Biblioteka klienta tożsamości platformy Azure dla języka JavaScript — wersja 4.1.0
Biblioteka tożsamości platformy Azure zapewnia uwierzytelnianie tokenów Tożsamość Microsoft Entra (dawniej Azure Active Directory) za pomocą zestawu wygodnych implementacji TokenCredential.
Przykłady różnych poświadczeń można znaleźć na stronie przykładów tożsamości platformy Azure.
Linki kluczowe:
- Kod źródłowy
- Pakiet (npm)
- Dokumentacja referencyjna interfejsu API
- dokumentacja Tożsamość Microsoft Entra
- Samples
Wprowadzenie
Migrowanie z wersji 1 do wersji 2 z @azure/identity
Jeśli używasz wersji 1 programu @azure/identity, zobacz przewodnik migracji , aby przeprowadzić aktualizację do wersji 2.
Obecnie obsługiwane środowiska
- Wersje LTS Node.js
- Uwaga: Jeśli aplikacja działa w wersji Node.js w wersji 8 lub starszej i nie można uaktualnić wersji Node.js do najnowszej stabilnej wersji, przypnij
@azure/identityzależność do wersji 1.1.0.
- Uwaga: Jeśli aplikacja działa w wersji Node.js w wersji 8 lub starszej i nie można uaktualnić wersji Node.js do najnowszej stabilnej wersji, przypnij
- Najnowsze wersje przeglądarek Safari, Chrome, Edge i Firefox.
- Uwaga: wśród różnych poświadczeń wyeksportowanych w tej bibliotece
InteractiveBrowserCredentialjest jedynym, który jest obsługiwany w przeglądarce.
- Uwaga: wśród różnych poświadczeń wyeksportowanych w tej bibliotece
Aby uzyskać więcej informacji, zobacz nasze zasady pomocy technicznej .
Instalowanie pakietu
Zainstaluj usługę Azure Identity za pomocą polecenia npm:
npm install --save @azure/identity
Wymagania wstępne
- Subskrypcja platformy Azure.
- Opcjonalnie: interfejs wiersza polecenia platformy Azure i/lub Azure PowerShell może być również przydatny do uwierzytelniania w środowisku deweloperów i zarządzania rolami kont.
Kiedy używać atrybutu @azure/identity
Klasy poświadczeń udostępniane przez @azure/identity program koncentrują się na zapewnieniu najprostszego sposobu uwierzytelniania klientów zestawu Azure SDK lokalnie, w środowiskach deweloperskich i w środowisku produkcyjnym. Chcemy, aby prostota i rozsądna obsługa protokołów uwierzytelniania obejmowała większość scenariuszy uwierzytelniania możliwych na platformie Azure. Aktywnie rozwijamy się w celu omówienia większej liczby scenariuszy. Aby uzyskać pełną listę oferowanych poświadczeń, zobacz sekcję Klasy poświadczeń .
Wszystkie typy poświadczeń udostępniane przez @azure/identity program są obsługiwane w Node.js. W przypadku przeglądarek jest typem poświadczeń, InteractiveBrowserCredential który ma być używany w scenariuszach uwierzytelniania podstawowego.
Większość typów poświadczeń oferowanych przez @azure/identity bibliotekę Microsoft Authentication Library dla języka JavaScript (MSAL.js). W szczególności używamy bibliotek MSAL.js w wersji 2, które używają przepływu kodu autoryzacji OAuth 2.0 z protokołem PKCE i są zgodne z protokołem OpenID. Chociaż @azure/identity koncentruje się na prostotzie, biblioteki MSAL.js, takie jak @azure/msal-common, @azure/msal-node i @azure/msal-browser, zostały zaprojektowane w celu zapewnienia niezawodnej obsługi protokołów uwierzytelniania, które obsługuje platforma Azure.
Kiedy należy użyć innego elementu
Typy @azure/identity poświadczeń to implementacje klasy @azure/core-authTokenCredential. W zasadzie każdy obiekt z getToken metodą, która spełnia getToken(scopes: string | string[], options?: GetTokenOptions): Promise<AccessToken | null> , będzie działać jako TokenCredential. Oznacza to, że deweloperzy mogą pisać własne typy poświadczeń, aby obsługiwać przypadki uwierzytelniania, które nie są objęte usługą @azure/identity. Aby dowiedzieć się więcej, zobacz Poświadczenia niestandardowe.
