzeptieren Anmeldeinformationen, wenn sie erstellt werden. Dienstclients verwenden diese Anmeldeinformationen, um Anforderungen an den Dienst zu authentifizieren.
Die Azure Identity-Bibliothek konzentriert sich auf die OAuth-Authentifizierung mit Azure AD und bietet eine Vielzahl von Anmeldeinformationsklassen, die ein Azure AD-Token zum Authentifizieren von Dienstanforderungen abrufen können. Alle Anmeldeinformationsklassen in dieser Bibliothek sind Implementierungen der abstrakten Klasse TokenCredential, und jede von ihnen kann verwendet werden, um Dienstclients zu erstellen, die sich mit einem TokenCredential authentifizieren können.
Siehe Anmeldeinformationsklassen.
DefaultAzureCredential
eignet DefaultAzureCredential sich für die meisten Szenarien, in denen die Anwendung letztendlich in Azure ausgeführt werden soll. Dies liegt daran, dass anmeldeinformationen kombiniert werden, die häufig für die Authentifizierung bei der Bereitstellung verwendet werden, mit Anmeldeinformationen, die DefaultAzureCredential für die Authentifizierung in einer Entwicklungsumgebung verwendet werden.
Hinweis:
DefaultAzureCredentialSoll den Einstieg in das SDK vereinfachen, indem gängige Szenarien mit vernünftigen Standardverhalten behandelt werden. Entwickler, die mehr Kontrolle wünschen oder deren Szenario von den Standardeinstellungen nicht abgedeckt wird, sollten andere Anmeldeinformationstypen verwenden.
Bei Verwendung von Node.js versucht, DefaultAzureCredential sich über die folgenden Mechanismen in der Reihenfolge zu authentifizieren:
- Umgebung : Liest
DefaultAzureCredentialKontoinformationen, die über Umgebungsvariablen angegeben wurden, und verwendet sie für die Authentifizierung. - Workloadidentität: Wenn die Anwendung in Azure Kubernetes Service mit aktivierter verwalteter Identität bereitgestellt wird,
DefaultAzureCredentialauthentifiziert sich damit. - Verwaltete Identität : Wenn die Anwendung auf einem Azure-Host mit aktivierter verwalteter Identität bereitgestellt wird, authentifiziert sich mit
DefaultAzureCredentialdiesem Konto. - Azure Developer CLI: Wenn der Entwickler ein Konto über den Befehl Azure Developer CLI
azd auth loginauthentifiziert hat, authentifiziert sich derDefaultAzureCredentialmit diesem Konto. - Azure CLI : Wenn der Entwickler ein Konto über den Azure CLI-Befehl
az loginauthentifiziert hat, authentifiziert sich mitDefaultAzureCredentialdiesem Konto. - Azure PowerShell: Wenn sich der Entwickler mit dem Azure PowerShell-Modulbefehl
Connect-AzAccountauthentifiziert hat, authentifiziert sich derDefaultAzureCredentialmit diesem Konto.
Fortsetzungsrichtlinie
Ab Version 3.3.0 versucht, sich mit allen Entwickleranmeldeinformationen zu authentifizieren, DefaultAzureCredential bis eine erfolgreich ist, unabhängig von Fehlern, die früheren Entwickleranmeldeinformationen aufgetreten sind. Beispielsweise kann ein Entwickleranmeldeinformation versuchen, ein Token abzurufen, und schlägt fehl. DefaultAzureCredential Daher werden die nächsten Anmeldeinformationen im Flow fortgesetzt. Bereitgestellte Dienstanmeldeinformationen beenden den Flow mit einer ausgelösten Ausnahme, wenn sie versuchen können, Token abzurufen, aber keine empfangen.
Dies ermöglicht es, alle Entwickleranmeldeinformationen auf Ihrem Computer zu testen und gleichzeitig ein vorhersagbares bereitgestelltes Verhalten zu haben.
Hinweis zu VisualStudioCodeCredential
Aufgrund eines bekannten ProblemsVisualStudioCodeCredential wurde aus der DefaultAzureCredential Tokenkette entfernt. Wenn das Problem in einem zukünftigen Release behoben wird, wird diese Änderung wiederhergestellt.
