@azure/identity package

Stellt ein errors Array bereit, das AuthenticationError Instanz für Authentifizierungsfehler aus Anmeldeinformationen in einer ChainedTokenCredential-enthält.

Liefert Details zu einem Scheitern der Authentifizierung mit Azure Active Directory. Das feld errorResponse enthält weitere Details zum spezifischen Fehler.

Fehler, der zum Erzwingen der Authentifizierung verwendet wird, nachdem versucht wurde, ein Token im Hintergrund abzurufen.

Ermöglicht die Authentifizierung der Microsoft Entra ID mithilfe eines Autorisierungscodes, der über den Autorisierungscodefluss erhalten wurde, der ausführlicher in der Microsoft Entra ID-Dokumentation beschrieben wird:

https://learn.microsoft.com/entra/identity-platform/v2-oauth2-auth-code-flow

Diese Zugangsberechtigung verwendet die aktuell eingeloggten Benutzeranmeldeinformationen über das Azure CLI ('az')-Kommandozeilen-Tool. Dazu liest er das Benutzerzugriffstoken und lässt die Zeit mit dem Azure CLI-Befehl "az account get-access-token" ablaufen.

Azure Developer CLI ist ein Kommandozeilen-Interface-Tool, das es Entwicklern ermöglicht, Ressourcen in Azure zu erstellen, zu verwalten und bereitzustellen. Es basiert auf der Azure CLI und bietet zusätzliche Funktionalitäten, die speziell für Azure-Entwickler sind. Es ermöglicht Benutzern, sich als Benutzer und/oder Dienstprinzipal gegen Microsoft Entra ID zu authentifizieren. Der AzureDeveloperCliCredential authentifiziert sich in einer Entwicklungsumgebung und erwirbt ein Token im Auftrag des eingeloggten Benutzers oder Service-Principals in der Azure Developer CLI. Es fungiert als Azure Developer CLI, das sich für Benutzer oder Service Principal anmeldet, und führt einen Azure CLI-Befehl darunter aus, um die Anwendung gegen die Microsoft Entra ID zu authentifizieren.

Konfigurieren von AzureDeveloperCliCredential

Um diese Zugangsberechtigung zu verwenden, muss der Entwickler lokal in der Azure Developer CLI mit einem der untenstehenden Befehle authentifizieren:

1. Führe "azd auth login" in der Azure Developer CLI aus, um dich interaktiv als Nutzer zu authentifizieren.
2. Führen Sie "azd auth login --client-id clientID --client-secret clientSecret --tenant-id tenant-id tenantID" aus, um sich als Dienstprinzipal zu authentifizieren.

Möglicherweise müssen Sie diesen Vorgang nach einem bestimmten Zeitraum wiederholen, abhängig von der Gültigkeit des Aktualisierungstokens in Ihrer Organisation. Im Allgemeinen beträgt der Gültigkeitszeitraum des Aktualisierungstokens einige Wochen bis zu einigen Monaten. AzureDeveloperCliCredential fordert Sie auf, sich erneut anzumelden.

Diese Zugangsberechtigung ist dafür konzipiert, in Azure Pipelines mit Serviceverbindungen als Einrichtung für die Föderation der Arbeitslast-Identität verwendet zu werden.

Diese Zugangsberechtigung verwendet die aktuell eingeloggten Benutzerinformationen aus dem Azure PowerShell-Modul. Dazu liest er das Benutzerzugriffstoken und läuft mit Azure PowerShell Befehl Get-AzAccessToken -ResourceUrl {ResourceScope} ab.

Ermöglicht das Ausprobieren mehrerer TokenCredential Implementierungen, bis eine der getToken-Methoden ein Zugriffstoken zurückgibt. Weitere Informationen finden Sie unter ChainedTokenCredential -Übersicht.

Authentifiziert einen Dienstprinzipal mit einer JWT-Assertion.

Ermöglicht die Authentifizierung der Microsoft Entra ID mittels eines PEM-codierten Zertifikats, das einer App-Registrierung zugewiesen ist. Weitere Informationen zum Konfigurieren der Zertifikatauthentifizierung finden Sie hier:

https://learn.microsoft.com/azure/active-directory/develop/active-directory-certificate-credentials#register-your-certificate-with-azure-ad

Ermöglicht die Authentifizierung der Microsoft Entra ID mithilfe eines Client-Geheimnisses, das für eine App-Registrierung generiert wurde. Weitere Informationen zum Konfigurieren eines geheimen Clientschlüssels finden Sie hier:

https://learn.microsoft.com/entra/identity-platform/quickstart-configure-app-access-web-apis#add-credentials-to-your-web-application

Dies bedeutet, dass die Anmeldeinformationen, die in einer verketteten Anmeldeinformation versucht wurden, nicht als Anmeldeinformationen verwendet werden konnten. Anstatt dies als Fehler zu behandeln, der die Kette anhalten sollte, wird sie abgefangen, und die Kette wird fortgesetzt.

