Delen via

OnBehalfOfCredential Klas

  • Referentie

Hiermee wordt een service-principal geverifieerd via de on-behalf-of-stroom.

Deze stroom wordt doorgaans gebruikt door services van de middelste laag die aanvragen voor andere services met een gedelegeerde gebruikersidentiteit autoriseren. Omdat dit geen interactieve verificatiestroom is, moet een toepassing die deze gebruikt beheerderstoestemming hebben voor gedelegeerde machtigingen voordat tokens voor deze toepassingen worden aangevraagd. Zie Documentatie voor Azure Active Directory voor een gedetailleerde beschrijving van de on-behalf-of-stroom.

Overname
azure.identity._internal.msal_credentials.MsalCredential
OnBehalfOfCredential
azure.identity._internal.get_token_mixin.GetTokenMixin
OnBehalfOfCredential

Constructor

OnBehalfOfCredential(tenant_id: str, client_id: str, **kwargs: Any)

Parameters

tenant_id
str
Vereist

Id van de tenant van de service-principal. Ook wel de map-id genoemd.

client_id
str
Vereist

De client-id van de service-principal

client_secret
str

Optioneel. Een clientgeheim om de service-principal te verifiëren. Er moeten client_secret of client_certificate worden opgegeven.

client_certificate
bytes

Optioneel. De bytes van een certificaat in PEM- of PKCS12-indeling, inclusief de persoonlijke sleutel voor het verifiëren van de service-principal. Er moeten client_secret of client_certificate worden opgegeven.

user_assertion
str

Vereist. Het toegangstoken dat de referentie gebruikt als de gebruikersverklaring bij het aanvragen van on-behalf-of-tokens

authority
str

Instantie van een Azure Active Directory-eindpunt, bijvoorbeeld 'login.microsoftonline.com', de instantie voor de openbare Azure-cloud (dit is de standaardinstelling). AzureAuthorityHosts definieert instanties voor andere clouds.

password
str of bytes

Een certificaatwachtwoord. Wordt alleen gebruikt wanneer client_certificate is opgegeven. Als deze waarde een Unicode-tekenreeks is, wordt deze gecodeerd als UTF-8. Als voor het certificaat een andere codering is vereist, geeft u in plaats daarvan de juiste gecodeerde bytes door.

disable_instance_discovery
bool

Bepaalt of exemplaardetectie wordt uitgevoerd bij een verificatiepoging. Als u dit instelt op true, wordt zowel exemplaardetectie als instantievalidatie volledig uitgeschakeld. Deze functionaliteit is bedoeld voor gebruik in scenario's waarin het eindpunt voor metagegevens niet kan worden bereikt, zoals in privéclouds of Azure Stack. Het proces van exemplaardetectie omvat het ophalen van instantiemetagegevens van https://login.microsoft.com/ om de instantie te valideren. Als u dit instelt op Waar, wordt de validatie van de instantie uitgeschakeld. Als gevolg hiervan is het van cruciaal belang om ervoor te zorgen dat de geconfigureerde instantiehost geldig en betrouwbaar is.

additionally_allowed_tenants
List[str]

Hiermee geeft u tenants op naast de opgegeven 'tenant_id' waarvoor de referentie tokens kan verkrijgen. Voeg de jokertekenwaarde '*' toe om de referentie toe te staan tokens te verkrijgen voor elke tenant waar de toepassing toegang toe heeft.

Voorbeelden

Maak een OnBehalfOfCredential.


   from azure.identity import OnBehalfOfCredential

   credential = OnBehalfOfCredential(
       tenant_id="<tenant_id>",
       client_id="<client_id>",
       client_secret="<client_secret>",
       user_assertion="<access_token>",
   )

Methoden

close
get_token

Een toegangstoken aanvragen voor bereiken.

Deze methode wordt automatisch aangeroepen door Azure SDK-clients.

close 

close() -> None

get_token

Een toegangstoken aanvragen voor bereiken.

Deze methode wordt automatisch aangeroepen door Azure SDK-clients.

get_token(*scopes: str, claims: str | None = None, tenant_id: str | None = None, **kwargs: Any) -> AccessToken

Parameters

scopes
str
Vereist

gewenste bereiken voor het toegangstoken. Voor deze methode is ten minste één bereik vereist. Zie voor meer informatie over bereiken https://learn.microsoft.com/azure/active-directory/develop/scopes-oidc.

claims
str

aanvullende claims die zijn vereist in het token, zoals de claims die worden geretourneerd in de claimvraag van een resourceprovider na een autorisatiefout.

tenant_id
str

optionele tenant die moet worden opgenomen in de tokenaanvraag.

enable_cae
bool

geeft aan of continue toegangsevaluatie (CAE) moet worden ingeschakeld voor het aangevraagde token. Standaard ingesteld op False.

Retouren

Een toegangstoken met de gewenste bereiken.

Retourtype

AccessToken

Uitzonderingen

CredentialUnavailableError

de referentie kan geen verificatie uitvoeren omdat de vereiste gegevens, status of platformondersteuning ontbreekt

ClientAuthenticationError

verificatie is mislukt. Het kenmerk van de message fout geeft een reden aan.