Chociaż nasze typy poświadczeń obsługują wiele zaawansowanych przypadków, deweloperzy mogą chcieć mieć pełną kontrolę nad protokołem uwierzytelniania. W tym przypadku użycia zalecamy bezpośrednie używanie biblioteki Microsoft Authentication Library for JavaScript (MSAL.js). Więcej informacji można uzyskać za pośrednictwem następujących linków:
- Przedstawiamy niektóre zaawansowane przypadki
@azure/identityużycia na stronie Przykłady tożsamości platformy Azure .- W tym miejscu znajduje się sekcja Advanced Examples (Zaawansowane przykłady ).
- Mamy również sekcję przedstawiającą sposób uwierzytelniania bezpośrednio przy użyciu biblioteki MSAL.
W przypadku zaawansowanych przepływów pracy uwierzytelniania w przeglądarce mamy sekcję, w której pokazano, jak używać biblioteki @azure/msal-browser bezpośrednio do uwierzytelniania klientów zestawu Azure SDK.
Uwierzytelnianie klienta w środowisku deweloperów
Zalecamy używanie tożsamości zarządzanej lub uwierzytelniania jednostki usługi w aplikacji produkcyjnej, jednak deweloper zazwyczaj używa własnego konta do uwierzytelniania wywołań usług platformy Azure podczas debugowania i wykonywania kodu lokalnie. Istnieje kilka narzędzi programistycznych, których można użyć do przeprowadzenia tego uwierzytelniania w środowisku deweloperów.
Uwierzytelnianie za pośrednictwem Azure Developer CLI
Deweloperzy kodujący poza środowiskiem IDE mogą również uwierzytelniać się przy użyciu [Azure Developer CLI][azure_developer_cli]. Aplikacje korzystające DefaultAzureCredential z elementu lub AzureDeveloperCliCredential mogą następnie używać tego konta do uwierzytelniania wywołań w aplikacji podczas uruchamiania lokalnego.
Aby przeprowadzić uwierzytelnianie za pomocą [Azure Developer CLI][azure_developer_cli], użytkownicy mogą uruchomić polecenie azd auth login. W przypadku użytkowników działających w systemie z domyślną przeglądarką internetową Azure Developer CLI uruchomi przeglądarkę w celu uwierzytelnienia użytkownika.
W przypadku systemów bez domyślnej przeglądarki azd auth login --use-device-code internetowej polecenie użyje przepływu uwierzytelniania kodu urządzenia.
Uwierzytelnianie za pośrednictwem interfejsu wiersza polecenia platformy Azure
Aplikacje korzystające z interfejsu AzureCliCredential, niezależnie od tego, czy bezpośrednio, czy za pośrednictwem , mogą używać konta interfejsu DefaultAzureCredentialwiersza polecenia platformy Azure do uwierzytelniania wywołań w aplikacji podczas uruchamiania lokalnego.
Aby uwierzytelnić się za pomocą interfejsu wiersza polecenia platformy Azure , można uruchomić polecenie az login. W przypadku użytkowników działających w systemie z domyślną przeglądarką internetową interfejs wiersza polecenia platformy Azure uruchomi przeglądarkę w celu uwierzytelnienia użytkownika.
W przypadku systemów bez domyślnej przeglądarki az login internetowej polecenie użyje przepływu uwierzytelniania kodu urządzenia. Użytkownik może również wymusić użycie przepływu kodu urządzenia przez interfejs wiersza polecenia platformy Azure zamiast uruchamiania --use-device-code przeglądarki, określając argument.
Uwierzytelnianie za pośrednictwem Azure PowerShell
Aplikacje korzystające z metody , niezależnie od tegoAzurePowerShellCredential, czy bezpośrednio, czy za pośrednictwem DefaultAzureCredentialprogramu , mogą używać konta połączonego z Azure PowerShell do uwierzytelniania wywołań w aplikacji podczas uruchamiania lokalnego.
Aby uwierzytelnić się za pomocą Azure PowerShell użytkownicy mogą uruchomić Connect-AzAccount polecenie cmdlet . Domyślnie interfejs wiersza polecenia platformy Azure uruchomi domyślną przeglądarkę internetową w Connect-AzAccount celu uwierzytelnienia konta użytkownika.