Bietet eine Standardkonfiguration ChainedTokenCredential, die für die meisten Anwendungen funktioniert, die Azure SDK Client-Bibliotheken verwenden. Weitere Informationen finden Sie unter DefaultAzureCredential (Übersicht).

Die folgenden Anmeldeinformationstypen werden in der folgenden Reihenfolge ausprobiert:

• EnvironmentCredential (Umgebungsberechtigung)
• WorkloadIdentityCredential (WorkloadIdentityCredential)
• ManagedIdentityCredential (Verwaltete Identität)
• VisualStudioCodeCredential
• AzureCliCredential
• AzurePowerShellCredential
• AzureDeveloperCliCredential
• BrokerCredential (eine für den Broker aktivierte Anmeldeinformation, die installiert ist @azure/identity-broker )

Weitere Informationen dazu, wie sie die Authentifizierung versuchen, finden Sie in der Dokumentation dieser Anmeldeinformationstypen.

Im folgenden Beispiel wird veranschaulicht, wie die requiredEnvVars Option verwendet wird, um sicherzustellen, dass bestimmte Umgebungsvariablen festgelegt werden, bevor sie DefaultAzureCredential instanziiert werden. Wenn eine der angegebenen Umgebungsvariablen fehlt oder leer ist, wird ein Fehler ausgelöst, der verhindert, dass die Anwendung ohne die erforderliche Konfiguration ausgeführt wird. Außerdem wird veranschaulicht, wie die AZURE_TOKEN_CREDENTIALS Umgebungsvariable festgelegt wird, um zu steuern, welche Anmeldeinformationen in der Kette enthalten sind.

import { DefaultAzureCredential } from "@azure/identity";

const credential = new DefaultAzureCredential({
  requiredEnvVars: [
    "AZURE_CLIENT_ID",
    "AZURE_TENANT_ID",
    "AZURE_CLIENT_SECRET",
    "AZURE_TOKEN_CREDENTIALS",
  ],
});

Ermöglicht die Authentifizierung Microsoft Entra ID mit einem Gerätecode, den der Benutzer in https://microsoft.com/devicelogin eingeben kann.

Ermöglicht die Authentifizierung der Microsoft Entra ID mittels eines Client-Geheimnisses oder Zertifikats.

Ermöglicht die Authentifizierung der Microsoft Entra ID im Webbrowser über den interaktiven Anmeldefluss.

Versucht die Authentifizierung mithilfe einer verwalteten Identität, die in der Bereitstellungsumgebung verfügbar ist. Dieser Authentifizierungstyp funktioniert in Azure-VMs, App-Service-Instanzen, Azure Functions-Anwendungen, Azure Kubernetes Services, Azure Service Fabric-Instanzen und innerhalb der Azure Cloud Shell.

Weitere Informationen zum Konfigurieren von verwalteten Identitäten finden Sie hier: https://learn.microsoft.com/azure/active-directory/managed-identities-azure-resources/overview

Ermöglicht die Authentifizierung zum Microsoft Entra ID mit dem Behalf Of flow.

Ermöglicht die Authentifizierung der Microsoft Entra ID mit Benutzername und Passwort eines Benutzers. Für diese Anmeldeinformationen ist eine hohe Vertrauenswürdigkeit erforderlich, sodass Sie sie nur verwenden sollten, wenn andere, sicherere Anmeldeinformationstypen nicht verwendet werden können.

Verbindet sich mit Azure über das Benutzerkonto, das über die Azure Resources-Erweiterung in Visual Studio Code angemeldet ist. Sobald sich der Benutzer über die Erweiterung angemeldet hat, können diese Anmeldeinformationen das gleiche Aktualisierungstoken gemeinsam nutzen, das von der Erweiterung zwischengespeichert wird.

Die Authentifizierung der Arbeitslast-Identität ist eine Funktion in Azure, die es Anwendungen ermöglicht, die auf virtuellen Maschinen (VMs) laufen, auf andere Azure-Ressourcen zuzugreifen, ohne einen Service Principal oder eine verwaltete Identität zu benötigen. Bei der Workload Identity-Authentifizierung authentifizieren sich Anwendungen selbst mithilfe ihrer eigenen Identität, anstatt einen gemeinsamen Dienstprinzipal oder eine verwaltete Identität zu verwenden. Unter der Haube verwendet die Workload Identity-Authentifizierung das Konzept der Service Account Credentials (SACs), die von Azure automatisch erstellt und sicher in der VM gespeichert werden. Mithilfe der Workload-Identitätsauthentifizierung können Sie vermeiden, dass Dienstprinzipale oder verwaltete Identitäten für jede Anwendung auf jeder VM verwaltet und verwaltet werden müssen. Außerdem müssen Sie sich, da SACs automatisch erstellt und von Azure verwaltet werden, keine Sorgen um die Speicherung und Sicherung sensibler Zugangsdaten selbst machen. Die WorkloadIdentityCredential unterstützt die Microsoft Entra Workload ID-Authentifizierung auf Azure Kubernetes und erhält ein Token mit den SACs, die in der Azure Kubernetes-Umgebung verfügbar sind. Weitere Informationen finden Sie Microsoft Entra Workload ID.

