Share via

WorkloadIdentityCredential Klas

  • Referentie

Verifieert met behulp van een Azure Active Directory-workloadidentiteit.

Verificatie van workloadidentiteit is een functie in Azure waarmee toepassingen die worden uitgevoerd op virtuele machines (VM's) toegang hebben tot andere Azure-resources zonder dat er een service-principal of beheerde identiteit nodig is. Met verificatie van workloadidentiteit worden toepassingen geverifieerd met behulp van hun eigen identiteit, in plaats van een gedeelde service-principal of beheerde identiteit. Achter de schermen maakt verificatie van de workloadidentiteit gebruik van het concept serviceaccountreferenties (SACs), die automatisch worden gemaakt door Azure en veilig worden opgeslagen in de VM. Door verificatie van workloadidentiteit te gebruiken, kunt u voorkomen dat u service-principals of beheerde identiteiten voor elke toepassing op elke VM moet beheren en roteren. Omdat SACs automatisch worden gemaakt en beheerd door Azure, hoeft u zich bovendien geen zorgen te maken over het opslaan en beveiligen van gevoelige referenties zelf.

WorkloadIdentityCredential ondersteunt Verificatie van Azure-workloadidentiteit in Azure Kubernetes en verkrijgt een token met behulp van de serviceaccountreferenties die beschikbaar zijn in de Azure Kubernetes-omgeving. Raadpleeg dit overzicht van workloadidentiteit voor meer informatie.

Overname
azure.identity._credentials.client_assertion.ClientAssertionCredential
WorkloadIdentityCredential
azure.identity._credentials.workload_identity.TokenFileMixin
WorkloadIdentityCredential

Constructor

WorkloadIdentityCredential(*, tenant_id: str | None = None, client_id: str | None = None, token_file_path: str | None = None, **kwargs: Any)

Parameters

tenant_id
str

Id van de Azure Active Directory-tenant van de toepassing. Ook wel de map-id genoemd.

client_id
str

De client-id van een Azure AD app-registratie.

token_file_path
str

Het pad naar een bestand met een Kubernetes-serviceaccounttoken waarmee de identiteit wordt geverifieerd.

Voorbeelden

Maak een WorkloadIdentityCredential.


   from azure.identity import WorkloadIdentityCredential

   credential = WorkloadIdentityCredential(
       tenant_id="<tenant_id>",
       client_id="<client_id>",
       token_file_path="<token_file_path>",
   )

   # Parameters can be omitted if the following environment variables are set:
   #   - AZURE_TENANT_ID
   #   - AZURE_CLIENT_ID
   #   - AZURE_FEDERATED_TOKEN_FILE
   credential = WorkloadIdentityCredential()

Methoden

close
get_token

Een toegangstoken aanvragen voor bereiken.

Deze methode wordt automatisch aangeroepen door Azure SDK-clients.

close 

close() -> None

get_token

Een toegangstoken aanvragen voor bereiken.

Deze methode wordt automatisch aangeroepen door Azure SDK-clients.

get_token(*scopes: str, claims: str | None = None, tenant_id: str | None = None, **kwargs: Any) -> AccessToken

Parameters

scopes
str
Vereist

gewenste bereiken voor het toegangstoken. Voor deze methode is ten minste één bereik vereist. Zie voor meer informatie over bereiken https://learn.microsoft.com/azure/active-directory/develop/scopes-oidc.

claims
str

aanvullende claims die zijn vereist in het token, zoals de claims die worden geretourneerd in de claimvraag van een resourceprovider na een autorisatiefout.

tenant_id
str

optionele tenant die moet worden opgenomen in de tokenaanvraag.

enable_cae
bool

geeft aan of continue toegangsevaluatie (CAE) moet worden ingeschakeld voor het aangevraagde token. Standaard ingesteld op False.

Retouren

Een toegangstoken met de gewenste bereiken.

Retourtype

AccessToken

Uitzonderingen

CredentialUnavailableError

de referentie kan geen verificatie uitvoeren omdat de vereiste gegevens, status of platformondersteuning ontbreekt

ClientAuthenticationError

verificatie is mislukt. Het kenmerk van de message fout geeft een reden aan.