@azure/identity package

Fornece uma matriz que contém AuthenticationError instância para falhas de autenticação de credenciais em umChainedTokenCredential .

Fornece detalhes sobre falha na autenticação com o Azure Active Directory. O campo errorResponse contém mais detalhes sobre a falha específica.

Erro usado para impor a autenticação depois de tentar recuperar um token silenciosamente.

Permite a autenticação do Microsoft Entra ID usando um código de autorização obtido pelo fluxo de código de autorização, descrito com mais detalhes na documentação do Microsoft Entra ID:

https://learn.microsoft.com/entra/identity-platform/v2-oauth2-auth-code-flow

Essa credencial utilizará as informações de login do usuário atualmente logadas via a ferramenta de linha de comando CLI do Azure ('az'). Para isso, ele lê o token de acesso do usuário e o tempo de expiração com o comando do CLI do Azure "az account get-access-token".

O Azure Developer CLI é uma ferramenta de interface de linha de comando que permite aos desenvolvedores criar, gerenciar e implantar recursos no Azure. Ele é construído sobre a CLI do Azure e oferece funcionalidades adicionais específicas para desenvolvedores do Azure. Ele permite que os usuários se autentiquem como usuário e/ou como principal de serviço contra Microsoft Entra ID. O AzureDeveloperClidential autentica em um ambiente de desenvolvimento e adquire um token em nome do usuário ou principal do serviço logado na CLI do Azure Developer. Ele atua como o usuário ou principal de serviço logado no Azure Developer CLI e executa um comando CLI do Azure abaixo para autenticar o aplicativo contra o Microsoft Entra ID.

Configurar a AzureDeveloperCliCredential

Para usar essa credencial, o desenvolvedor precisa autenticar localmente no Azure Developer CLI usando um dos comandos abaixo:

1. Execute o "azd auth login" na CLI do Azure Developer para autenticar interativamente como usuário.
2. Execute "azd auth login --client-id clientID --client-secret clientSecret --tenant-id tenantID" para autenticar como uma entidade de serviço.

Talvez seja necessário repetir esse processo após um determinado período de tempo, dependendo da validade do token de atualização em sua organização. Em geral, o período de validade do token de atualização é de algumas semanas a alguns meses. O AzureDeveloperCliCredential solicitará que você entre novamente.

Essa credencial foi projetada para ser usada em Azure Pipelines com conexões de serviço como configuração para federação de identidade de carga de trabalho.

Essa credencial utilizará as informações de usuário atualmente logadas do módulo Azure PowerShell. Para isso, ele lê o token de acesso do usuário e o tempo de expiração com Azure PowerShell comando Get-AzAccessToken -ResourceUrl {ResourceScope}

Permite que várias implementações de TokenCredential sejam testadas em ordem até que um dos métodos getToken retorne um token de acesso. Para obter mais informações, consulte visão geral chainedTokenCredential.

Autentica uma entidade de serviço com uma declaração JWT.

Permite a autenticação do Microsoft Entra ID usando um certificado codificado em PEM que é atribuído a um Registro de Aplicativos. Mais informações sobre como configurar a autenticação de certificado podem ser encontradas aqui:

https://learn.microsoft.com/azure/active-directory/develop/active-directory-certificate-credentials#register-your-certificate-with-azure-ad

Permite a autenticação do Microsoft Entra ID usando um segredo de cliente gerado para um Registro de Aplicativo. Mais informações sobre como configurar um segredo do cliente podem ser encontradas aqui:

https://learn.microsoft.com/entra/identity-platform/quickstart-configure-app-access-web-apis#add-credentials-to-your-web-application

Isso significa que a credencial que foi tentada em uma credencial encadeada não estava disponível para ser usada como a credencial. Em vez de tratar isso como um erro que deve parar a cadeia, ela é capturada e a cadeia continua

Fornece uma configuração padrão ChainedTokenCredential que funciona para a maioria das aplicações que usam bibliotecas SDK do Azure clientes. Para obter mais informações, consulte Visão geral de DefaultAzureCredential.