Stellt ein Zugriffstoken mit einer Ablaufzeit dar.

Der Datensatz, der zum Suchen der zwischengespeicherten Token im Cache verwendet werden soll.

Optionale Parameter für das AuthenticationRequiredError-

Bietet Optionen zur Konfiguration, wie die Identitätsbibliothek die Autoritätsvalidierung während Authentifizierungsanfragen an Microsoft Entra ID durchführt.

Optionen für die AuthorizationCodeCredential-

Optionen für die AzureCliCredential-

Optionen für die AzureDeveloperCliCredential-

Optionale Parameter für die AzurePipelinesCredential Klasse.

Optionen für die AzurePowerShellCredential-

Konfigurationsoptionen für InteractiveBrowserCredential zur Unterstützung der WAM-Brokerauthentifizierung.

Parameter, wenn die WAM-Brokerauthentifizierung deaktiviert ist.

Parameter, wenn die WAM-Brokerauthentifizierung aktiviert ist.

Optionen für die gemeinsame Konfiguration für die Browseranpassung

Optionen für die ClientAssertionCredential-

Optionale Parameter für die klasse ClientCertificateCredential.

Erforderliche Konfigurationsoptionen für die ClientCertificateCredentialmit dem Zeichenfolgeninhalt eines PEM-Zertifikats

Erforderliche Konfigurationsoptionen für die ClientCertificateCredentialmit dem Pfad zu einem PEM-Zertifikat.

Optionale Parameter für die klasse ClientSecretCredential.

Freigegebene Konfigurationsoptionen für Anmeldeinformationen, die das zwischenspeichern persistente Token unterstützen.

Bietet Optionen zum Konfigurieren der DefaultAzureCredential Klasse. Diese Variation unterstützt managedIdentityClientId und nicht managedIdentityResourceId, da nur eine von beiden unterstützt wird.

Bietet Optionen zum Konfigurieren der DefaultAzureCredential Klasse.

Bietet Optionen zum Konfigurieren der DefaultAzureCredential Klasse. Diese Variation unterstützt managedIdentityResourceId und nicht managedIdentityClientId, da nur eine von beiden unterstützt wird.

Definiert Optionen für die InteractiveBrowserCredential-Klasse für Node.js.

Stellt den Benutzercode und den Überprüfungs-URI bereit, in den der Code eingegeben werden muss. Stellt außerdem eine Meldung bereit, die dem Benutzer angezeigt wird, der eine Anweisung mit diesen Details enthält.

Ermöglicht die Authentifizierung der Microsoft Entra ID, abhängig von den verfügbaren Umgebungsvariablen. Definiert Optionen für die EnvironmentCredential-Klasse.

Weitere Informationen finden Sie in der offiziellen Dokumentation:

https://learn.microsoft.com/azure/active-directory/develop/v1-protocols-oauth-code#error-response-1

HINWEIS: Diese Dokumentation ist für die OAuth-Unterstützung von v1 vorgesehen, aber die gleichen Fehlerantwortdetails gelten weiterhin für v2.

Die Optionen zum Konfigurieren des Tokenanbieters.

Definiert Optionen für TokenCredential.getToken.

Definiert die allgemeinen Optionen für die InteractiveBrowserCredential-Klasse.

Definiert die allgemeinen Optionen für die InteractiveBrowserCredential-Klasse.

Allgemeine Konstruktoroptionen für die Identitätsanmeldeinformationen, die eine Benutzerinteraktion erfordern.

Optionen zum Senden im ManagedIdentityCredential--Konstruktor. Diese Variation unterstützt clientId und nicht resourceId, da nur eine von beiden unterstützt wird.

Optionen zum Senden im ManagedIdentityCredential--Konstruktor. Diese Variation unterstützt objectId als Konstruktorargument.

Optionen zum Senden im ManagedIdentityCredential--Konstruktor. Diese Variation unterstützt resourceId und nicht clientId, da nur eine von beiden unterstützt wird.

Optionen für mehrinstanzenfähige Anwendungen, die zusätzlich zulässige Mandanten ermöglichen.

Definiert die Parameter zum Authentifizieren des OnBehalfOfCredential- mit einer Assertion.

Definiert die Parameter zum Authentifizieren des OnBehalfOfCredential- mit einem Zertifikat.

