CertificateCredential Classe

Autentica como uma entidade de serviço usando um certificado.

O certificado deve ter uma chave privada RSA, pois essa credencial assina declarações usando RS256. Confira a documentação do Azure Active Directory para obter mais informações sobre como configurar a autenticação de certificado.

Herança

azure.identity._internal.client_credential_base.ClientCredentialBase

CertificateCredential

Construtor

CertificateCredential(tenant_id: str, client_id: str, certificate_path: str | None = None, **kwargs: Any)

Parâmetros

tenant_id

str

Obrigatório

ID do locatário da entidade de serviço. Também chamou sua ID de "diretório".

client_id

str

Obrigatório

A ID do cliente da entidade de serviço

certificate_path

str

valor padrão: None

Caminho opcional para um arquivo de certificado no formato PEM ou PKCS12, incluindo a chave privada. Se não for fornecido, certificate_data será necessário.

authority

str

Autoridade de um ponto de extremidade do Azure Active Directory, por exemplo, "login.microsoftonline.com", a autoridade para a Nuvem Pública do Azure (que é o padrão). AzureAuthorityHosts define autoridades para outras nuvens.

certificate_data

bytes

Os bytes de um certificado no formato PEM ou PKCS12, incluindo a chave privada

password

str ou bytes

A senha do certificado. Se uma cadeia de caracteres unicode, ela será codificada como UTF-8. Se o certificado exigir uma codificação diferente, passe bytes codificados adequadamente.

send_certificate_chain

bool

Se True, a credencial enviará a cadeia de certificados públicos no cabeçalho x5c do JWT de cada solicitação de token. Isso é necessário para autenticação SNI (Nome da Entidade/Emissor). Usa False como padrão.

cache_persistence_options

TokenCachePersistenceOptions

Configuração para cache de token persistente. Se não for especificado, a credencial armazenará tokens em cache na memória.

disable_instance_discovery

bool

Determina se a descoberta de instância é executada ou não ao tentar se autenticar. Definir isso como true desabilitará completamente a descoberta de instância e a validação de autoridade. Essa funcionalidade destina-se ao uso em cenários em que o ponto de extremidade de metadados não pode ser alcançado, como em nuvens privadas ou no Azure Stack. O processo de descoberta de instância envolve a recuperação de metadados de autoridade de https://login.microsoft.com/ para validar a autoridade. Ao definir isso como True, a validação da autoridade é desabilitada. Como resultado, é crucial garantir que o host de autoridade configurado seja válido e confiável.

additionally_allowed_tenants

List[str]

Especifica locatários além do "tenant_id" especificado para o qual a credencial pode adquirir tokens. Adicione o valor curinga "*" para permitir que a credencial adquira tokens para qualquer locatário que o aplicativo possa acessar.

Exemplos

Crie um CertificateCredential.

   from azure.identity import CertificateCredential

   credential = CertificateCredential(
       tenant_id="<tenant_id>",
       client_id="<client_id>",
       certificate_path="<path to PEM/PKCS12 certificate>",
       password="<certificate password if necessary>",
   )

   # Certificate/private key byte data can also be passed directly
   credential = CertificateCredential(
       tenant_id="<tenant_id>",
       client_id="<client_id>",
       certificate_data=b"<cert data>",
   )

Métodos

close
get_token	Solicite um token de acesso para escopos. Esse método é chamado automaticamente por clientes do SDK do Azure.

close

close() -> None

get_token

Solicite um token de acesso para escopos.

Esse método é chamado automaticamente por clientes do SDK do Azure.

get_token(*scopes: str, claims: str | None = None, tenant_id: str | None = None, **kwargs: Any) -> AccessToken

Parâmetros

scopes

str

Obrigatório

escopos desejados para o token de acesso. Esse método requer pelo menos um escopo. Para obter mais informações sobre escopos, consulte https://learn.microsoft.com/azure/active-directory/develop/scopes-oidc.

claims

str

declarações adicionais necessárias no token, como as retornadas no desafio de declarações de um provedor de recursos após uma falha de autorização.

tenant_id

str

locatário opcional a ser incluído na solicitação de token.

enable_cae

bool

indica se a CAE (Avaliação contínua de acesso) deve ser habilitada para o token solicitado. Usa False como padrão.

Retornos

Um token de acesso com os escopos desejados.

Tipo de retorno

AccessToken

Exceções

CredentialUnavailableError

a credencial não pode tentar a autenticação porque não tem dados, estado ou suporte à plataforma necessários

ClientAuthenticationError

falha na autenticação. O atributo do message erro fornece um motivo.