Sdílet prostřednictvím

Ověřování Microsoft Entra

  • Článek

Požadavky HTTP můžete ověřovat pomocí schématu Bearer ověřování s tokenem získaným z ID Microsoft Entra. Tyto požadavky musíte přenášet přes protokol TLS (Transport Layer Security).

Předpoklady

Musíte přiřadit objekt zabezpečení, který se používá k vyžádání tokenu Microsoft Entra, k některé z použitelných Aplikace Azure konfiguračních rolí.

Zadejte každý požadavek se všemi hlavičkami HTTP vyžadovanými pro ověřování. Tady je minimální požadavek:

Hlavička požadavku Popis
Authorization Ověřovací informace vyžadované schématem Bearer

Příklad:

Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}

Získání tokenu Microsoft Entra

Před získáním tokenu Microsoft Entra musíte zjistit, jakého uživatele chcete ověřit, jaké cílové skupině požadujete token a o jaký koncový bod (autoritu) Microsoft Entra se má použít.

Cílová skupina

Požádejte o token Microsoft Entra se správnou cílovou skupinou. Pro Aplikace Azure Konfigurace použijte následující cílovou skupinu. Cílová skupina se také může označovat jako prostředek , pro který se požaduje token.

https://azconfig.io

Autorita Microsoft Entra

Autorita Microsoft Entra je koncový bod, který používáte k získání tokenu Microsoft Entra. Je to ve formě https://login.microsoftonline.com/{tenantId}. Segment {tenantId} odkazuje na ID tenanta Microsoft Entra, do kterého patří uživatel nebo aplikace, která se pokouší ověřit.

Knihovny ověřování

Knihovna MSAL (Microsoft Authentication Library) pomáhá zjednodušit proces získání tokenu Microsoft Entra. Azure tyto knihovny sestaví pro více jazyků. Další informace najdete v dokumentaci.

Chyby

Může docházet k následujícím chybám.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer

Důvod: Nezadali jste hlavičku žádosti o autorizaci se schématem Bearer .

Řešení: Zadejte platnou Authorization hlavičku požadavku HTTP.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"

Důvod: Token Microsoft Entra není platný.

Řešení: Získejte token Microsoft Entra z autority Microsoft Entra a ujistěte se, že jste použili správnou cílovou skupinu.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."

Důvod: Token Microsoft Entra není platný.

Řešení: Získání tokenu Microsoft Entra od autority Microsoft Entra Ujistěte se, že tenant Microsoft Entra je tenant přidružený k předplatnému, do kterého patří úložiště konfigurace. Tato chyba se může zobrazit, pokud objekt zabezpečení patří do více než jednoho tenanta Microsoft Entra.