Os seguintes tipos de credencial serão testados, na ordem:

• Credencial de Ambiente
• WorkloadIdentityCredential
• ManagedIdentityCredential
• VisualStudioCodeCredential
• AzureCliCredential
• AzurePowerShellCredential
• AzureDeveloperCliCredential
• BrokerCredential (uma credencial habilitada para agente que requer @azure/identity-broker está instalada)

Consulte a documentação desses tipos de credencial para obter mais informações sobre como eles tentam autenticação.

O exemplo a seguir demonstra como usar a requiredEnvVars opção para garantir que determinadas variáveis de ambiente sejam definidas antes que o DefaultAzureCredential seja instanciado. Se qualquer uma das variáveis de ambiente especificadas estiver ausente ou vazia, um erro será gerado, impedindo que o aplicativo continue a execução sem a configuração necessária. Ele também demonstra como definir a variável de AZURE_TOKEN_CREDENTIALS ambiente para controlar quais credenciais estão incluídas na cadeia.

import { DefaultAzureCredential } from "@azure/identity";

const credential = new DefaultAzureCredential({
  requiredEnvVars: [
    "AZURE_CLIENT_ID",
    "AZURE_TENANT_ID",
    "AZURE_CLIENT_SECRET",
    "AZURE_TOKEN_CREDENTIALS",
  ],
});

Permite a autenticação Microsoft Entra ID usando um código de dispositivo que o usuário pode inserir em https://microsoft.com/devicelogin.

Permite a autenticação do Microsoft Entra ID usando um segredo ou certificado de cliente.

Permite a autenticação do Microsoft Entra ID dentro do navegador web usando o fluxo interativo de login.

Tenta autenticação usando uma identidade gerenciada disponível no ambiente de implantação. Esse tipo de autenticação funciona em VMs do Azure, instâncias de App Service, aplicações Azure Functions, Azure Kubernetes Services, instâncias do Azure Service Fabric e dentro do Azure Cloud Shell.

Mais informações sobre como configurar identidades gerenciadas podem ser encontradas aqui: https://learn.microsoft.com/azure/active-directory/managed-identities-azure-resources/overview

Permite a autenticação para Microsoft Entra ID usando o Em nome de fluxo.

Permite a autenticação do Microsoft Entra ID com o nome de usuário e senha do usuário. Essa credencial requer um alto grau de confiança, portanto, você só deve usá-la quando outros tipos de credencial mais seguros não puderem ser usados.

Conecta-se ao Azure usando a conta de usuário logada pela extensão Azure Resources no Visual Studio Code. Depois que o usuário fizer logon por meio da extensão, essa credencial poderá compartilhar o mesmo token de atualização que é armazenado em cache pela extensão.

A autenticação de Identidade de Carga de Trabalho é um recurso no Azure que permite que aplicações rodando em máquinas virtuais (VMs) acessem outros recursos do Azure sem a necessidade de um principal de serviço ou identidade gerenciada. Com a autenticação de Identidade de Carga de Trabalho, os aplicativos se autenticam usando sua própria identidade, em vez de usar uma entidade de serviço compartilhada ou uma identidade gerenciada. Por trás do capot, a autenticação por Identidade de Carga de Trabalho utiliza o conceito de Credenciais de Conta de Serviço (SACs), que são criadas automaticamente pelo Azure e armazenadas de forma segura na VM. Usando a autenticação de Identidade de Carga de Trabalho, você pode evitar a necessidade de gerenciar e girar entidades de serviço ou identidades gerenciadas para cada aplicativo em cada VM. Além disso, como os SACs são criados automaticamente e gerenciados pelo Azure, você não precisa se preocupar em armazenar e proteger credenciais sensíveis em si. O WorkloadIdentityCredential suporta autenticação ID de carga de trabalho do Microsoft Entra no Azure Kubernetes e adquire um token usando os SACs disponíveis no ambiente Azure Kubernetes. Consulte ID de carga de trabalho do Microsoft Entra para mais informações.