Jeśli uwierzytelnianie interakcyjne nie może być obsługiwane w sesji, -UseDeviceAuthentication argument wymusi użycie przepływu uwierzytelniania kodu urządzenia zamiast tego, podobnie jak odpowiednia opcja w poświadczeniu interfejsu wiersza polecenia platformy Azure.
Uwierzytelnianie za pośrednictwem Visual Studio Code
Deweloperzy korzystający z Visual Studio Code mogą używać rozszerzenia konta platformy Azure do uwierzytelniania za pośrednictwem edytora. Aplikacje korzystające z VisualStudioCodeCredential tego konta mogą następnie używać tego konta do uwierzytelniania wywołań w aplikacji podczas uruchamiania lokalnego.
Aby uwierzytelnić się w Visual Studio Code, upewnij się, że rozszerzenie konta platformy Azure jest zainstalowane. Po zainstalowaniu otwórz paletę poleceń i uruchom polecenie Azure: Sign In .
Ponadto należy użyć @azure/identity-vscode pakietu wtyczki. Ten pakiet zapewnia zależności VisualStudioCodeCredential i włącza go. Zobacz Plugins (Wtyczki).
Jest to znany problem , który VisualStudioCodeCredential nie działa z wersjami rozszerzenia konta platformy Azure nowszymi niż 0.9.11. Długoterminowe rozwiązanie tego problemu jest w toku. W międzyczasie rozważ uwierzytelnienie za pośrednictwem interfejsu wiersza polecenia platformy Azure.
Uwierzytelnianie klienta w przeglądarkach
Aby uwierzytelnić klientów zestawu Azure SDK w przeglądarkach internetowych, oferujemy InteractiveBrowserCredentialelement , który można ustawić tak, aby korzystał z przekierowania lub wyskakujących okienek w celu ukończenia przepływu uwierzytelniania. Najpierw należy utworzyć rejestrację aplikacja systemu Azure w Azure Portal dla aplikacji internetowej.
Kluczowe pojęcia
Jeśli używasz lub Tożsamość Microsoft Entra po raz @azure/identity pierwszy, przeczytaj artykuł Using with Tożsamość Microsoft Entra first (Używanie z @azure/identity Tożsamość Microsoft Entra). Ten dokument zawiera dokładniejsze informacje o platformie i sposobie prawidłowego konfigurowania konta platformy Azure.
Referencja
Poświadczenie to klasa, która zawiera lub może uzyskać dane potrzebne klientowi usługi do uwierzytelniania żądań. Klienci usług w zestawie Azure SDK akceptują poświadczenia podczas ich konstruowania. Klienci usług używają tych poświadczeń do uwierzytelniania żądań w usłudze.
Biblioteka tożsamości platformy Azure koncentruje się na uwierzytelnianiu OAuth przy użyciu Tożsamość Microsoft Entra i oferuje różne klasy poświadczeń umożliwiające uzyskanie tokenu Microsoft Entra do uwierzytelniania żądań obsługi. Wszystkie klasy poświadczeń w tej bibliotece są implementacjami klasy abstrakcyjnej TokenCredential , a każda z nich może służyć do konstruowania klientów usług, którzy mogą uwierzytelniać się za pomocą tokenuCredential.
Zobacz Klasy poświadczeń.
DefaultAzureCredential
Jest DefaultAzureCredential to odpowiednie w przypadku większości scenariuszy, w których aplikacja ma zostać ostatecznie uruchomiona na platformie Azure. Wynika to z tego, że funkcja DefaultAzureCredential łączy poświadczenia często używane do uwierzytelniania podczas wdrażania przy użyciu poświadczeń używanych do uwierzytelniania w środowisku projektowym.
Uwaga:
DefaultAzureCredentialma na celu uproszczenie rozpoczynania pracy z zestawem SDK przez obsługę typowych scenariuszy z rozsądnymi zachowaniami domyślnymi. Deweloperzy, którzy chcą mieć większą kontrolę lub których scenariusz nie jest obsługiwany przez ustawienia domyślne, powinni używać innych typów poświadczeń.
