Udostępnij za pośrednictwem

CertificateCredential Klasa

  • Odwołanie

Uwierzytelnia się jako jednostka usługi przy użyciu certyfikatu.

Certyfikat musi mieć klucz prywatny RSA, ponieważ to poświadczenia podpisuje asercji przy użyciu rs256. Aby uzyskać więcej informacji na temat konfigurowania uwierzytelniania certyfikatów, zobacz dokumentację usługi Azure Active Directory .

Dziedziczenie
azure.identity._internal.client_credential_base.ClientCredentialBase
CertificateCredential

Konstruktor

CertificateCredential(tenant_id: str, client_id: str, certificate_path: str | None = None, **kwargs: Any)

Parametry

tenant_id
str
Wymagane

Identyfikator dzierżawy jednostki usługi. Nazwana również identyfikatorem "katalogu".

client_id
str
Wymagane

Identyfikator klienta jednostki usługi

certificate_path
str
wartość domyślna: None

Opcjonalna ścieżka do pliku certyfikatu w formacie PEM lub PKCS12, w tym klucz prywatny. Jeśli nie podano, wymagane jest certificate_data .

authority
str

Urząd punktu końcowego usługi Azure Active Directory, na przykład "login.microsoftonline.com", urząd dla chmury publicznej platformy Azure (który jest domyślny). AzureAuthorityHosts definiuje władze dla innych chmur.

certificate_data
bytes

Bajty certyfikatu w formacie PEM lub PKCS12, w tym klucz prywatny

password
str lub bytes

Hasło certyfikatu. Jeśli ciąg unicode zostanie zakodowany jako UTF-8. Jeśli certyfikat wymaga innego kodowania, przekaż odpowiednio zakodowane bajty.

send_certificate_chain
bool

Jeśli wartość True, poświadczenie wyśle łańcuch certyfikatów publicznych w nagłówku x5c każdego żądania tokenu JWT. Jest to wymagane do uwierzytelniania nazwy podmiotu/wystawcy (SNI). Wartość domyślna to False.

cache_persistence_options
TokenCachePersistenceOptions

Konfiguracja trwałego buforowania tokenów. Jeśli nie zostanie określona, poświadczenie będzie buforowane tokeny w pamięci.

disable_instance_discovery
bool

Określa, czy odnajdywanie wystąpień jest wykonywane podczas próby uwierzytelnienia. Ustawienie wartości true spowoduje całkowite wyłączenie zarówno odnajdywania wystąpień, jak i weryfikacji urzędu. Ta funkcja jest przeznaczona do użycia w scenariuszach, w których nie można uzyskać dostępu do punktu końcowego metadanych, na przykład w chmurach prywatnych lub w usłudze Azure Stack. Proces odnajdywania wystąpień wiąże się z pobieraniem metadanych urzędu z https://login.microsoft.com/ , aby zweryfikować urząd. Ustawiając tę wartość na true, walidacja urzędu jest wyłączona. W związku z tym niezwykle ważne jest, aby upewnić się, że skonfigurowany host urzędu jest prawidłowy i godny zaufania.

additionally_allowed_tenants
List[str]

Określa dzierżawy oprócz określonego "tenant_id", dla którego poświadczenia mogą uzyskiwać tokeny. Dodaj wartość symboli wieloznacznych "*", aby umożliwić poświadczeniu uzyskiwanie tokenów dla dowolnej dzierżawy, do jakiej aplikacja może uzyskać dostęp.

Przykłady

Utwórz certyfikatCredential.


   from azure.identity import CertificateCredential

   credential = CertificateCredential(
       tenant_id="<tenant_id>",
       client_id="<client_id>",
       certificate_path="<path to PEM/PKCS12 certificate>",
       password="<certificate password if necessary>",
   )

   # Certificate/private key byte data can also be passed directly
   credential = CertificateCredential(
       tenant_id="<tenant_id>",
       client_id="<client_id>",
       certificate_data=b"<cert data>",
   )

Metody

close
get_token

Zażądaj tokenu dostępu dla zakresów.

Ta metoda jest wywoływana automatycznie przez klientów zestawu Azure SDK.

close 

close() -> None

get_token

Zażądaj tokenu dostępu dla zakresów.

Ta metoda jest wywoływana automatycznie przez klientów zestawu Azure SDK.

get_token(*scopes: str, claims: str | None = None, tenant_id: str | None = None, **kwargs: Any) -> AccessToken

Parametry

scopes
str
Wymagane

żądane zakresy tokenu dostępu. Ta metoda wymaga co najmniej jednego zakresu. Aby uzyskać więcej informacji na temat zakresów, zobacz https://learn.microsoft.com/azure/active-directory/develop/scopes-oidc.

claims
str

dodatkowe oświadczenia wymagane w tokenie, takie jak te zwrócone w wyzwaniu oświadczeń dostawcy zasobów po niepowodzeniu autoryzacji.

tenant_id
str

opcjonalna dzierżawa do uwzględnienia w żądaniu tokenu.

enable_cae
bool

wskazuje, czy włączyć ocenę ciągłego dostępu (CAE) dla żądanego tokenu. Wartość domyślna to False.

Zwraca

Token dostępu z żądanymi zakresami.

Typ zwracany

AccessToken

Wyjątki

CredentialUnavailableError

poświadczenie nie może podjąć próby uwierzytelnienia, ponieważ brakuje wymaganych danych, stanu lub obsługi platformy

ClientAuthenticationError

uwierzytelnianie nie powiodło się. Atrybut błędu message daje przyczynę.