@azure/identity package

Предоставляет массив errors, содержащий экземпляр AuthenticationError для сбоев проверки подлинности учетных данных в ChainedTokenCredential.

Содержит сведения о сбое проверки подлинности в Azure Active Directory. Поле errorResponse содержит дополнительные сведения о конкретном сбое.

Ошибка, используемая для принудительной проверки подлинности после попытки автоматического получения маркера.

Включает проверку подлинности в идентификаторе Microsoft Entra с помощью кода авторизации, полученного с помощью потока кода авторизации, описанного более подробно в документации по идентификатору Microsoft Entra ID:

https://learn.microsoft.com/entra/identity-platform/v2-oauth2-auth-code-flow

Эти учетные данные будут использовать сведения о входе пользователя в систему с помощью средства командной строки Azure CLI ('az'). Для этого он считывает маркер доступа пользователя и истекает срок действия с помощью команды Azure CLI "az account get-access-token".

Интерфейс командной строки разработчика Azure — это средство интерфейса командной строки, позволяющее разработчикам создавать, управлять и развертывать ресурсы в Azure. Он построен на основе Azure CLI и предоставляет дополнительные функциональные возможности, относящиеся к разработчикам Azure. Он позволяет пользователям проходить проверку подлинности в качестве пользователя и (или) субъекта-службы для идентификатора Microsoft Entra ID. AzureDeveloperCliCredential проходит проверку подлинности в среде разработки и получает маркер от имени зарегистрированного пользователя или субъекта-службы в интерфейсе командной строки разработчика Azure. Он выступает в качестве интерфейса командной строки разработчика Azure, вошедшего в систему пользователя или субъекта-службы, и выполняет команду Azure CLI в нижней строке для проверки подлинности приложения с идентификатором Microsoft Entra.

Настройка AzureDeveloperCliCredential

Чтобы использовать эти учетные данные, разработчику необходимо выполнить локальную проверку подлинности в Azure Developer CLI с помощью одной из следующих команд:

1. Выполните команду azd auth login в Интерфейсе командной строки разработчика Azure для интерактивной проверки подлинности в качестве пользователя.
2. Выполните команду azd auth login --client-id clientID --client-secret clientSecret --tenant-id tenantID" для проверки подлинности в качестве субъекта-службы.

Этот процесс может потребоваться повторить через определенный период времени в зависимости от срока действия маркера обновления в вашей организации. Как правило, срок действия маркера обновления составляет несколько недель до нескольких месяцев. AzureDeveloperCliCredential предложит вам снова войти.

Эти учетные данные предназначены для использования в Azure Pipelines с подключениями к службе в качестве настройки федерации удостоверений рабочей нагрузки.

Эти учетные данные будут использовать данные пользователя, зарегистрированные в данный момент, из модуля Azure PowerShell. Для этого он считывает маркер доступа пользователя и истекает срок действия с помощью команды Azure PowerShell Get-AzAccessToken -ResourceUrl {ResourceScope}

Позволяет попробовать несколько TokenCredential реализаций в порядке, пока один из методов getToken не возвращает маркер доступа. Дополнительные сведения см. в разделе ChainedTokenCredential.

Проверяет подлинность субъекта-службы с помощью утверждения JWT.

Включает проверку подлинности в идентификаторе Microsoft Entra с помощью сертификата с кодировкой PEM, назначенного регистрации приложений. Дополнительные сведения о настройке проверки подлинности сертификатов см. здесь:

https://learn.microsoft.com/azure/active-directory/develop/active-directory-certificate-credentials#register-your-certificate-with-azure-ad

Включает проверку подлинности в идентификаторе Microsoft Entra с помощью секрета клиента, созданного для регистрации приложений. Дополнительные сведения о настройке секрета клиента см. здесь:

https://learn.microsoft.com/entra/identity-platform/quickstart-configure-app-access-web-apis#add-credentials-to-your-web-application

Это означает, что учетные данные, которые были проверены в цепочке учетных данных, недоступны для использования в качестве учетных данных. Вместо того чтобы рассматривать это как ошибку, которая должна остановить цепочку, она поймана и цепочка продолжается

Предоставляет конфигурацию по умолчанию ChainedTokenCredential, которая работает для большинства приложений, использующих клиентские библиотеки пакета SDK Azure. Дополнительные сведения см. в обзоре DefaultAzureCredential.