W przypadku użycia z Node.js DefaultAzureCredential program podejmie próbę uwierzytelnienia za pomocą następujących mechanizmów w następującej kolejności:
- Środowisko — odczytuje
DefaultAzureCredentialinformacje o koncie określone za pośrednictwem zmiennych środowiskowych i używa go do uwierzytelniania. - Tożsamość obciążenia — jeśli aplikacja zostanie wdrożona w Azure Kubernetes Service z włączoną tożsamością zarządzaną,
DefaultAzureCredentialuwierzytelni ją. - Tożsamość zarządzana — jeśli aplikacja zostanie wdrożona na hoście platformy Azure z włączoną tożsamością zarządzaną,
DefaultAzureCredentialuwierzytelnia się przy użyciu tego konta. - Interfejs wiersza polecenia platformy Azure — jeśli deweloper uwierzytelnił konto za pomocą polecenia interfejsu wiersza polecenia
az loginplatformy Azure,DefaultAzureCredentialuwierzytelnia się przy użyciu tego konta. - Azure PowerShell — jeśli deweloper uwierzytelnił się przy użyciu polecenia modułu
Connect-AzAccountAzure PowerShell,DefaultAzureCredentialuwierzytelni się przy użyciu tego konta. - Azure Developer CLI — jeśli deweloper uwierzytelnił konto za pomocą polecenia Azure Developer CLI
azd auth login,DefaultAzureCredentialuwierzytelni się przy użyciu tego konta.
Zasady kontynuacji
Począwszy od wersji 3.3.0, DefaultAzureCredential podejmie próbę uwierzytelnienia przy użyciu wszystkich poświadczeń dewelopera, dopóki nie powiedzie się, niezależnie od błędów, które wystąpiły podczas poprzednich poświadczeń dewelopera. Na przykład poświadczenie dewelopera może próbować uzyskać token i zakończyć się niepowodzeniem, więc DefaultAzureCredential będzie nadal przechodzić do następnego poświadczenia w przepływie. Wdrożone poświadczenia usługi zatrzymają przepływ z zgłoszonym wyjątkiem, jeśli będą mogły podjąć próbę pobrania tokenu, ale nie otrzymają jednego.
Umożliwia to wypróbowanie wszystkich poświadczeń dewelopera na maszynie przy jednoczesnym przewidywalnym wdrożonym zachowaniu.
Uwaga na temat VisualStudioCodeCredential
Ze względu na znany problemVisualStudioCodeCredential został usunięty z łańcucha tokenówDefaultAzureCredential. Po rozwiązaniu problemu w przyszłej wersji ta zmiana zostanie przywrócona.
Wtyczki
Usługa Azure Identity for JavaScript udostępnia interfejs API wtyczki, który umożliwia zapewnienie pewnych funkcji za pośrednictwem oddzielnych pakietów wtyczek. Pakiet @azure/identity eksportuje funkcję najwyższego poziomu (useIdentityPlugin), która może służyć do włączenia wtyczki. Udostępniamy dwa pakiety wtyczek:
@azure/identity-broker, który zapewnia obsługę uwierzytelniania obsługiwanego przez brokera natywnego, takiego jak Menedżer kont internetowych.@azure/identity-cache-persistence, który zapewnia trwałe buforowanie tokenów w Node.js przy użyciu natywnego bezpiecznego systemu magazynu dostarczonego przez system operacyjny. Ta wtyczka umożliwia utrwalanie wartości w pamięci podręcznejaccess_tokenmiędzy sesjami, co oznacza, że interaktywny przepływ logowania nie musi być powtarzany, o ile jest dostępny buforowany token.
Przykłady
Więcej przykładów użycia różnych poświadczeń można znaleźć na stronie przykładów tożsamości platformy Azure
Uwierzytelnianie przy użyciu polecenia DefaultAzureCredential
W tym przykładzie pokazano uwierzytelnianie KeyClient z biblioteki klienta @azure/keyvault-keys przy użyciu polecenia DefaultAzureCredential.
// The default credential first checks environment variables for configuration as described above.
// If environment configuration is incomplete, it will try managed identity.
