WorkloadIdentityCredential Класс
Выполняет проверку подлинности с помощью удостоверения рабочей нагрузки Azure Active Directory.
Проверка подлинности удостоверений рабочей нагрузки — это функция в Azure, которая позволяет приложениям, работающим на виртуальных машинах, получать доступ к другим ресурсам Azure без необходимости в субъекте-службе или управляемом удостоверении. При использовании проверки подлинности удостоверений рабочей нагрузки приложения проходят проверку подлинности с помощью собственного удостоверения, а не с помощью общего субъекта-службы или управляемого удостоверения. При проверке подлинности на основе удостоверения рабочей нагрузки используется концепция учетных данных учетной записи службы (SAC), которые автоматически создаются Azure и безопасно хранятся на виртуальной машине. Используя проверку подлинности на основе удостоверения рабочей нагрузки, можно избежать необходимости в управлении субъектами-службами или управляемыми удостоверениями для каждого приложения на каждой виртуальной машине. Кроме того, так как sac создаются автоматически и управляются Azure, вам не нужно беспокоиться о хранении и защите конфиденциальных учетных данных.
WorkloadIdentityCredential поддерживает проверку подлинности удостоверения рабочей нагрузки Azure в Azure Kubernetes и получает маркер, используя учетные данные учетной записи службы, доступные в среде Azure Kubernetes. Дополнительные сведения см. в этом обзоре удостоверений рабочей нагрузки .
- Наследование
-
azure.identity._credentials.client_assertion.ClientAssertionCredentialWorkloadIdentityCredentialazure.identity._credentials.workload_identity.TokenFileMixinWorkloadIdentityCredential
Конструктор
WorkloadIdentityCredential(*, tenant_id: str | None = None, client_id: str | None = None, token_file_path: str | None = None, **kwargs: Any)Параметры
- tenant_id
- str
Идентификатор клиента приложения Azure Active Directory. Также называется идентификатором каталога.
- client_id
- str
Идентификатор клиента регистрации приложения Azure AD.
- token_file_path
- str
Путь к файлу с маркером учетной записи службы Kubernetes, который проверяет подлинность удостоверения.
Примеры
Создайте WorkloadIdentityCredential.
from azure.identity import WorkloadIdentityCredential
credential = WorkloadIdentityCredential(
tenant_id="<tenant_id>",
client_id="<client_id>",
token_file_path="<token_file_path>",
)
# Parameters can be omitted if the following environment variables are set:
# - AZURE_TENANT_ID
# - AZURE_CLIENT_ID
# - AZURE_FEDERATED_TOKEN_FILE
credential = WorkloadIdentityCredential()
Методы
| close | |
| get_token |
Запрос маркера доступа для областей. Этот метод вызывается автоматически клиентами пакета SDK Azure. |
close
close() -> Noneget_token
Запрос маркера доступа для областей.
Этот метод вызывается автоматически клиентами пакета SDK Azure.
get_token(*scopes: str, claims: str | None = None, tenant_id: str | None = None, **kwargs: Any) -> AccessTokenПараметры
- scopes
- str
требуемые области для маркера доступа. Для этого метода требуется по крайней мере одна область. Дополнительные сведения об областях см. в разделе https://learn.microsoft.com/azure/active-directory/develop/scopes-oidc.
- claims
- str
дополнительные утверждения, необходимые в маркере, например те, которые возвращаются в запросе утверждений поставщика ресурсов после сбоя авторизации.
- tenant_id
- str
необязательный клиент для включения в запрос маркера.
- enable_cae
- bool
указывает, следует ли включить непрерывную оценку доступа (CAE) для запрошенного маркера. Значение по умолчанию — False.
Возвращаемое значение
Маркер доступа с нужными областями.
Возвращаемый тип
Исключения
учетные данные не могут попытаться выполнить проверку подлинности из-за отсутствия необходимых данных, состояния или поддержки платформы
сбой проверки подлинности. Атрибут ошибки message указывает причину.