Udostępnij za pośrednictwem

WorkloadIdentityCredential Klasa

  • Odwołanie

Uwierzytelnia się przy użyciu tożsamości obciążenia usługi Azure Active Directory.

Uwierzytelnianie tożsamości obciążenia to funkcja platformy Azure, która umożliwia aplikacjom działającym na maszynach wirtualnych uzyskiwanie dostępu do innych zasobów platformy Azure bez konieczności posiadania jednostki usługi lub tożsamości zarządzanej. W przypadku uwierzytelniania tożsamości obciążenia aplikacje uwierzytelniają się przy użyciu własnej tożsamości, a nie przy użyciu jednostki usługi udostępnionej lub tożsamości zarządzanej. W ramach uwierzytelniania tożsamości obciążenia używane jest pojęcie poświadczeń konta usługi (SAC), które są automatycznie tworzone przez platformę Azure i przechowywane bezpiecznie na maszynie wirtualnej. Korzystając z uwierzytelniania tożsamości obciążenia, można uniknąć konieczności zarządzania jednostkami usługi lub tożsamościami zarządzanymi dla każdej aplikacji na każdej maszynie wirtualnej i obracać je. Ponadto, ponieważ kontrolery SAC są tworzone automatycznie i zarządzane przez platformę Azure, nie musisz martwić się o przechowywanie i zabezpieczanie poufnych poświadczeń.

Element WorkloadIdentityCredential obsługuje uwierzytelnianie tożsamości obciążeń platformy Azure na platformie Azure Kubernetes i uzyskuje token przy użyciu poświadczeń konta usługi dostępnych w środowisku usługi Azure Kubernetes. Aby uzyskać więcej informacji, zapoznaj się z tym omówieniem tożsamości obciążenia .

Dziedziczenie
azure.identity._credentials.client_assertion.ClientAssertionCredential
WorkloadIdentityCredential
azure.identity._credentials.workload_identity.TokenFileMixin
WorkloadIdentityCredential

Konstruktor

WorkloadIdentityCredential(*, tenant_id: str | None = None, client_id: str | None = None, token_file_path: str | None = None, **kwargs: Any)

Parametry

tenant_id
str

Identyfikator dzierżawy usługi Azure Active Directory aplikacji. Nazwana również identyfikatorem "katalogu".

client_id
str

Identyfikator klienta rejestracji aplikacji Azure AD.

token_file_path
str

Ścieżka do pliku zawierającego token konta usługi Kubernetes, który uwierzytelnia tożsamość.

Przykłady

Utwórz element WorkloadIdentityCredential.


   from azure.identity import WorkloadIdentityCredential

   credential = WorkloadIdentityCredential(
       tenant_id="<tenant_id>",
       client_id="<client_id>",
       token_file_path="<token_file_path>",
   )

   # Parameters can be omitted if the following environment variables are set:
   #   - AZURE_TENANT_ID
   #   - AZURE_CLIENT_ID
   #   - AZURE_FEDERATED_TOKEN_FILE
   credential = WorkloadIdentityCredential()

Metody

close
get_token

Zażądaj tokenu dostępu dla zakresów.

Ta metoda jest wywoływana automatycznie przez klientów zestawu Azure SDK.

close 

close() -> None

get_token

Zażądaj tokenu dostępu dla zakresów.

Ta metoda jest wywoływana automatycznie przez klientów zestawu Azure SDK.

get_token(*scopes: str, claims: str | None = None, tenant_id: str | None = None, **kwargs: Any) -> AccessToken

Parametry

scopes
str
Wymagane

żądane zakresy tokenu dostępu. Ta metoda wymaga co najmniej jednego zakresu. Aby uzyskać więcej informacji na temat zakresów, zobacz https://learn.microsoft.com/azure/active-directory/develop/scopes-oidc.

claims
str

dodatkowe oświadczenia wymagane w tokenie, takie jak te zwrócone w wyzwaniu oświadczeń dostawcy zasobów po niepowodzeniu autoryzacji.

tenant_id
str

opcjonalna dzierżawa do uwzględnienia w żądaniu tokenu.

enable_cae
bool

wskazuje, czy włączyć ocenę ciągłego dostępu (CAE) dla żądanego tokenu. Wartość domyślna to False.

Zwraca

Token dostępu z żądanymi zakresami.

Typ zwracany

AccessToken

Wyjątki

CredentialUnavailableError

poświadczenie nie może podjąć próby uwierzytelnienia, ponieważ brakuje wymaganych danych, stanu lub obsługi platformy

ClientAuthenticationError

uwierzytelnianie nie powiodło się. Atrybut błędu message daje przyczynę.