Python için Azure Identity istemci kitaplığındaki kimlik bilgileri zincirleri

  • Makale

Azure Identity istemci kitaplığı, Azure Core kitaplığının TokenCredential protokolunu uygulayan genel sınıflar olan kimlik bilgilerini sağlar. Kimlik bilgisi, Microsoft Entra Id'den erişim belirteci almak için ayrı bir kimlik doğrulama akışını temsil eder. Bu kimlik bilgileri, denenecek sıralı bir kimlik doğrulama mekanizması dizisi oluşturmak için birbirine zincirlenebilir.

Zincirlenmiş kimlik bilgileri nasıl çalışır?

Çalışma zamanında, kimlik bilgisi zinciri dizinin ilk kimlik bilgilerini kullanarak kimlik doğrulaması yapmaya çalışır. Bu kimlik bilgisi bir erişim belirteci alamazsa, bir erişim belirteci başarıyla alınana kadar dizideki bir sonraki kimlik bilgisi denenir ve bu şekilde devam edilir. Aşağıdaki sıralı diyagramda bu davranış gösterilmektedir:

Kimlik bilgisi zinciri sırasını gösteren diyagram.

Kimlik bilgisi zincirlerini neden kullanmalısınız?

Zincirlenmiş kimlik bilgileri aşağıdaki avantajları sunabilir:

  • Ortam tanıma: Uygulamanın çalıştığı ortama göre en uygun kimlik bilgilerini otomatik olarak seçer. Bu olmadan, aşağıdaki gibi bir kod yazmanız gerekir:

    # Set up credential based on environment (Azure or local development)
if os.getenv("WEBSITE_HOSTNAME"):
    credential = ManagedIdentityCredential(client_id=user_assigned_client_id)
else:
    credential = AzureCliCredential()

  • Sorunsuz geçişler: Uygulamanız, kimlik doğrulama kodunu değiştirmeden yerel geliştirmeden hazırlama veya üretim ortamınıza geçebilir.

  • Geliştirilmiş dayanıklılık: Önceki bir erişim belirtecini alamayınca sonraki kimlik bilgilerine taşınan bir geri dönüş mekanizması içerir.

Zincirlenmiş kimlik bilgisi seçme

Kimlik bilgisi zincirlemenin iki farklı felsefesi vardır:

  • Bir zinciri "yok etme": Önceden yapılandırılmış bir zincirle başlayın ve ihtiyacınız olmayanları hariç tutun. Bu yaklaşım için DefaultAzureCredential genel bakış bölümüne bakın.
  • Bir zinciri "derleyin": Boş bir zincirle başlayın ve yalnızca ihtiyacınız olanı ekleyin. Bu yaklaşım için ChainedTokenCredential genel bakış bölümüne bakın.

DefaultAzureCredential'a genel bakış

DefaultAzureCredential , önceden yapılandırılmış, önceden yapılandırılmış bir kimlik bilgileri zinciridir. En yaygın kimlik doğrulama akışları ve geliştirici araçlarının yanı sıra birçok ortamı destekleyecek şekilde tasarlanmıştır. Grafik biçiminde, temel zincir şöyle görünür:

DefaultAzureCredential kimlik doğrulama akışını gösteren diyagram.

Kimlik bilgilerinin hangi sırayla denendiği DefaultAzureCredential aşağıda belirtilmiştir.

Sipariş Referans Açıklama Varsayılan olarak etkinleştirilsin mi?
1 Ortam Uygulama hizmet sorumlusunun (uygulama kullanıcısı) uygulama için yapılandırılıp yapılandırılmadığını belirlemek için ortam değişkenlerinden oluşan bir koleksiyonu okur. Öyleyse, DefaultAzureCredential uygulamanın kimliğini Azure'da doğrulamak için bu değerleri kullanır. Bu yöntem genellikle sunucu ortamlarında kullanılır, ancak yerel olarak geliştirirken de kullanılabilir. Yes
2 İş Yükü Kimliği Uygulama İş Yükü Kimliği etkinleştirilmiş bir Azure konağına dağıtıldıysa bu hesabın kimliğini doğrula. Yes
3 Yönetilen Kimlik Uygulama Yönetilen Kimlik etkinleştirilmiş bir Azure konağına dağıtılırsa, bu Yönetilen Kimliği kullanarak uygulamanın kimliğini Azure'da doğrularsınız. Yes
4 Paylaşılan Belirteç Önbelleği Geliştirici, Visual Studio'da oturum açarak Azure'da kimlik doğrulaması yaptıysa, aynı hesabı kullanarak uygulamanın kimliğini Azure'da doğrulayın. (Yalnızca Windows.) Yes
5 Azure CLI Geliştirici Azure CLI'nın komutunu kullanarak Azure'da az login kimlik doğrulaması yaptıysa, aynı hesabı kullanarak uygulamanın kimliğini Azure'da doğrular. Yes
6 Azure PowerShell Geliştirici Azure PowerShell'in cmdlet'ini kullanarak Azure'da Connect-AzAccount kimlik doğrulaması yaptıysa, aynı hesabı kullanarak uygulamanın kimliğini Azure'da doğrulayın. Yes
7 Azure Geliştirici CLI'sı Geliştirici, Azure Geliştirici CLI'sinin komutunu kullanarak Azure'da azd auth login kimlik doğrulaması yaptıysa, bu hesapla kimlik doğrulamasından geçin. Yes
8 Etkileşimli tarayıcı Etkinleştirilirse, geçerli sistemin varsayılan tarayıcısı aracılığıyla geliştiricinin kimliğini etkileşimli olarak doğrular. Hayır

