@azure/identity package

Biedt een errors matrix met AuthenticationError exemplaar voor verificatiefouten van referenties in een ChainedTokenCredential-.

Geeft details over een mislukking van authenticatie met Azure Active Directory. Het errorResponse veld bevat meer informatie over de specifieke fout.

Er is een fout opgetreden bij het afdwingen van verificatie nadat een token op de achtergrond is opgehaald.

Maakt authenticatie naar Microsoft Entra ID mogelijk met een autorisatiecode die is verkregen via de autorisatiecodeflow, uitgebreider beschreven in de Microsoft Entra ID-documentatie:

https://learn.microsoft.com/entra/identity-platform/v2-oauth2-auth-code-flow

Dit inloggegevens gebruikt de momenteel ingelogde gebruikersinloggegevens via de Azure CLI ('az') commandlinetool. Om dit te doen, leest het het gebruikerstoegangstoken en laat het vervallen met het Azure CLI-commando "az account get-access-token".

Azure Developer CLI is een commandoregelinterface waarmee ontwikkelaars resources kunnen creëren, beheren en uitrollen in Azure. Het is gebouwd bovenop de Azure CLI en biedt extra functionaliteit specifiek voor Azure-ontwikkelaars. Het stelt gebruikers in staat zich te authenticeren als gebruiker en/of diensthoofd tegen Microsoft Entra ID. De AzureDeveloperCliCredential authenticeert zich in een ontwikkelomgeving en verwerft een token namens de ingelogde gebruiker of serviceprincipal in de Azure Developer CLI. Het fungeert als de Azure Developer CLI die inlogt op gebruiker of serviceprincipal en voert een Azure CLI-commando uit om de applicatie te authenticeren tegen Microsoft Entra ID.

AzureDeveloperCliCredential configureren

Om dit credential te gebruiken, moet de ontwikkelaar zich lokaal authenticeren in de Azure Developer CLI met een van de onderstaande commando's:

1. Voer "azd auth login" uit in de Azure Developer CLI om interactief als gebruiker te authenticeren.
2. Voer 'azd auth login --client-id clientID --client-secret clientSecret --tenant-id tenantID' uit om te verifiëren als een service-principal.

Mogelijk moet u dit proces na een bepaalde periode herhalen, afhankelijk van de geldigheid van het vernieuwingstoken in uw organisatie. Over het algemeen is de geldigheidsperiode van het vernieuwingstoken een paar weken tot een paar maanden. AzureDeveloperCliCredential vraagt u zich opnieuw aan te melden.

Dit credential is ontworpen om te worden gebruikt in Azure-pipelines met serviceverbindingen als opzet voor de federatie van workload identiteit.

Deze credential gebruikt de momenteel ingelogde gebruikersinformatie uit de Azure PowerShell-module. Om dit te doen, leest het de gebruikerstoegangstoken en laat het vervallen van de tijd met Azure PowerShell commando Get-AzAccessToken -ResourceUrl {ResourceScope}

Hiermee kunnen meerdere TokenCredential implementaties worden geprobeerd totdat een van de getToken-methoden een toegangstoken retourneert. Zie ChainedTokenCredential-overzichtvoor meer informatie.

Verifieert een service-principal met een JWT-assertie.

Maakt authenticatie mogelijk voor Microsoft Entra ID met behulp van een PEM-gecodeerd certificaat dat is toegewezen aan een App-registratie. Meer informatie over het configureren van certificaatverificatie vindt u hier:

https://learn.microsoft.com/azure/active-directory/develop/active-directory-certificate-credentials#register-your-certificate-with-azure-ad

Maakt authenticatie mogelijk voor een Microsoft Entra ID met behulp van een clientgeheim dat is gegenereerd voor een appregistratie. Meer informatie over het configureren van een clientgeheim vindt u hier:

https://learn.microsoft.com/entra/identity-platform/quickstart-configure-app-access-web-apis#add-credentials-to-your-web-application

Hiermee wordt aangegeven dat de referentie die is geprobeerd in een gekoppelde referentie niet beschikbaar was om als referentie te worden gebruikt. In plaats van dit te behandelen als een fout die de keten moet stoppen, wordt deze onderschept en wordt de keten voortgezet

Biedt een standaard ChainedTokenCredential configuratie die werkt voor de meeste applicaties die Azure SDK clientbibliotheken gebruiken. Zie het overzicht defaultAzureCredential voor meer informatie.