Следующие типы учетных данных будут проверены в порядке:

• EnvironmentCredential (Окружающая средаУчетные данные)
• WorkloadIdentityCredential (Рабочая нагрузкаIdentityCredential)
• ManagedIdentityCredential (УправляемыйIdentityCredential)
• VisualStudioCodeCredential
• AzureCliCredential
• AzurePowerShellCredential
• AzureDeveloperCliCredential

Дополнительные сведения о попытке проверки подлинности см. в документации по этим типам учетных данных.

Выбор учетных данных

Задайте переменную среды AZURE_TOKEN_CREDENTIALS, чтобы выбрать подмножество цепочки учетных данных. DefaultAzureCredential будет пытаться использовать только указанные учетные данные, но его поведение останется прежним. Допустимыми значениями для AZURE_TOKEN_CREDENTIALS являются имена любого отдельного типа в приведенной выше цепочке, например "EnvironmentCredential" или "AzureCliCredential", а также следующие специальные значения:

• "dev": попробуйте [VisualStudioCodeCredential], [AzureCliCredential], [AzurePowerShellCredential] и [AzureDeveloperCliCredential], в указанном порядке
• "prod": попробуйте [EnvironmentCredential], [WorkloadIdentityCredential] и [ManagedIdentityCredential], в указанном порядке

Включает проверку подлинности в идентификаторе Microsoft Entra с помощью кода устройства, который пользователь может ввести в https://microsoft.com/devicelogin.

Включает проверку подлинности по идентификатору Microsoft Entra ID с помощью секрета клиента или сертификата.

Включает проверку подлинности в идентификаторе Microsoft Entra внутри веб-браузера с помощью интерактивного потока входа.

Пытается выполнить проверку подлинности с помощью управляемого удостоверения, доступного в среде развертывания. Этот тип проверки подлинности работает на виртуальных машинах Azure, экземплярах службы приложений, приложениях Функций Azure, службах Azure Kubernetes, экземплярах Azure Service Fabric и в Azure Cloud Shell.

Дополнительные сведения о настройке управляемых удостоверений см. здесь: https://learn.microsoft.com/azure/active-directory/managed-identities-azure-resources/overview

Включает проверку подлинности в идентификаторе Microsoft Entra с помощью от имени потока.

Включает проверку подлинности в идентификаторе Microsoft Entra с именем пользователя и паролем пользователя. Для этих учетных данных требуется высокий уровень доверия, поэтому его следует использовать только в том случае, если другие, более безопасные типы учетных данных не могут использоваться.

Подключается к Azure с помощью учетной записи пользователя, вошедшего в систему с помощью расширения Azure Resources в Visual Studio Code. После входа пользователя через расширение эти учетные данные могут совместно использовать тот же маркер обновления, который кэшируется расширением.

Проверка подлинности удостоверений рабочей нагрузки — это функция в Azure, которая позволяет приложениям, работающим на виртуальных машинах, получать доступ к другим ресурсам Azure без необходимости использовать субъект-службу или управляемое удостоверение. При проверке подлинности удостоверений рабочей нагрузки приложения проходят проверку подлинности с помощью собственного удостоверения, а не с помощью общего субъекта-службы или управляемого удостоверения. В рамках проверки подлинности удостоверений рабочей нагрузки используется концепция учетных данных учетной записи службы (SAC), которые автоматически создаются Azure и хранятся безопасно на виртуальной машине. С помощью проверки подлинности удостоверений рабочей нагрузки можно избежать необходимости управления и смены субъектов-служб или управляемых удостоверений для каждого приложения на каждой виртуальной машине. Кроме того, так как saCs создаются автоматически и управляются Azure, вам не нужно беспокоиться о хранении и защите конфиденциальных учетных данных. WorkloadIdentityCredential поддерживает проверку подлинности идентификатора рабочей нагрузки Microsoft Entra в Azure Kubernetes и получает маркер с помощью saCs, доступных в среде Azure Kubernetes. Дополнительные сведения см. в идентификаторе рабочей нагрузки Microsoft Entra.