Plug-Ins
Azure Identity for JavaScript bietet eine Plug-In-API, mit der wir bestimmte Funktionen über separate Plug-In-Pakete bereitstellen können. Das @azure/identity Paket exportiert eine Funktion der obersten Ebene (useIdentityPlugin), die zum Aktivieren eines Plug-Ins verwendet werden kann. Wir bieten zwei Plug-In-Pakete:
@azure/identity-cache-persistence, das eine persistente Tokenzwischenspeicherung in Node.js unter Verwendung eines nativen sicheren Speichersystems bereitstellt, das von Ihrem Betriebssystem bereitgestellt wird. Mit diesem Plug-In können zwischengespeicherteaccess_tokenWerte sitzungsübergreifend beibehalten werden, was bedeutet, dass ein interaktiver Anmeldeflow nicht wiederholt werden muss, solange ein zwischengespeichertes Token verfügbar ist.@azure/identity-vscode, das die Abhängigkeiten vonVisualStudioCodeCredentialbereitstellt und aktiviert. Ohne dieses Plug-In löst inVisualStudioCodeCredentialdiesem Paket eine ausCredentialUnavailableError. Das Plug-In stellt die zugrunde liegende Implementierung dieser Anmeldeinformationen bereit, sodass sie sowohl allein als auch als Teil der oben beschriebenenDefaultAzureCredentialVerwendet werden können.
Beispiele
Weitere Beispiele für die Verwendung verschiedener Anmeldeinformationen finden Sie auf der Seite „Azure Identity Examples“
Authentifizieren mit der DefaultAzureCredential
In diesem Beispiel wird die Authentifizierung von KeyClient aus der clientbibliothek @azure/keyvault-keys mithilfe von DefaultAzureCredentialveranschaulicht.
// The default credential first checks environment variables for configuration as described above.
// If environment configuration is incomplete, it will try managed identity.
// Azure Key Vault service to use
import { KeyClient } from "@azure/keyvault-keys";
// Azure authentication library to access Azure Key Vault
import { DefaultAzureCredential } from "@azure/identity";
// Azure SDK clients accept the credential as a parameter
const credential = new DefaultAzureCredential();
// Create authenticated client
const client = new KeyClient(vaultUrl, credential);
Geben Sie eine benutzerseitig zugewiesene verwaltete Identität mit dem DefaultAzureCredential
Ein relativ häufiges Szenario umfasst die Authentifizierung mithilfe einer benutzerseitig zugewiesenen verwalteten Identität für eine Azure-Ressource. Sehen Sie sich das Beispiel zur Authentifizierung einer benutzerseitig zugewiesenen verwalteten Identität mit DefaultAzureCredential an, um zu sehen, wie dies zu einer relativ einfachen Aufgabe gemacht wird, die mithilfe von Umgebungsvariablen oder im Code konfiguriert werden kann.
Definieren eines benutzerdefinierten Authentifizierungsflusses mit ChainedTokenCredential
DefaultAzureCredential ist zwar im Allgemeinen die schnellste Möglichkeit, mit der Entwicklung von Anwendungen für Azure zu beginnen, erfahrenere Benutzer möchten aber möglicherweise die Anmeldeinformationen anpassen, die bei der Authentifizierung berücksichtigt werden. Mit ChainedTokenCredential können Benutzer mehrere Anmeldeinformationeninstanzen kombinieren, um eine angepasste Kette von Anmeldeinformationen zu definieren. In diesem Beispiel wird das Erstellen eines ChainedTokenCredential veranschaulicht, bei dem versucht wird, sich mit zwei unterschiedlich konfigurierten Instanzen von ClientSecretCredentialzu authentifizieren, um dann die KeyClient von den @azure/keyvault-keys zu authentifizieren:
import { ClientSecretCredential, ChainedTokenCredential } from "@azure/identity";
// When an access token is requested, the chain will try each
// credential in order, stopping when one provides a token
const firstCredential = new ClientSecretCredential(tenantId, clientId, clientSecret);
const secondCredential = new ClientSecretCredential(tenantId, anotherClientId, anotherSecret);
const credentialChain = new ChainedTokenCredential(firstCredential, secondCredential);
// The chain can be used anywhere a credential is required
import { KeyClient } from "@azure/keyvault-keys";
const client = new KeyClient(vaultUrl, credentialChain);
Unterstützung verwalteter Identitäten
Die Authentifizierung verwalteter Identitäten wird entweder über die DefaultAzureCredential Anmeldeinformationsklassen oder ManagedIdentityCredential direkt für die folgenden Azure-Dienste unterstützt:
- Azure App Service und Azure Functions
- Azure Arc
- Azure Cloud Shell
- Azure Kubernetes Service
- Azure Service Fabric
- Dokumentation zu virtuellen Computern
- Azure-VM-Skalierungsgruppen
Beispiele für die Verwendung einer verwalteten Identität für die Authentifizierung finden Sie in den Beispielen.