Definiert die Parameter, um die OnBehalfOfCredential- mit einem geheimen Schlüssel zu authentifizieren.

Parameter, die die Persistenz des Tokencaches in den Identitätsanmeldeinformationen ermöglichen.

Stellt eine Anmeldeinformation dar, die ein Authentifizierungstoken bereitstellen kann.

Bietet Optionen zur Konfiguration, wie die Identity-Bibliothek Authentifizierungsanfragen an Microsoft Entra ID stellt.

Definiert Optionen für die UsernamePasswordCredential Klasse.

Bietet Optionen zur Konfiguration der Visual Studio Code-Credential.

Optionen für die WorkloadIdentityCredential-

Parameter, die die WAM-Brokerauthentifizierung in InteractiveBrowserCredential aktivieren.

(Nur Browserfeature) Der "Anmeldestil", der im Authentifizierungsfluss verwendet werden soll:

• "Umleitung" leitet den Benutzer zur Authentifizierungsseite um und leitet sie dann nach Abschluss der Authentifizierung wieder zur Seite um.
• "popup" öffnet ein neues Browserfenster, durch das der Umleitungsfluss initiiert wird. Das vorhandene Browserfenster des Benutzers belässt die aktuelle Seite nicht.

Erforderliche Konfigurationsoptionen für die ClientCertificateCredentialmit dem Zeichenfolgeninhalt eines PEM-Zertifikats oder dem Pfad zu einem PEM-Zertifikat.

Die häufig unterstützten Umgebungsvariablen für die DefaultAzureCredential-Klasse .

Definiert die Signatur eines Rückrufs, der an DeviceCodeCredential übergeben wird, um Authentifizierungsdetails für den Benutzer anzuzeigen.

Der Typ eines Azure Identity-Plugins, einer Funktion, die einen Plugin-Kontext akzeptiert.

Optionale Parameter für die OnBehalfOfCredential Klasse.

Eine Liste bekannter Azure-Autoritätshosts

Deserialisiert einen zuvor serialisierten Authentifizierungsdatensatz aus einer Zeichenfolge in ein Objekt.

Die Eingabezeichenfolge muss die folgenden Eigenschaften enthalten:

• "Autorität"
• "homeAccountId"
• "clientId"
• "tenantId"
• "Benutzername"
• "Version"

Wenn die empfangene Version nicht unterstützt wird, wird ein Fehler ausgelöst.

Derzeit ist die einzige verfügbare Version: "1.0", die immer festgelegt wird, wenn der Authentifizierungseintrag serialisiert wird.

Gibt einen Rückruf zurück, der ein Bearertoken bereitstellt. Beispielsweise kann das Bearertoken verwendet werden, um eine Anforderung wie folgt zu authentifizieren:

import { DefaultAzureCredential, getBearerTokenProvider } from "@azure/identity";
import { createPipelineRequest } from "@azure/core-rest-pipeline";

const credential = new DefaultAzureCredential();
const scope = "https://cognitiveservices.azure.com/.default";
const getAccessToken = getBearerTokenProvider(credential, scope);
const token = await getAccessToken();

// usage
const request = createPipelineRequest({ url: "https://example.com" });
request.headers.set("Authorization", `Bearer ${token}`);

Gibt eine neue Instanz des DefaultAzureCredential-zurück.

Serialisiert eine AuthenticationRecord in eine Zeichenfolge.

Die Ausgabe eines serialisierten Authentifizierungsdatensatzes enthält die folgenden Eigenschaften:

• "Autorität"
• "homeAccountId"
• "clientId"
• "tenantId"
• "Benutzername"
• "Version"

Wenn Sie diese Zeichenfolge später in eine serialisierte AuthenticationRecordkonvertieren möchten, verwenden Sie bitte die exportierte Funktion deserializeAuthenticationRecord().

Erweitern Sie Azure Identity um zusätzliche Funktionalität. Übergeben Sie ein Plug-In aus einem Plug-In-Paket, z. B.:

• @azure/identity-cache-persistence: Stellt die zwischenspeicherung persistenter Token bereit.
• @azure/identity-vscode: stellt die Abhängigkeiten von VisualStudioCodeCredential bereit und aktiviert sie.

Beispiel:

import { useIdentityPlugin, DeviceCodeCredential } from "@azure/identity";

useIdentityPlugin(cachePersistencePlugin);
// The plugin has the capability to extend `DeviceCodeCredential` and to
// add middleware to the underlying credentials, such as persistence.
const credential = new DeviceCodeCredential({
  tokenCachePersistenceOptions: {
    enabled: true,
  },
});

Der Error.name Wert eines AggregateAuthenticationError

Der Error.name Wert eines AuthenticationError

Der Error.name Wert eines Zertifikats Nicht verfügbar

Der AzureLogger, der für alle Clients innerhalb des Identitätspakets verwendet wird