De volgende referentietypen worden geprobeerd, in volgorde:

• Milieu Credential
• WorkloadIdentityCredential-
• ManagedIdentityCredential-
• VisualStudioCodeCredential
• AzureCliCredential
• AzurePowerShellCredential-
• AzureDeveloperCliCredential
• BrokerCredential (een door een broker ingeschakelde referentie waarvoor is @azure/identity-broker geïnstalleerd)

Raadpleeg de documentatie van deze referentietypen voor meer informatie over hoe ze verificatie proberen uit te voeren.

In het volgende voorbeeld ziet u hoe u de requiredEnvVars optie kunt gebruiken om ervoor te zorgen dat bepaalde omgevingsvariabelen worden ingesteld voordat deze DefaultAzureCredential wordt geïnstantieerd. Als een van de opgegeven omgevingsvariabelen ontbreekt of leeg is, wordt er een fout gegenereerd, waardoor de toepassing niet kan worden voortgezet zonder de benodigde configuratie. Het laat ook zien hoe u de AZURE_TOKEN_CREDENTIALS omgevingsvariabele instelt om te bepalen welke inloggegevens in de keten worden opgenomen.

import { DefaultAzureCredential } from "@azure/identity";

const credential = new DefaultAzureCredential({
  requiredEnvVars: [
    "AZURE_CLIENT_ID",
    "AZURE_TENANT_ID",
    "AZURE_CLIENT_SECRET",
    "AZURE_TOKEN_CREDENTIALS",
  ],
});

Maakt authenticatie mogelijk om te Microsoft Entra ID met een apparaatcode die de gebruiker kan invoeren in https://microsoft.com/devicelogin.

Maakt authenticatie mogelijk voor Microsoft Entra ID met behulp van een clientgeheim of certificaat.

Maakt authenticatie naar Microsoft Entra ID mogelijk binnen de webbrowser via de interactieve inlogflow.

Hiermee probeert u verificatie uit te voeren met behulp van een beheerde identiteit die beschikbaar is in de implementatieomgeving. Dit authenticatietype werkt in Azure VM's, App Service-instanties, Azure Functions-applicaties, Azure Kubernetes Services, Azure Service Fabric-instanties en binnen de Azure Cloud Shell.

Meer informatie over het configureren van beheerde identiteiten vindt u hier: https://learn.microsoft.com/azure/active-directory/managed-identities-azure-resources/overview

Maakt authenticatie mogelijk om te Microsoft Entra ID met behulp van de Namens de flow.

Maakt authenticatie mogelijk voor Microsoft Entra ID met de gebruikersnaam en het wachtwoord van een gebruiker. Voor deze referentie is een hoge mate van vertrouwen vereist, dus u moet deze alleen gebruiken wanneer andere, veiligere referentietypen niet kunnen worden gebruikt.

Maakt verbinding met Azure via het gebruikersaccount dat is ingelogd via de Azure Resources-extensie in Visual Studio Code. Zodra de gebruiker zich heeft aangemeld via de extensie, kan deze referentie hetzelfde vernieuwingstoken delen dat is opgeslagen in de cache van de extensie.

Workload Identity-authenticatie is een functie in Azure die applicaties die op virtuele machines (VM's) draaien toegang geeft tot andere Azure-bronnen zonder dat er een service principal of beheerde identiteit nodig is. Met verificatie van workloadidentiteit verifiëren toepassingen zichzelf met hun eigen identiteit in plaats van een gedeelde service-principal of beheerde identiteit te gebruiken. Daaronder gebruikt Workload Identity-authenticatie het concept van Service Account Credentials (SACs), die automatisch door Azure worden aangemaakt en veilig in de VM worden opgeslagen. Met behulp van verificatie van workloadidentiteit kunt u voorkomen dat u service-principals of beheerde identiteiten voor elke toepassing op elke VIRTUELE machine moet beheren en roteren. Bovendien, omdat SAC's automatisch worden aangemaakt en beheerd door Azure, hoef je je geen zorgen te maken over het opslaan en beveiligen van gevoelige inloggegevens zelf. Het WorkloadIdentityCredential ondersteunt Microsoft Entra Workload-id-authenticatie op Azure Kubernetes en verwerft een token met behulp van de SAC's die beschikbaar zijn in de Azure Kubernetes-omgeving. Zie Microsoft Entra Workload-id voor meer informatie.