Представляет маркер доступа с истечением срока действия.

Запись, используемая для поиска кэшированных маркеров в кэше.

Необязательные параметры для AuthenticationRequiredError

Предоставляет параметры настройки проверки подлинности библиотеки удостоверений во время запросов проверки подлинности к идентификатору Microsoft Entra.

Параметры AuthorizationCodeCredential

Параметры AzureCliCredential

Параметры AzureDeveloperCliCredential

Необязательные параметры для класса AzurePipelinesCredential.

Параметры AzurePowerShellCredential

Параметры конфигурации для InteractiveBrowserCredential для поддержки проверки подлинности брокера WAM.

Параметры при отключении проверки подлинности брокера WAM.

Параметры, когда включена проверка подлинности брокера WAM.

Параметры общей конфигурации для настройки браузера

Параметры ClientAssertionCredential

Необязательные параметры для класса ClientCertificateCredential.

Необходимые параметры конфигурации для ClientCertificateCredentialс содержимым строки сертификата PEM

Необходимые параметры конфигурации для ClientCertificateCredentialс путем к сертификату PEM.

Необязательные параметры для класса ClientSecretCredential.

Общие параметры конфигурации для учетных данных, поддерживающих кэширование постоянных маркеров.

Предоставляет параметры настройки класса DefaultAzureCredential. Этот вариант поддерживает managedIdentityClientId и не managedIdentityResourceId, так как поддерживается только один из обоих вариантов.

Предоставляет параметры настройки класса DefaultAzureCredential.

Предоставляет параметры настройки класса DefaultAzureCredential. Этот вариант поддерживает managedIdentityResourceId и не managedIdentityClientId, так как поддерживается только один из обоих вариантов.

Определяет параметры для класса InteractiveBrowserCredential для Node.js.

Предоставляет URI пользовательского кода и проверки, где должен быть введен код. Также предоставляет сообщение для отображения пользователю, содержавшего инструкцию с этими сведениями.

Включает проверку подлинности в идентификаторе Microsoft Entra в зависимости от доступных переменных среды. Определяет параметры для класса EnvironmentCredential.

Дополнительные сведения см. в официальной документации:

https://learn.microsoft.com/azure/active-directory/develop/v1-protocols-oauth-code#error-response-1

ПРИМЕЧАНИЕ. Эта документация предназначена для поддержки OAuth версии 1, но те же сведения об ответе об ошибках по-прежнему применяются к версии 2.

Параметры настройки поставщика маркеров.

Определяет параметры tokenCredential.getToken.

Определяет общие параметры для класса InteractiveBrowserCredential.

Определяет общие параметры для класса InteractiveBrowserCredential.

Общие параметры конструктора для учетных данных удостоверений, требующих взаимодействия с пользователем.

Параметры отправки в конструктор ManagedIdentityCredential. Этот вариант поддерживает clientId и не resourceId, так как поддерживается только один из обоих вариантов.

Параметры отправки в конструктор ManagedIdentityCredential. Этот вариант поддерживает objectId в качестве аргумента конструктора.

Параметры отправки в конструктор ManagedIdentityCredential. Этот вариант поддерживает resourceId и не clientId, так как поддерживается только один из обоих вариантов.

Варианты для мультитенантных приложений, которые позволяют дополнительно разрешенным клиентам.

