OnBehalfOfCredential Classe
Autentica um principal de serviço através do fluxo em nome do .
Normalmente, este fluxo é utilizado por serviços de camada média que autorizam pedidos a outros serviços com uma identidade de utilizador delegada. Uma vez que este não é um fluxo de autenticação interativo, uma aplicação que o utiliza tem de ter consentimento do administrador para quaisquer permissões delegadas antes de pedir tokens para os mesmos. Veja a documentação do Azure Active Directory para obter uma descrição mais detalhada do fluxo em nome do .
- Herança
-
azure.identity._internal.msal_credentials.MsalCredentialOnBehalfOfCredentialazure.identity._internal.get_token_mixin.GetTokenMixinOnBehalfOfCredential
Construtor
OnBehalfOfCredential(tenant_id: str, client_id: str, **kwargs: Any)Parâmetros
- tenant_id
- str
ID do inquilino do principal de serviço. Também chamou o respetivo ID de "diretório".
- client_secret
- str
Opcional. Um segredo do cliente para autenticar o principal de serviço. É necessário fornecer client_secret ou client_certificate .
- client_certificate
- bytes
Opcional. Os bytes de um certificado no formato PEM ou PKCS12, incluindo a chave privada para autenticar o principal de serviço. É necessário fornecer client_secret ou client_certificate .
- user_assertion
- str
Obrigatório. O token de acesso que a credencial utilizará como a afirmação do utilizador ao pedir tokens em nome de
- authority
- str
Autoridade de um ponto final do Azure Active Directory, por exemplo "login.microsoftonline.com", a autoridade para a Cloud Pública do Azure (que é a predefinição). AzureAuthorityHosts define as autoridades para outras clouds.
Uma palavra-passe de certificado. Utilizado apenas quando é fornecido client_certificate . Se este valor for uma cadeia unicode, será codificada como UTF-8. Se o certificado necessitar de uma codificação diferente, transmita, em alternativa, bytes codificados adequadamente.
- disable_instance_discovery
- bool
Determina se a deteção de instâncias é ou não realizada ao tentar autenticar. Definir isto como verdadeiro irá desativar completamente a deteção de instâncias e a validação da autoridade. Esta funcionalidade destina-se a ser utilizada em cenários em que não é possível alcançar o ponto final de metadados, como em clouds privadas ou no Azure Stack. O processo de deteção de instâncias implica a obtenção de metadados de autoridade para https://login.microsoft.com/ validar a autoridade. Ao defini-lo como Verdadeiro, a validação da autoridade está desativada. Como resultado, é crucial garantir que o anfitrião de autoridade configurado é válido e fidedigno.
Especifica inquilinos para além do "tenant_id" especificado para o qual a credencial pode adquirir tokens. Adicione o valor universal "*" para permitir que a credencial adquira tokens para qualquer inquilino a que a aplicação possa aceder.
Exemplos
Crie um OnBehalfOfCredential.
from azure.identity import OnBehalfOfCredential
credential = OnBehalfOfCredential(
tenant_id="<tenant_id>",
client_id="<client_id>",
client_secret="<client_secret>",
user_assertion="<access_token>",
)
Métodos
| close | |
| get_token |
Pedir um token de acesso para âmbitos. Este método é chamado automaticamente pelos clientes do SDK do Azure. |
close
close() -> Noneget_token
Pedir um token de acesso para âmbitos.
Este método é chamado automaticamente pelos clientes do SDK do Azure.
get_token(*scopes: str, claims: str | None = None, tenant_id: str | None = None, **kwargs: Any) -> AccessTokenParâmetros
- scopes
- str
âmbitos pretendidos para o token de acesso. Este método requer, pelo menos, um âmbito. Para obter mais informações sobre âmbitos, consulte https://learn.microsoft.com/azure/active-directory/develop/scopes-oidc.
- claims
- str
afirmações adicionais necessárias no token, como as devolvidas no desafio de afirmações de um fornecedor de recursos na sequência de uma falha de autorização.
- tenant_id
- str
inquilino opcional a incluir no pedido de token.
- enable_cae
- bool
indica se pretende ativar a Avaliação de Acesso Contínuo (CAE) para o token pedido. Predefinições para Falso.
Devoluções
Um token de acesso com os âmbitos pretendidos.
Tipo de retorno
Exceções
a credencial não consegue tentar a autenticação porque não tem os dados necessários, o estado ou o suporte da plataforma
falha na autenticação. O atributo do message erro dá um motivo.