Vertegenwoordigt een toegangstoken met een verlooptijd.

De record die moet worden gebruikt om de tokens in de cache te vinden.

Optionele parameters voor de AuthenticationRequiredError-

Biedt opties om te configureren hoe de Identity-bibliotheek autoriteitsvalidatie uitvoert tijdens authenticatieverzoeken naar Microsoft Entra ID.

Opties voor de AuthorizationCodeCredential-

Opties voor de AzureCliCredential-

Opties voor de AzureDeveloperCliCredential-

Optionele parameters voor de klasse AzurePipelinesCredential.

Opties voor de AzurePowerShellCredential-

Configuratieopties voor InteractiveBrowserCredential ter ondersteuning van WAM Broker Authentication.

Parameters wanneer WAM Broker-verificatie is uitgeschakeld.

Parameters wanneer WAM Broker-verificatie is ingeschakeld.

Gedeelde configuratieopties voor browseraanpassing

Opties voor de ClientAssertionCredential-

Optionele parameters voor de klasse ClientCertificateCredential.

Vereiste configuratieopties voor de ClientCertificateCredential-, met de tekenreeksinhoud van een PEM-certificaat

Vereiste configuratieopties voor de ClientCertificateCredential-, met het pad naar een PEM-certificaat.

Optionele parameters voor de klasse ClientSecretCredential.

Gedeelde configuratieopties voor referenties die permanente tokencaching ondersteunen.

Biedt opties voor het configureren van de klasse DefaultAzureCredential. Deze variatie ondersteunt managedIdentityClientId en niet managedIdentityResourceId, omdat slechts één van beide wordt ondersteund.

Biedt opties voor het configureren van de klasse DefaultAzureCredential.

Biedt opties voor het configureren van de klasse DefaultAzureCredential. Deze variatie ondersteunt managedIdentityResourceId en niet managedIdentityClientId, omdat slechts één van beide wordt ondersteund.

Definieert opties voor de klasse InteractiveBrowserCredential voor Node.js.

Biedt de gebruikerscode en verificatie-URI waar de code moet worden ingevoerd. Biedt ook een bericht om weer te geven aan de gebruiker die een instructie bevat met deze details.

Maakt authenticatie naar Microsoft Entra ID mogelijk, afhankelijk van de beschikbare omgevingsvariabelen. Hiermee definieert u opties voor de klasse EnvironmentCredential.

Raadpleeg de officiële documentatie voor meer informatie:

https://learn.microsoft.com/azure/active-directory/develop/v1-protocols-oauth-code#error-response-1

OPMERKING: deze documentatie is bedoeld voor ondersteuning voor v1 OAuth, maar dezelfde foutreactiedetails zijn nog steeds van toepassing op v2.

De opties voor het configureren van de tokenprovider.

Definieert opties voor TokenCredential.getToken.

Definieert de algemene opties voor de klasse InteractiveBrowserCredential.

Definieert de algemene opties voor de klasse InteractiveBrowserCredential.

Algemene constructoropties voor de identiteitsreferenties waarvoor gebruikersinteractie is vereist.

Opties voor verzenden op de ManagedIdentityCredential constructor. Deze variatie ondersteunt clientId en niet resourceId, omdat slechts één van beide wordt ondersteund.

Opties voor verzenden op de ManagedIdentityCredential constructor. Deze variatie ondersteunt objectId als een constructorargument.

Opties voor verzenden op de ManagedIdentityCredential constructor. Deze variatie ondersteunt resourceId en niet clientId, omdat slechts één van beide wordt ondersteund.

Opties voor toepassingen met meerdere tenants waarmee aanvullende toegestane tenants kunnen worden toegestaan.

Definieert de parameters voor het verifiëren van de OnBehalfOfCredential- met een assertie.

Definieert de parameters voor het verifiëren van de OnBehalfOfCredential- met een certificaat.

Definieert de parameters voor het verifiëren van de OnBehalfOfCredential- met een geheim.

Parameters die persistentie van tokencache inschakelen in de identiteitsreferenties.