// Azure Key Vault service to use
import { KeyClient } from "@azure/keyvault-keys";
// Azure authentication library to access Azure Key Vault
import { DefaultAzureCredential } from "@azure/identity";
// Azure SDK clients accept the credential as a parameter
const credential = new DefaultAzureCredential();
// Create authenticated client
const client = new KeyClient(vaultUrl, credential);
Określanie tożsamości zarządzanej przypisanej przez użytkownika za pomocą polecenia DefaultAzureCredential
Stosunkowo typowy scenariusz obejmuje uwierzytelnianie przy użyciu tożsamości zarządzanej przypisanej przez użytkownika dla zasobu platformy Azure. Zapoznaj się z przykładem uwierzytelniania tożsamości zarządzanej przypisanej przez użytkownika za pomocą opcji DefaultAzureCredential , aby zobaczyć, jak jest to stosunkowo proste zadanie, które można skonfigurować przy użyciu zmiennych środowiskowych lub w kodzie.
Definiowanie niestandardowego przepływu uwierzytelniania za pomocą polecenia ChainedTokenCredential
Chociaż jest DefaultAzureCredential to najszybszy sposób rozpoczęcia tworzenia aplikacji dla platformy Azure, bardziej zaawansowani użytkownicy mogą chcieć dostosować poświadczenia rozważane podczas uwierzytelniania. Umożliwia ChainedTokenCredential użytkownikom łączenie wielu wystąpień poświadczeń w celu zdefiniowania dostosowanego łańcucha poświadczeń. W tym przykładzie pokazano tworzenie ChainedTokenCredential elementu, który podejmie próbę uwierzytelnienia przy użyciu dwóch różnych skonfigurowanych wystąpień ClientSecretCredentialprogramu , aby następnie uwierzytelnić KeyClient element z @azure/keyvault-keys:
import { ClientSecretCredential, ChainedTokenCredential } from "@azure/identity";
// When an access token is requested, the chain will try each
// credential in order, stopping when one provides a token
const firstCredential = new ClientSecretCredential(tenantId, clientId, clientSecret);
const secondCredential = new ClientSecretCredential(tenantId, anotherClientId, anotherSecret);
const credentialChain = new ChainedTokenCredential(firstCredential, secondCredential);
// The chain can be used anywhere a credential is required
import { KeyClient } from "@azure/keyvault-keys";
const client = new KeyClient(vaultUrl, credentialChain);
Obsługa tożsamości zarządzanej
Uwierzytelnianie tożsamości zarządzanej jest obsługiwane za pośrednictwem DefaultAzureCredential klas poświadczeń lub ManagedIdentityCredential bezpośrednio dla następujących usług platformy Azure:
- Azure App Service i Azure Functions
- Azure Arc
- Azure Cloud Shell
- Azure Kubernetes Service
- Azure Service Fabric
- Azure Virtual Machines
- Zestawy skalowania usługi Azure Virtual Machines
Przykłady użycia tożsamości zarządzanej do uwierzytelniania można znaleźć w przykładach.
Konfiguracja chmury
Poświadczenia są domyślnie uwierzytelniane w punkcie końcowym Microsoft Entra dla chmury publicznej platformy Azure. Aby uzyskać dostęp do zasobów w innych chmurach, takich jak Azure Government lub chmura prywatna, skonfiguruj poświadczenia za pomocą argumentu authorityHost w konstruktorze. Interfejs AzureAuthorityHosts definiuje władze dla dobrze znanych chmur. W przypadku chmury dla instytucji rządowych USA można utworzyć wystąpienie poświadczeń w następujący sposób:
import { AzureAuthorityHosts, ClientSecretCredential } from "@azure/identity";
const credential = new ClientSecretCredential(
"<YOUR_TENANT_ID>",
"<YOUR_CLIENT_ID>",
"<YOUR_CLIENT_SECRET>",
{
authorityHost: AzureAuthorityHosts.AzureGovernment,
}
);
Nie wszystkie poświadczenia wymagają tej konfiguracji. Poświadczenia uwierzytelniające się za pomocą narzędzia programistycznego, takiego jak AzureCliCredential, używają konfiguracji tego narzędzia. Podobnie akceptuje authorityHost argument, VisualStudioCodeCredential ale domyślnie jest zgodny z ustawieniem authorityHostplatformy Azure: chmura Visual Studio Code.