Representa um token de acesso com um tempo de expiração.

O registro a ser usado para localizar os tokens armazenados em cache no cache.

Parâmetros opcionais para o AuthenticationRequiredError

Oferece opções para configurar como a biblioteca de Identidade faz a validação de autoridade durante as requisições de autenticação para o Microsoft Entra ID.

Opções para o AuthorizationCodeCredential

Opções para o AzureCliCredential

Opções para o AzureDeveloperCliCredential

Parâmetros opcionais para a classe AzurePipelinesCredential.

Opções para o AzurePowerShellCredential

Opções de configuração para InteractiveBrowserCredential para dar suporte à Autenticação do WAM Broker.

Parâmetros quando a autenticação do agente do WAM está desabilitada.

Parâmetros quando a autenticação do agente do WAM está habilitada.

Opções de configuração compartilhada para personalização do navegador

Opções para o ClientAssertionCredential

Parâmetros opcionais para a classe ClientCertificateCredential.

Opções de configuração necessárias para oClientCertificateCredential, com o conteúdo da cadeia de caracteres de um certificado PEM

Opções de configuração necessárias para o ClientCertificateCredential, com o caminho para um certificado PEM.

Parâmetros opcionais para a classe ClientSecretCredential.

Opções de configuração compartilhada para credenciais que dão suporte ao cache de token persistente.

Fornece opções para configurar a classe DefaultAzureCredential. Essa variação dá suporte a managedIdentityClientId e não managedIdentityResourceId, já que apenas um dos dois tem suporte.

Fornece opções para configurar a classe DefaultAzureCredential.

Fornece opções para configurar a classe DefaultAzureCredential. Essa variação dá suporte a managedIdentityResourceId e não managedIdentityClientId, já que apenas um dos dois tem suporte.

Define opções para a classe InteractiveBrowserCredential para Node.js.

Fornece o código do usuário e o URI de verificação em que o código deve ser inserido. Também fornece uma mensagem a ser exibida para o usuário que contém uma instrução com esses detalhes.

Permite autenticação no Microsoft Entra ID dependendo das variáveis de ambiente disponíveis. Define opções para a classe EnvironmentCredential.

Consulte a documentação oficial para obter mais detalhes:

https://learn.microsoft.com/azure/active-directory/develop/v1-protocols-oauth-code#error-response-1

OBSERVAÇÃO: esta documentação é para o suporte do OAuth v1, mas os mesmos detalhes de resposta de erro ainda se aplicam à v2.

As opções para configurar o provedor de token.

Define opções para TokenCredential.getToken.

Define as opções comuns para a classe InteractiveBrowserCredential.

Define as opções comuns para a classe InteractiveBrowserCredential.

Opções comuns de construtor para as credenciais de identidade que exigem interação do usuário.

Opções para enviar no construtor ManagedIdentityCredential. Essa variação dá suporte a clientId e não resourceId, já que apenas um dos dois tem suporte.

Opções para enviar no construtor ManagedIdentityCredential. Essa variação dá suporte a objectId como um argumento de construtor.

Opções para enviar no construtor ManagedIdentityCredential. Essa variação dá suporte a resourceId e não clientId, já que apenas um dos dois tem suporte.

Opções para aplicativos multilocatários que permitem locatários permitidos adicionalmente.

Define os parâmetros para autenticar o OnBehalfOfCredential com uma asserção.

Define os parâmetros para autenticar o OnBehalfOfCredential com um certificado.

Define os parâmetros para autenticar o OnBehalfOfCredential com um segredo.

Parâmetros que habilitam a persistência de cache de token nas credenciais de identidade.