Cloudkonfiguration
Anmeldeinformationen werden standardmäßig beim Azure AD-Endpunkt für die öffentliche Azure-Cloud authentifiziert. Um auf Ressourcen in anderen Clouds wie Azure Government oder einer privaten Cloud zuzugreifen, konfigurieren Sie Anmeldeinformationen mit dem authorityHost Argument im Konstruktor. Die AzureAuthorityHosts Schnittstelle definiert Autoritäten für bekannte Clouds. Für die US Government-Cloud können Sie Anmeldeinformationen auf diese Weise instanziieren:
import { AzureAuthorityHosts, ClientSecretCredential } from "@azure/identity";
const credential = new ClientSecretCredential(
"<YOUR_TENANT_ID>",
"<YOUR_CLIENT_ID>",
"<YOUR_CLIENT_SECRET>",
{
authorityHost: AzureAuthorityHosts.AzureGovernment,
}
);
Nicht für alle Anmeldeinformationen ist diese Konfiguration erforderlich. Anmeldeinformationen, die sich über ein Entwicklungstool authentifizieren, z AzureCliCredential. B. , verwenden die Konfiguration dieses Tools. Akzeptiert ebenso ein authorityHost Argument, VisualStudioCodeCredential verwendet aber standardmäßig die authorityHost entsprechende Azure: Cloud-Einstellung von Visual Studio Code.
Anmeldeinformationsklassen
Authentifizieren von azure gehosteten Anwendungen
| Anmeldeinformationen | Verwendung | Beispiel |
|---|---|---|
DefaultAzureCredential |
Bietet eine vereinfachte Authentifizierungsoberfläche, um schnell mit der Entwicklung von Anwendungen zu beginnen, die in Azure ausgeführt werden. | Beispiel |
ChainedTokenCredential |
Ermöglicht Benutzern das Definieren von benutzerdefinierten Authentifizierungsflüssen, die mehrere Anmeldeinformationen erstellen. | Beispiel |
EnvironmentCredential |
Authentifiziert einen Dienstprinzipal oder Benutzer über die in den Umgebungsvariablen angegebenen Anmeldeinformationen. | Beispiel |
ManagedIdentityCredential |
Authentifiziert die verwaltete Identität einer Azure-Ressource. | Beispiel |
WorkloadIdentityCredential |
Unterstützt die Azure AD-Workloadidentität in Kubernetes. |
Authentifizieren von Dienstprinzipalen
| Anmeldeinformationen | Verwendung | Beispiel | Verweis |
|---|---|---|---|
ClientAssertionCredential |
Authentifiziert einen Dienstprinzipal mithilfe einer signierten Clientassertion. | Beispiel | Dienstprinzipalauthentifizierung |
ClientCertificateCredential |
Authentifiziert einen Dienstprinzipal mithilfe eines Zertifikats. | Beispiel | Dienstprinzipalauthentifizierung |
ClientSecretCredential |
Authentifiziert einen Dienstprinzipal mithilfe eines geheimen Schlüssels. | Beispiel | Dienstprinzipalauthentifizierung |
Authentifizieren von Benutzern
| Anmeldeinformationen | Verwendung | Beispiel | Verweis |
|---|---|---|---|
AuthorizationCodeCredential |
Authentifiziert einen Benutzer mit einem zuvor abgerufenen Autorisierungscode. | Beispiel | OAuth2-Authentifizierungscode |
DeviceCodeCredential |
Authentifiziert einen Benutzer interaktiv auf Geräten mit eingeschränkter Benutzeroberfläche. | Beispiel | Gerätecodeauthentifizierung |
InteractiveBrowserCredential |
Authentifiziert einen Benutzer interaktiv mit dem Standardsystembrowser. Weitere Informationen dazu, wie dies geschieht, finden Sie hier. | Beispiel | OAuth2-Authentifizierungscode |
OnBehalfOfCredential |
Weitergabe der delegierten Benutzeridentität und -berechtigungen über die Anforderungskette | Authentifizierung im Auftrag von | |
UsernamePasswordCredential |
Authentifiziert einen Benutzer mit einem Benutzernamen und einem Kennwort. | Beispiel | Authentifizierung mit Benutzername + Kennwort |
Authentifizieren über Entwicklungstools
| Anmeldeinformationen | Verwendung | Beispiel | Verweis |
|---|---|---|---|
AzureCliCredential |
Authentifizieren in einer Entwicklungsumgebung mit der Azure CLI. | Beispiel | Azure CLI-Authentifizierung |
AzureDeveloperCliCredential |
Authentifizieren Sie sich in einer Entwicklungsumgebung mit dem aktivierten Benutzer oder Dienstprinzipal in Azure Developer CLI. | Azure Developer CLI-Referenz | |
AzurePowerShellCredential |
Authentifizieren Sie sich in einer Entwicklungsumgebung mit Azure PowerShell. | Beispiel | Azure PowerShell-Authentifizierung |
VisualStudioCodeCredential |
Authentifiziert sich als Benutzer, der bei der Azure-Kontoerweiterung von Visual Studio Code angemeldet ist. | Azure-Kontoerweiterung für VS Code |
Umgebungsvariablen
DefaultAzureCredential und EnvironmentCredential können mit Umgebungsvariablen konfiguriert werden. Jeder Authentifizierungstyp erfordert Werte für bestimmte Variablen.