Klasy poświadczeń
Uwierzytelnianie aplikacji hostowanych na platformie Azure
| Referencje | Użycie | Przykład |
|---|---|---|
DefaultAzureCredential |
Zapewnia uproszczone środowisko uwierzytelniania umożliwiające szybkie rozpoczęcie tworzenia aplikacji uruchamianych na platformie Azure. | Przykład |
ChainedTokenCredential |
Umożliwia użytkownikom definiowanie niestandardowych przepływów uwierzytelniania, które komponują wiele poświadczeń. | Przykład |
EnvironmentCredential |
Uwierzytelnia jednostkę usługi lub użytkownika za pomocą informacji o poświadczeniach określonych w zmiennych środowiskowych. | Przykład |
ManagedIdentityCredential |
Uwierzytelnia tożsamość zarządzaną zasobu platformy Azure. | Przykład |
WorkloadIdentityCredential |
Obsługuje Tożsamość obciążeń Microsoft Entra na platformie Kubernetes. | Przykład |
Uwierzytelnianie jednostek usługi
| Referencje | Użycie | Przykład | Odwołanie |
|---|---|---|---|
ClientAssertionCredential |
Uwierzytelnia jednostkę usługi przy użyciu podpisanej asercji klienta. | Przykład | Uwierzytelnianie jednostki usługi |
ClientCertificateCredential |
Uwierzytelnia jednostkę usługi przy użyciu certyfikatu. | Przykład | Uwierzytelnianie jednostki usługi |
ClientSecretCredential |
Uwierzytelnia jednostkę usługi przy użyciu wpisu tajnego. | Przykład | Uwierzytelnianie jednostki usługi |
Uwierzytelnianie użytkowników
| Referencje | Użycie | Przykład | Odwołanie |
|---|---|---|---|
AuthorizationCodeCredential |
Uwierzytelnia użytkownika przy użyciu wcześniej uzyskanego kodu autoryzacji. | Przykład | Kod uwierzytelniania OAuth2 |
DeviceCodeCredential |
Interakcyjnie uwierzytelnia użytkownika na urządzeniach z ograniczonym interfejsem użytkownika. | Przykład | Uwierzytelnianie kodu urządzenia |
InteractiveBrowserCredential |
Interakcyjnie uwierzytelnia użytkownika za pomocą domyślnej przeglądarki systemowej. Dowiedz się więcej o tym, jak to się dzieje tutaj. | Przykład | Kod uwierzytelniania OAuth2 |
OnBehalfOfCredential |
Propaguje tożsamość i uprawnienia delegowanego użytkownika za pośrednictwem łańcucha żądań | Uwierzytelnianie w imieniu | |
UsernamePasswordCredential |
Uwierzytelnia użytkownika przy użyciu nazwy użytkownika i hasła. | Przykład | Nazwa użytkownika i uwierzytelnianie hasłem |
Uwierzytelnianie za pomocą narzędzi programistycznych
| Referencje | Użycie | Przykład | Odwołanie |
|---|---|---|---|
AzureCliCredential |
Uwierzytelnianie w środowisku projektowym przy użyciu interfejsu wiersza polecenia platformy Azure. | Przykład | Uwierzytelnianie interfejsu wiersza polecenia platformy Azure |
AzureDeveloperCliCredential |
Uwierzytelnianie w środowisku projektowym przy użyciu włączonego użytkownika lub jednostki usługi w Azure Developer CLI. | dokumentacja Azure Developer CLI | |
AzurePowerShellCredential |
Uwierzytelnianie w środowisku projektowym przy użyciu Azure PowerShell. | Przykład | Uwierzytelnianie Azure PowerShell |
VisualStudioCodeCredential |
Uwierzytelnia się jako użytkownik zalogowany do rozszerzenia Visual Studio Code konta platformy Azure. | Rozszerzenie konta platformy Azure programu VS Code |
Zmienne środowiskowe
DefaultAzureCredential można skonfigurować EnvironmentCredential za pomocą zmiennych środowiskowych. Każdy typ uwierzytelniania wymaga wartości dla określonych zmiennych.
