Partager via


WorkloadIdentityCredential Classe

S’authentifie à l’aide d’une identité de charge de travail Azure Active Directory.

L’authentification d’identité de charge de travail est une fonctionnalité d’Azure qui permet aux applications s’exécutant sur des machines virtuelles d’accéder à d’autres ressources Azure sans avoir besoin d’un principal de service ou d’une identité managée. Avec l’authentification d’identité de charge de travail, les applications s’authentifient à l’aide de leur propre identité, plutôt qu’à l’aide d’un principal de service partagé ou d’une identité managée. Sous le capot, l’authentification d’identité de charge de travail utilise le concept d’informations d’identification du compte de service (SAC), qui sont automatiquement créées par Azure et stockées de manière sécurisée dans la machine virtuelle. En utilisant l’authentification d’identité de charge de travail, vous pouvez éviter d’avoir à gérer et à faire pivoter des principaux de service ou des identités managées pour chaque application sur chaque machine virtuelle. En outre, étant donné que les cartes d’identification réseau sont créées automatiquement et gérées par Azure, vous n’avez pas à vous soucier du stockage et de la sécurisation des informations d’identification sensibles.

WorkloadIdentityCredential prend en charge l’authentification d’identité de charge de travail Azure sur Azure Kubernetes et acquiert un jeton à l’aide des informations d’identification du compte de service disponibles dans l’environnement Azure Kubernetes. Pour plus d’informations, reportez-vous à cette vue d’ensemble de l’identité de charge de travail .

Héritage
azure.identity.aio._credentials.client_assertion.ClientAssertionCredential
WorkloadIdentityCredential
azure.identity._credentials.workload_identity.TokenFileMixin
WorkloadIdentityCredential

Constructeur

WorkloadIdentityCredential(*, tenant_id: str | None = None, client_id: str | None = None, token_file_path: str | None = None, **kwargs: Any)

Paramètres

tenant_id
str

ID du locataire Azure Active Directory de l’application. Également appelé son ID « répertoire ».

client_id
str

ID client d’une inscription d’application Azure AD.

token_file_path
str

Chemin d’accès à un fichier contenant un jeton de compte de service Kubernetes qui authentifie l’identité.

Exemples

Créez un WorkloadIdentityCredential.


   from azure.identity.aio import WorkloadIdentityCredential

   credential = WorkloadIdentityCredential(
       tenant_id="<tenant_id>",
       client_id="<client_id>",
       token_file_path="<token_file_path>",
   )

   # Parameters can be omitted if the following environment variables are set:
   #   - AZURE_TENANT_ID
   #   - AZURE_CLIENT_ID
   #   - AZURE_FEDERATED_TOKEN_FILE
   credential = WorkloadIdentityCredential()

Méthodes

close

Fermez la session de transport des informations d’identification.

get_token

Demandez un jeton d’accès pour les étendues.

Cette méthode est appelée automatiquement par les clients du Kit de développement logiciel (SDK) Azure.

close

Fermez la session de transport des informations d’identification.

async close() -> None

get_token

Demandez un jeton d’accès pour les étendues.

Cette méthode est appelée automatiquement par les clients du Kit de développement logiciel (SDK) Azure.

async get_token(*scopes: str, claims: str | None = None, tenant_id: str | None = None, **kwargs: Any) -> AccessToken

Paramètres

scopes
str
Obligatoire

étendues souhaitées pour le jeton d’accès. Cette méthode nécessite au moins une étendue. Pour plus d’informations sur les étendues, consultez https://learn.microsoft.com/azure/active-directory/develop/scopes-oidc.

claims
str

revendications supplémentaires requises dans le jeton, telles que celles retournées dans la contestation de revendications d’un fournisseur de ressources suite à un échec d’autorisation.

tenant_id
str

locataire facultatif à inclure dans la demande de jeton.

enable_cae
bool

indique s’il faut activer l’évaluation continue de l’accès (CAE) pour le jeton demandé. Valeur par défaut False.

Retours

Jeton d’accès avec les étendues souhaitées.

Type de retour

Exceptions

les informations d’identification ne peuvent pas tenter d’authentification, car elles ne disposent pas de la prise en charge des données, de l’état ou de la plateforme requises

échec de l’authentification. L’attribut de l’erreur message donne une raison.