Representa uma credencial capaz de fornecer um token de autenticação.

Oferece opções para configurar como a biblioteca Identity faz requisições de autenticação para o Microsoft Entra ID.

Define opções para a classe UsernamePasswordCredential.

Oferece opções para configurar a credencial do Visual Studio Code.

Opções para o WorkloadIdentityCredential

Parâmetros que habilitam a autenticação do agente WAM no InteractiveBrowserCredential.

(Recurso somente navegador) O "estilo de logon" a ser usado no fluxo de autenticação:

• O "redirecionamento" redireciona o usuário para a página de autenticação e, em seguida, redireciona-o de volta para a página depois que a autenticação for concluída.
• O "pop-up" abre uma nova janela do navegador com o fluxo de redirecionamento iniciado. A janela do navegador existente do usuário não deixa a página atual

Opções de configuração necessárias para o ClientCertificateCredential, com o conteúdo da cadeia de caracteres de um certificado PEM ou o caminho para um certificado PEM.

As variáveis de ambiente com suporte comum para a classe DefaultAzureCredential .

Define a assinatura de um retorno de chamada que será passado para DeviceCodeCredential com a finalidade de exibir detalhes de autenticação para o usuário.

O tipo de plugin Azure Identity, uma função que aceita um contexto de plugin.

Parâmetros opcionais para a classe OnBehalfOfCredential.

Uma lista de hosts de autoridade Azure conhecidos

Desserializa um registro de autenticação serializado anteriormente de uma cadeia de caracteres em um objeto.

A cadeia de caracteres de entrada deve conter as seguintes propriedades:

• "autoridade"
• "homeAccountId"
• "clientId"
• "ID do inquilino"
• "nome de usuário"
• "versão"

Se a versão que recebermos não for suportada, um erro será gerado.

No momento, a única versão disponível é: "1.0", que é sempre definida quando o registro de autenticação é serializado.

Retorna um retorno de chamada que fornece um token de portador. Por exemplo, o token de portador pode ser usado para autenticar uma solicitação da seguinte maneira:

import { DefaultAzureCredential, getBearerTokenProvider } from "@azure/identity";
import { createPipelineRequest } from "@azure/core-rest-pipeline";

const credential = new DefaultAzureCredential();
const scope = "https://cognitiveservices.azure.com/.default";
const getAccessToken = getBearerTokenProvider(credential, scope);
const token = await getAccessToken();

// usage
const request = createPipelineRequest({ url: "https://example.com" });
request.headers.set("Authorization", `Bearer ${token}`);

Retorna uma nova instância doDefaultAzureCredential .

Serializa um AuthenticationRecord em uma cadeia de caracteres.

A saída de um registro de autenticação serializado conterá as seguintes propriedades:

• "autoridade"
• "homeAccountId"
• "clientId"
• "ID do inquilino"
• "nome de usuário"
• "versão"

Para converter posteriormente essa cadeia de caracteres em um AuthenticationRecordserializado, use a função exportada deserializeAuthenticationRecord().

Estenda o Azure Identity com funcionalidades adicionais. Passe um plug-in de um pacote de plug-in, como:

• @azure/identity-cache-persistence: fornece cache de token persistente
• @azure/identity-vscode: fornece as dependências de VisualStudioCodeCredential e habilita

Exemplo:

import { useIdentityPlugin, DeviceCodeCredential } from "@azure/identity";

useIdentityPlugin(cachePersistencePlugin);
// The plugin has the capability to extend `DeviceCodeCredential` and to
// add middleware to the underlying credentials, such as persistence.
const credential = new DeviceCodeCredential({
  tokenCachePersistenceOptions: {
    enabled: true,
  },
});

O valor Error.name de um AggregateAuthenticationError

O valor Error.name de um Authentication Error

O valor Error.name de uma CredencialIndisponível

O AzureLogger usado para todos os clientes dentro do pacote de identidade