En basit haliyle parametresiz sürümünü DefaultAzureCredential aşağıdaki gibi kullanabilirsiniz:

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

# Acquire a credential object
credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
    account_url="https://<my_account_name>.blob.core.windows.net",
    credential=credential
)

DefaultAzureCredential'ı özelleştirme

'den DefaultAzureCredentialkimlik bilgilerini kaldırmak için karşılık gelen exclude-prefixed anahtar sözcük parametresini kullanın. Örneğin:

credential = DefaultAzureCredential(
    exclude_environment_credential=True, 
    exclude_workload_identity_credential=True,
    managed_identity_client_id=user_assigned_client_id
)

Yukarıdaki kod örneğinde EnvironmentCredential ve WorkloadIdentityCredential kimlik bilgisi zincirinden kaldırılır. Sonuç olarak, denenecek ilk kimlik bilgisi olur ManagedIdentityCredential. Değiştirilen zincir şöyle görünür:

Ortam kimlik bilgilerini ve iş yükü kimlik bilgilerini kaldırmak için oluşturucuda dışlama ön ekli anahtar sözcük parametrelerini kullandıktan sonra DefaultAzureCredential örneğinin kimlik doğrulama akışını gösteren diyagram.

Not

InteractiveBrowserCredential varsayılan olarak dışlanır ve bu nedenle önceki diyagramda gösterilmez. eklemek InteractiveBrowserCredentialiçin oluşturucuyu exclude_interactive_browser_credential çağırdığınızda anahtar sözcük parametresini False DefaultAzureCredential olarak ayarlayın.

Daha fazla excludeön ekli anahtar sözcük parametresi olarak ayarlandıkçe True (kimlik bilgisi dışlamaları yapılandırılır), kullanmanın DefaultAzureCredential avantajları azalır. Böyle durumlarda, ChainedTokenCredential daha iyi bir seçimdir ve daha az kod gerektirir. Göstermek için, bu iki kod örneği aynı şekilde davranır:

credential = DefaultAzureCredential(
    exclude_environment_credential=True,
    exclude_workload_identity_credential=True,
    exclude_shared_token_cache_credential=True,
    exclude_azure_powershell_credential=True,
    exclude_azure_developer_cli_credential=True,
    managed_identity_client_id=user_assigned_client_id
)

ChainedTokenCredential'a genel bakış

ChainedTokenCredential , uygulamanızın gereksinimlerine uygun kimlik bilgileri eklediğiniz boş bir zincirdir. Örneğin:

credential = ChainedTokenCredential(
    ManagedIdentityCredential(client_id=user_assigned_client_id),
    AzureCliCredential()
)

Yukarıdaki kod örneği, iki kimlik bilgisi içeren uyarlanmış bir kimlik bilgisi zinciri oluşturur. Kullanıcı tarafından atanan yönetilen kimlik değişkeni ManagedIdentityCredential önce denendi, gerekirse bunu takip etti AzureCliCredential. Grafik biçiminde zincir şöyle görünür:

Yönetilen kimlik kimlik bilgileri ve Azure CLI kimlik bilgilerinden oluşan chainedTokenCredential örneğinin kimlik doğrulama akışını gösteren diyagram.

İpucu

Gelişmiş performans için, içinde üretim ortamınız için kimlik bilgisi sıralamasını ChainedTokenCredential iyileştirin. Yerel geliştirme ortamında kullanılmak üzere tasarlanan kimlik bilgileri en son eklenmelidir.

DefaultAzureCredential için kullanım kılavuzu

DefaultAzureCredential Şüphesiz Azure Identity istemci kitaplığını kullanmaya başlamanın en kolay yoludur, ancak bu kolaylıkla avantajlı hale gelir. Uygulamanızı Azure'a dağıttığınızda uygulamanın kimlik doğrulama gereksinimlerini anlamanız gerekir. Bu nedenle, aşağıdaki çözümlerden birine geçmeyi DefaultAzureCredential kesinlikle göz önünde bulundurun:

  • gibi ManagedIdentityCredentialbelirli bir kimlik bilgisi uygulaması.
  • Uygulamanızın çalıştığı Azure ortamı için iyileştirilmiş ayrıştırılmış ChainedTokenCredential bir uygulama.

Bunun nedeni şu şekildedir:

  • Hata ayıklama zorlukları: Kimlik doğrulaması başarısız olduğunda, hata ayıklamak ve sorunlu kimlik bilgilerini belirlemek zor olabilir. Bir kimlik bilgisinden diğerine ilerleme durumunu ve her birinin başarı/başarısızlık durumunu görmek için günlüğe kaydetmeyi etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Zincirlenmiş kimlik bilgilerinin hatalarını ayıklama.
  • Performans yükü: Birden çok kimlik bilgilerini sıralı olarak deneme işlemi performans ek yüküne neden olabilir. Örneğin, yerel bir geliştirme makinesinde çalışırken yönetilen kimlik kullanılamaz. Sonuç olarak, ManagedIdentityCredential ilgili excludeön ekli özelliği aracılığıyla açıkça devre dışı bırakılmadığı sürece yerel geliştirme ortamında her zaman başarısız olur.
  • Öngörülemeyen davranış: DefaultAzureCredential Belirli ortam değişkenlerinin varlığını denetler. Birinin konak makinede sistem düzeyinde bu ortam değişkenlerini eklemesi veya değiştirmesi mümkündür. Bu değişiklikler genel olarak uygulanır ve bu nedenle bu makinede çalışan herhangi bir uygulamada çalışma zamanında davranışını DefaultAzureCredential değiştirir.

Zincirlenmiş kimlik bilgisinde hata ayıklama

Beklenmeyen bir sorunu tanılamak veya zincirlenmiş kimlik bilgilerinin ne yaptığını anlamak için uygulamanızda günlüğe kaydetmeyi etkinleştirin. İsteğe bağlı olarak günlükleri yalnızca Azure Identity istemci kitaplığından yayılan olaylara göre filtreleyin. Örneğin:

import logging
from azure.identity import DefaultAzureCredential

# Set the logging level for the Azure Identity library
logger = logging.getLogger("azure.identity")
logger.setLevel(logging.DEBUG)

# Direct logging output to stdout. Without adding a handler,
# no logging output is visible.
handler = logging.StreamHandler(stream=sys.stdout)
logger.addHandler(handler)

# Optional: Output logging levels to the console.
print(
    f"Logger enabled for ERROR={logger.isEnabledFor(logging.ERROR)}, "
    f"WARNING={logger.isEnabledFor(logging.WARNING)}, "
    f"INFO={logger.isEnabledFor(logging.INFO)}, "
    f"DEBUG={logger.isEnabledFor(logging.DEBUG)}"
)

Çizim amacıyla, parametresiz biçiminin DefaultAzureCredential blob depolama hesabına yönelik bir isteğin kimliğini doğrulamak için kullanıldığını varsayalım. Uygulama yerel geliştirme ortamında çalışır ve geliştirici Azure CLI kullanarak Azure'da kimlik doğrulaması yapar. Günlük düzeyinin olarak ayarlandığını logging.DEBUGda varsayalım. Uygulama çalıştırıldığında, çıkışta aşağıdaki ilgili girdiler görüntülenir:

Logger enabled for ERROR=True, WARNING=True, INFO=True, DEBUG=True
No environment configuration found.
ManagedIdentityCredential will use IMDS
EnvironmentCredential.get_token failed: EnvironmentCredential authentication unavailable. Environment variables are not fully configured.
Visit https://aka.ms/azsdk/python/identity/environmentcredential/troubleshoot to troubleshoot this issue.
ManagedIdentityCredential.get_token failed: ManagedIdentityCredential authentication unavailable, no response from the IMDS endpoint.     
SharedTokenCacheCredential.get_token failed: SharedTokenCacheCredential authentication unavailable. No accounts were found in the cache.
AzureCliCredential.get_token succeeded
[Authenticated account] Client ID: 00001111-aaaa-2222-bbbb-3333cccc4444. Tenant ID: aaaabbbb-0000-cccc-1111-dddd2222eeee. User Principal Name: unavailableUpn. Object ID (user): aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
DefaultAzureCredential acquired a token from AzureCliCredential

Yukarıdaki çıkışta şunların olduğuna dikkat edin:

  • EnvironmentCredential, ManagedIdentityCredentialve SharedTokenCacheCredential her bir microsoft Entra erişim belirtecini bu sırayla alamadı.
  • AzureCliCredential.get_token Çağrı başarılı olur ve çıkış, 'den AzureCliCredentialbir belirteç aldığını da gösterirDefaultAzureCredential. Başarılı olduğundan AzureCliCredential , bunun ötesinde hiçbir kimlik bilgisi denenmemiş.

Not

Yukarıdaki örnekte günlük düzeyi olarak logging.DEBUGayarlanmıştır. Hassas bilgilerin çıkışını olabileceği için bu günlük düzeyini kullanırken dikkatli olun. Örneğin, bu örnekte istemci kimliği, kiracı kimliği ve geliştiricinin Azure'daki kullanıcı sorumlusunun nesne kimliği. Netlik için tüm geri izleme bilgileri çıktıdan kaldırıldı.