Vertegenwoordigt een referentie die een verificatietoken kan leveren.

Biedt opties om te configureren hoe de Identity-bibliotheek authenticatieverzoeken doet aan Microsoft Entra ID.

Hiermee definieert u opties voor de klasse UsernamePasswordCredential.

Biedt opties om het Visual Studio Code-inloggegevens te configureren.

Opties voor de WorkloadIdentityCredential-

Parameters die WAM Broker-verificatie inschakelen in interactiveBrowserCredential.

(Alleen browserfunctie) De aanmeldingsstijl die moet worden gebruikt in de verificatiestroom:

• Met 'omleiden' wordt de gebruiker omgeleid naar de verificatiepagina en wordt deze vervolgens teruggeleid naar de pagina zodra de verificatie is voltooid.
• 'pop-up' opent een nieuw browservenster via de omleidingsstroom wordt gestart. Het bestaande browservenster van de gebruiker laat de huidige pagina niet staan

Vereiste configuratieopties voor de ClientCertificateCredential-, met de tekenreeksinhoud van een PEM-certificaat of het pad naar een PEM-certificaat.

De algemeen ondersteunde omgevingsvariabelen voor de klasse DefaultAzureCredential .

Definieert de handtekening van een callback die wordt doorgegeven aan DeviceCodeCredential voor het weergeven van verificatiedetails aan de gebruiker.

Het type van een Azure Identity-plugin, een functie die een plugin-context accepteert.

Optionele parameters voor de klasse OnBehalfOfCredential.

Een lijst van bekende Azure autoriteitshosts

Deserializeert een eerder geserialiseerde verificatierecord van een tekenreeks in een object.

De invoertekenreeks moet de volgende eigenschappen bevatten:

• "autoriteit"
• "homeAccountId"
• "clientId"
• "tenantId"
• "gebruikersnaam"
• "versie"

Als de versie die we ontvangen niet wordt ondersteund, wordt er een fout gegenereerd.

Op dit moment is de enige beschikbare versie: '1.0', die altijd is ingesteld wanneer de verificatierecord wordt geserialiseerd.

Retourneert een callback die een bearer-token biedt. Het bearer-token kan bijvoorbeeld als volgt worden gebruikt om een aanvraag te verifiëren:

import { DefaultAzureCredential, getBearerTokenProvider } from "@azure/identity";
import { createPipelineRequest } from "@azure/core-rest-pipeline";

const credential = new DefaultAzureCredential();
const scope = "https://cognitiveservices.azure.com/.default";
const getAccessToken = getBearerTokenProvider(credential, scope);
const token = await getAccessToken();

// usage
const request = createPipelineRequest({ url: "https://example.com" });
request.headers.set("Authorization", `Bearer ${token}`);

Retourneert een nieuw exemplaar van de DefaultAzureCredential-.

Serialiseert een AuthenticationRecord in een tekenreeks.

De uitvoer van een geserialiseerde verificatierecord bevat de volgende eigenschappen:

• "autoriteit"
• "homeAccountId"
• "clientId"
• "tenantId"
• "gebruikersnaam"
• "versie"

Als u deze tekenreeks later wilt converteren naar een geserialiseerde AuthenticationRecord, gebruikt u de geëxporteerde functie deserializeAuthenticationRecord().

Breid Azure Identity uit met extra functionaliteit. Geef een invoegtoepassing door vanuit een invoegtoepassingspakket, zoals:

• @azure/identity-cache-persistence: biedt permanente tokencaching
• @azure/identity-vscode: biedt de afhankelijkheden van VisualStudioCodeCredential en schakelt deze in

Voorbeeld:

import { useIdentityPlugin, DeviceCodeCredential } from "@azure/identity";

useIdentityPlugin(cachePersistencePlugin);
// The plugin has the capability to extend `DeviceCodeCredential` and to
// add middleware to the underlying credentials, such as persistence.
const credential = new DeviceCodeCredential({
  tokenCachePersistenceOptions: {
    enabled: true,
  },
});

De Error.name waarde van een AggregateAuthenticationError

De Error.name waarde van een AuthenticationError

De Error.name waarde van een CredentialNiet beschikbaar

De AzureLogger die wordt gebruikt voor alle clients binnen het identiteitspakket