Определяет параметры для проверки подлинности OnBehalfOfCredential с помощью утверждения.

Определяет параметры для проверки подлинности OnBehalfOfCredential с помощью сертификата.

Определяет параметры для проверки подлинности OnBehalfOfCredential с помощью секрета.

Параметры, обеспечивающие сохраняемость кэша маркеров в учетных данных удостоверения.

Представляет учетные данные, способные предоставлять маркер проверки подлинности.

Предоставляет параметры настройки того, как библиотека удостоверений выполняет запросы проверки подлинности к идентификатору Microsoft Entra.

Определяет параметры для класса UsernamePasswordCredential.

Предоставляет параметры настройки учетных данных Visual Studio Code.

Параметры WorkloadIdentityCredential

Параметры, обеспечивающие проверку подлинности брокера WAM в InteractiveBrowserCredential.

(Функция только для браузера) Стиль входа, используемый в потоке проверки подлинности:

• "перенаправление" перенаправляет пользователя на страницу проверки подлинности, а затем перенаправляет их обратно на страницу после завершения проверки подлинности.
• Всплывающее окно открывает новое окно браузера с инициированным потоком перенаправления. Существующее окно браузера пользователя не покидает текущую страницу

Необходимые параметры конфигурации для ClientCertificateCredentialс содержимым строки сертификата PEM или пути к сертификату PEM.

Определяет подпись обратного вызова, который будет передан в DeviceCodeCredential для отображения сведений о проверке подлинности пользователю.

Тип подключаемого модуля удостоверений Azure— функция, принимаюющая контекст подключаемого модуля.

Необязательные параметры для класса OnBehalfOfCredential.

Список известных узлов центра Azure

Десериализация ранее сериализованной записи проверки подлинности из строки в объект.

Входная строка должна содержать следующие свойства:

• "центр"
• "homeAccountId"
• ClientId
• "tenantId"
• "имя пользователя"
• "версия"

Если полученная версия не поддерживается, возникает ошибка.

На данный момент доступна единственная версия: "1.0", которая всегда устанавливается при сериализации записи проверки подлинности.

Возвращает обратный вызов, предоставляющий маркер носителя. Например, маркер носителя можно использовать для проверки подлинности запроса следующим образом:

import { DefaultAzureCredential, getBearerTokenProvider } from "@azure/identity";
import { createPipelineRequest } from "@azure/core-rest-pipeline";

const credential = new DefaultAzureCredential();
const scope = "https://cognitiveservices.azure.com/.default";
const getAccessToken = getBearerTokenProvider(credential, scope);
const token = await getAccessToken();

// usage
const request = createPipelineRequest({ url: "https://example.com" });
request.headers.set("Authorization", `Bearer ${token}`);

Возвращает новый экземпляр DefaultAzureCredential.

Сериализует AuthenticationRecord в строку.

Выходные данные сериализованной записи проверки подлинности будут содержать следующие свойства:

• "центр"
• "homeAccountId"
• ClientId
• "tenantId"
• "имя пользователя"
• "версия"

Чтобы позже преобразовать эту строку в сериализованную AuthenticationRecord, используйте экспортированную функцию deserializeAuthenticationRecord().

Расширение удостоверений Azure с помощью дополнительных функций. Передайте подключаемый модуль из пакета подключаемого модуля, например:

• @azure/identity-cache-persistence: обеспечивает кэширование постоянных маркеров
• @azure/identity-vscode: предоставляет зависимости VisualStudioCodeCredential и включает его.

Пример:

import { useIdentityPlugin, DeviceCodeCredential } from "@azure/identity";

useIdentityPlugin(cachePersistencePlugin);
// The plugin has the capability to extend `DeviceCodeCredential` and to
// add middleware to the underlying credentials, such as persistence.
const credential = new DeviceCodeCredential({
  tokenCachePersistenceOptions: {
    enabled: true,
  },
});