Jednostka usługi z wpisem tajnym
| Nazwa zmiennej | Wartość |
|---|---|
AZURE_CLIENT_ID |
Identyfikator aplikacji Microsoft Entra |
AZURE_TENANT_ID |
Identyfikator dzierżawy Microsoft Entra aplikacji |
AZURE_CLIENT_SECRET |
jeden z wpisów tajnych klienta aplikacji |
Jednostka usługi z certyfikatem
| Nazwa zmiennej | Wartość |
|---|---|
AZURE_CLIENT_ID |
Identyfikator aplikacji Microsoft Entra |
AZURE_TENANT_ID |
Identyfikator dzierżawy Microsoft Entra aplikacji |
AZURE_CLIENT_CERTIFICATE_PATH |
ścieżka do pliku certyfikatu zakodowanego w formacie PEM, w tym klucza prywatnego |
AZURE_CLIENT_CERTIFICATE_PASSWORD |
hasło pliku certyfikatu, jeśli istnieje |
Nazwa użytkownika i hasło
| Nazwa zmiennej | Wartość |
|---|---|
AZURE_CLIENT_ID |
Identyfikator aplikacji Microsoft Entra |
AZURE_TENANT_ID |
Identyfikator dzierżawy Microsoft Entra aplikacji |
AZURE_USERNAME |
nazwa użytkownika (zazwyczaj adres e-mail) |
AZURE_PASSWORD |
hasło tego użytkownika |
Próba konfiguracji jest podejmowana w powyższej kolejności. Jeśli na przykład wartości klucza tajnego klienta i certyfikatu są obecne, zostanie użyty klucz tajny klienta.
Ciągła ocena dostępu
Od wersji 3.3.0 dostęp do zasobów chronionych przez ciągłą ocenę dostępu (CAE) jest możliwy dla poszczególnych żądań. Można to włączyć przy użyciu interfejsuGetTokenOptions.enableCae(boolean) API. Funkcja CAE nie jest obsługiwana w przypadku poświadczeń dewelopera.
Buforowanie tokenów
Buforowanie tokenów to funkcja udostępniana przez bibliotekę tożsamości platformy Azure, która umożliwia aplikacjom:
- Tokeny pamięci podręcznej w pamięci (ustawienie domyślne) i na dysku (zgoda).
- Zwiększ odporność i wydajność.
- Zmniejsz liczbę żądań wysyłanych do Tożsamość Microsoft Entra w celu uzyskania tokenów dostępu.
Biblioteka tożsamości platformy Azure oferuje buforowanie zarówno w pamięci, jak i na dysku trwałym. Aby uzyskać więcej informacji, zobacz dokumentację buforowania tokenów.
Uwierzytelnianie obsługiwane przez brokera
Broker uwierzytelniania to aplikacja, która działa na komputerze użytkownika i zarządza uzgadniania uwierzytelniania i konserwacji tokenów dla połączonych kont. Obecnie obsługiwany jest tylko Menedżer kont sieci Web systemu Windows (WAM). Aby włączyć obsługę, użyj @azure/identity-broker pakietu . Aby uzyskać szczegółowe informacje na temat uwierzytelniania przy użyciu WAM, zobacz dokumentację wtyczki brokera.
Rozwiązywanie problemów
Aby uzyskać pomoc dotyczącą rozwiązywania problemów, zobacz przewodnik rozwiązywania problemów.
Następne kroki
Przeczytaj dokumentację
Dokumentację interfejsu API dla tej biblioteki można znaleźć w naszej witrynie dokumentacji.
Obsługa biblioteki klienta
Biblioteki klienta i zarządzania wymienione na stronie wersji zestawu Azure SDK, które obsługują Microsoft Entra uwierzytelniania akceptują poświadczenia z tej biblioteki. Dowiedz się więcej o korzystaniu z tych bibliotek w dokumentacji, która jest połączona ze stroną wydań.
Znane problemy
obsługa usługi Azure AD B2C
Ta biblioteka nie obsługuje usługi Azure AD B2C.
Inne otwarte problemy można znaleźć w repozytorium GitHub biblioteki.
Wyraź opinię
Jeśli napotkasz usterki lub masz sugestie, otwórz problem.
Współtworzenie
Jeśli chcesz współtworzyć tę bibliotekę, przeczytaj przewodnik współtworzenia , aby dowiedzieć się więcej na temat tworzenia i testowania kodu.
Azure SDK for JavaScript
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla