ConfidentialClientApplication Klass
Samma som <xref:ClientApplication.__init__>, förutom att allow_broker parametern ska förbli None.
Skapa en instans av programmet.
Konstruktor
ConfidentialClientApplication(client_id, client_credential=None, authority=None, validate_authority=True, token_cache=None, http_client=None, verify=True, proxies=None, timeout=None, client_claims=None, app_name=None, app_version=None, client_capabilities=None, azure_region=None, exclude_scopes=None, http_cache=None, instance_discovery=None, allow_broker=None, enable_pii_log=None, oidc_authority=None)
Parametrar
| Name | Description |
|---|---|
|
client_id
Obligatorisk
|
Din app har en client_id när du har registrerat den på Microsoft Entra administrationscenter. |
|
client_credential
|
För PublicClientApplicationanvänder du Ingen här. För ConfidentialClientApplicationstöder den många olika indataformat för olika scenarier. Stöd för användning av en klienthemlighet. Mata bara in en sträng, till exempel
|
|
client_claims
|
Har lagts till i version 0.5.0: Det är en ordlista med extra anspråk som skulle signeras av den här ConfidentialClientApplication privata nyckeln. Du kan till exempel använda {"client_ip": "x.x.x.x"}. Du kan också åsidosätta något av följande standardanspråk:
Standardvärde: None
|
|
authority
|
En URL som identifierar en tokenutfärdare. Det bör vara av formatet
Har ändrats i version 1.17: Du kan också använda fördefinierad konstant och en byggare som den här:
Standardvärde: None
|
|
validate_authority
|
(valfritt) Aktiverar eller inaktiverar verifiering av utfärdare. Den här parametern är som standard true. Standardvärde: True
|
|
token_cache
|
Anger den tokencache som används av den här ClientApplication-instansen. Som standard skapas och används en minnesintern cache. Standardvärde: None
|
|
http_client
|
(valfritt) Din implementering av den abstrakta klassen HttpClient <msal.oauth2cli.http.http_client> Standardinställningar för en sessionsinstans för begäranden. Eftersom MSAL 1.11.0 konfigureras standardsessionen för att försöka utföra ett nytt försök med anslutningsfel. Om du tillhandahåller egna http_client är det din http_client skyldighet att bestämma om du vill göra ett nytt försök. Standardvärde: None
|
|
verify
|
(valfritt) Den skickas till verifieringsparametern i biblioteket för underliggande begäranden Detta gäller inte om du har valt att skicka din egen Http-klient Standardvärde: True
|
|
proxies
|
(valfritt) Den skickas till proxyparametern i biblioteket för underliggande begäranden Detta gäller inte om du har valt att skicka din egen Http-klient Standardvärde: None
|
|
timeout
|
(valfritt) Den skickas till timeout-parametern i biblioteket för underliggande begäranden Detta gäller inte om du har valt att skicka din egen Http-klient Standardvärde: None
|
|
app_name
|
(valfritt) Du kan ange ditt programnamn för Microsoft telemetriändamål. Standardvärdet är Ingen, innebär att det inte skickas till Microsoft. Standardvärde: None
|
|
app_version
|
(valfritt) Du kan ange din programversion för Microsoft telemetriändamål. Standardvärdet är Ingen, innebär att det inte skickas till Microsoft. Standardvärde: None
|
|
client_capabilities
|
(valfritt) Tillåter konfiguration av en eller flera klientfunktioner, t.ex. ["CP1"]. Klientfunktionen är avsedd att informera Microsofts identitetsplattform (STS) om vad den här klienten är kapabel till, så att STS kan välja att aktivera vissa funktioner. Om klienten till exempel kan hantera anspråksutmaningar kan STS utfärda CAE-åtkomsttoken (Continuous Access Evaluation) till resurser, med vetskapen om att klienten kommer att kunna hantera dessa utmaningar när resursen genererar en anspråksutmaning . Implementeringsinformation: Klientfunktionen implementeras med hjälp av parametern "anspråk" på kabeln för tillfället. MSAL kombinerar dem i anspråksparametern som du senare anger via en av begäran om att hämta token. Standardvärde: None
|
|
azure_region
|
(valfritt) Instruerar MSAL att använda entra regional token-tjänsten. Den här äldre funktionen är endast tillgänglig för program från första part. Endast Stöder 4 värden:
Note Automatisk identifiering av regioner har testats på virtuella datorer och på Azure Functions. Det är opålitligt. Program som använder det här alternativet bör konfigurera en kort tidsgräns. Mer information och för värdena för regionsträngen Se https://dotnet.territoriali.olinfo.it/entra/msal/dotnet/resources/region-discovery-troubleshooting Ny i version 1.12.0. Standardvärde: None
|
|
exclude_scopes
|
(valfritt) Tidigare har MSAL-hårdkoder offline_access omfång, vilket skulle göra det möjligt för din app att ha långvarig åtkomst till användarens data.
Om det är onödigt eller oönskat för din app kan du nu använda den här parametern för att ange en undantagslista med omfång, till exempel Standardvärde: None
|
|
http_cache
|
MSAL har länge cachelagra token i Den här Om din app är en kommandoradsapp (CLI) vill du spara dina http_cache mellan olika CLI-körningar. Den bevarade filens format kan ändras på grund av, men inte begränsat till, instabilt protokoll, så implementeringen tolererar oväntade inläsningsfel. Följande recept visar ett sätt att göra det:
Innehållet inuti Innehållet inuti Nytt i version 1.16.0. Standardvärde: None
|
|
instance_discovery
|
<xref:boolean>
Tidigare skulle MSAL ansluta till en central slutpunkt som finns vid Den här parametern är som standard Ingen, vilket aktiverar instansidentifieringen. Om du känner till vissa myndigheter som du tillåter msal att arbeta med as-is, utan att ta med någon instansidentifiering, är det rekommenderade mönstret:
Om du inte känner till vissa myndigheter i förväg, men ändå vill att MSAL ska godkänna alla utfärdare som du anger, kan du använda en Nytt i version 1.19.0. Standardvärde: None
|
|
allow_broker
|
<xref:boolean>
Deprecated. Använd Standardvärde: None
|
|
enable_pii_log
|
<xref:boolean>
När det är aktiverat kan loggarna innehålla PII (personlig identifierbar information). Detta kan vara användbart vid felsökning av koordinatorbeteenden. Standardbeteendet är False. Nytt i version 1.24.0. Standardvärde: None
|
|
oidc_authority
|
Har lagts till i version 1.28.0: Det är en URL som identifierar en OpenID Connect-utfärdare (OIDC) i formatet Obs! Broker används INTE för OIDC-utfärdare. Standardvärde: None
|
Metoder
| acquire_token_for_client |
Hämtar token för den aktuella konfidentiella klienten, inte för en slutanvändare. Eftersom MSAL Python 1.23 söker den automatiskt efter token från cacheminnet och skickar endast begäran till identitetsprovidern när cachen missar. |
| acquire_token_on_behalf_of |
Hämtar token med hjälp av OBO-flödet (on-behalf-of). Den aktuella appen är en mellannivåtjänst som anropades med en token som representerar en slutanvändare. Den aktuella appen kan använda en sådan token (a.k.a. en användarkontroll) för att begära en annan token för att få åtkomst till underordnat webb-API för användarens räkning. Se informationsdokument här . Den aktuella mellannivåappen har ingen användarinteraktion för att få medgivande. Se hur du får medgivande direkt för din mellannivåapp från den här artikeln. https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-on-behalf-of-flow#gaining-consent-for-the-middle-tier-application |
| remove_tokens_for_client |
Ta bort alla token som tidigare har hämtats via acquire_token_for_client för den aktuella klienten. |
acquire_token_for_client
Hämtar token för den aktuella konfidentiella klienten, inte för en slutanvändare.
Eftersom MSAL Python 1.23 söker den automatiskt efter token från cacheminnet och skickar endast begäran till identitetsprovidern när cachen missar.
acquire_token_for_client(scopes, claims_challenge=None, fmi_path=None, **kwargs)
Parametrar
| Name | Description |
|---|---|
|
scopes
Obligatorisk
|
(Krävs) Omfång som begärs för åtkomst till ett skyddat API (en resurs). |
|
claims_challenge
|
Den claims_challenge parametern begär specifika anspråk som begärs av resursprovidern i form av ett claims_challenge-direktiv i rubriken www-authenticate som ska returneras från UserInfo-slutpunkten och/eller i ID-token och/eller åtkomsttoken. Det är en sträng av ett JSON-objekt som innehåller listor över anspråk som begärs från dessa platser. Standardvärde: None
|
|
fmi_path
|
Optional. Autentiseringssökvägen för federerad hanterad identitet (FMI).
När den tillhandahålls skickas den
Standardvärde: None
|
Returer
| Typ | Description |
|---|---|
|
En diktering som representerar json-svaret från Microsoft Entra:
|
acquire_token_on_behalf_of
Hämtar token med hjälp av OBO-flödet (on-behalf-of).
Den aktuella appen är en mellannivåtjänst som anropades med en token som representerar en slutanvändare. Den aktuella appen kan använda en sådan token (a.k.a. en användarkontroll) för att begära en annan token för att få åtkomst till underordnat webb-API för användarens räkning. Se informationsdokument här .
Den aktuella mellannivåappen har ingen användarinteraktion för att få medgivande. Se hur du får medgivande direkt för din mellannivåapp från den här artikeln. https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-on-behalf-of-flow#gaining-consent-for-the-middle-tier-application
acquire_token_on_behalf_of(user_assertion, scopes, claims_challenge=None, **kwargs)
Parametrar
| Name | Description |
|---|---|
|
user_assertion
Obligatorisk
|
Den inkommande token som redan tagits emot av den här appen |
|
scopes
Obligatorisk
|
Omfång som krävs av underordnat API (en resurs). |
|
claims_challenge
|
Den claims_challenge parametern begär specifika anspråk som begärs av resursprovidern i form av ett claims_challenge-direktiv i rubriken www-authenticate som ska returneras från UserInfo-slutpunkten och/eller i ID-token och/eller åtkomsttoken. Det är en sträng av ett JSON-objekt som innehåller listor över anspråk som begärs från dessa platser. Standardvärde: None
|
Returer
| Typ | Description |
|---|---|
|
En diktering som representerar json-svaret från Microsoft Entra:
|
remove_tokens_for_client
Ta bort alla token som tidigare har hämtats via acquire_token_for_client för den aktuella klienten.
remove_tokens_for_client()