Dienstprinzipal mit Geheimnis
| Variablenname | Wert |
|---|---|
AZURE_CLIENT_ID |
ID einer Azure AD-Anwendung |
AZURE_TENANT_ID |
ID des Azure AD-Mandanten der Anwendung |
AZURE_CLIENT_SECRET |
Eines der Clientgeheimnisse der Anwendung |
Dienstprinzipal mit Zertifikat
| Variablenname | Wert |
|---|---|
AZURE_CLIENT_ID |
ID einer Azure AD-Anwendung |
AZURE_TENANT_ID |
ID des Azure AD-Mandanten der Anwendung |
AZURE_CLIENT_CERTIFICATE_PATH |
Pfad zu einer PEM-codierten Zertifikatdatei einschließlich privatem Schlüssel |
AZURE_CLIENT_CERTIFICATE_PASSWORD |
Kennwort der Zertifikatdatei, falls vorhanden |
Benutzername und Kennwort
| Variablenname | Wert |
|---|---|
AZURE_CLIENT_ID |
ID einer Azure AD-Anwendung |
AZURE_TENANT_ID |
ID des Azure AD-Mandanten der Anwendung |
AZURE_USERNAME |
Ein Benutzername (normalerweise eine E-Mail-Adresse) |
AZURE_PASSWORD |
Das Kennwort des Benutzers |
Die Konfiguration wird in der oben genannten Reihenfolge versucht. Wenn zum Beispiel sowohl Werte für ein Clientgeheimnis als auch für ein Zertifikat vorhanden sind, wird das Clientgeheimnis verwendet.
Fortlaufende Zugriffsevaluierung
Ab Version 3.3.0 ist der Zugriff auf Ressourcen, die durch continuous Access Evaluation (CAE) geschützt sind, auf Anforderungsbasis möglich. Dies kann mithilfe der GetTokenOptions.enableCae(boolean) API aktiviert werden. CAE wird für Entwickleranmeldeinformationen nicht unterstützt.
Zwischenspeichern von Tokens
Tokenzwischenspeicherung ist ein Feature, das von der Azure Identity-Bibliothek bereitgestellt wird und Apps Folgendes ermöglicht:
- Cachetoken im Arbeitsspeicher (Standard) und auf dem Datenträger (Opt-In).
- Verbessern sie Resilienz und Leistung.
- Verringern Sie die Anzahl von Anforderungen, die an Azure AD zum Abrufen von Zugriffstoken gesendet werden.
Die Azure Identity-Bibliothek bietet sowohl In-Memory- als auch persistente Datenträgerzwischenspeicherung. Weitere Informationen finden Sie in der Dokumentation zur Tokenzwischenspeicherung.
Problembehandlung
Hilfe bei der Problembehandlung finden Sie im Leitfaden zur Problembehandlung.
Nächste Schritte
Dokumentation lesen
Die API-Dokumentation für diese Bibliothek finden Sie auf unserer Dokumentationswebsite.
Unterstützung von Clientbibliotheken
Client- und Verwaltungsbibliotheken, die auf der Seite "Azure SDK-Releases " aufgeführt sind und die Azure AD-Authentifizierung unterstützen, akzeptieren Anmeldeinformationen aus dieser Bibliothek. Weitere Informationen zur Verwendung dieser Bibliotheken finden Sie in der Dokumentation, die auf der Releaseseite verlinkt ist.
Bekannte Probleme
Azure AD B2C-Unterstützung
Diese Bibliothek unterstützt den Azure AD B2C-Dienst nicht.
Weitere offene Probleme finden Sie im GitHub-Repository der Bibliothek.
Feedback bereitstellen
Wenn Fehler auftreten oder wenn Sie Vorschläge haben, erstellen Sie ein Problem.
Mitwirken
Wenn Sie an dieser Bibliothek mitwirken möchten, lesen Sie die Anleitung für Mitwirkende, um mehr darüber zu erfahren, wie Sie den Code erstellen und testen können.
