Microsoft Entra-Authentifizierung
Sie können HTTP-Anforderungen mithilfe des Bearer-Authentifizierungsschemas authentifizieren, wobei ein Token aus Microsoft Entra ID abgerufen wird. Diese Anforderungen müssen Sie über TLS (Transport Layer Security) übertragen.
Voraussetzungen
Sie müssen den Prinzipal, der zum Anfordern eines Microsoft Entra-Tokens verwendet wird, einer der anwendbaren Azure App Configuration-Rollen zuweisen.
Geben Sie jede Anforderung mit allen für die Authentifizierung erforderlichen HTTP-Headern an. Es gilt folgende Mindestanforderung:
| Anforderungsheader | BESCHREIBUNG |
|---|---|
Authorization |
Authentifizierungsinformationen, die für das Bearer-Schema erforderlich sind. |
Beispiel:
Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}
Microsoft Entra-Tokenabruf
Vor dem Abrufen eines Microsoft Entra-Tokens muss festgelegt werden, welche*r Benutzer*in sich authentifizieren soll, für welche Zielgruppe das Token angefordert wird und welcher Microsoft Entra-Endpunkt (Autorität) verwendet wird.
Zielgruppe
Fordern Sie das Microsoft Entra-Token mit einer passenden Zielgruppe an. Verwenden Sie für Azure App Configuration die folgende Zielgruppe. Die Zielgruppe kann auch als die Ressource bezeichnet werden, für die das Token angefordert wird.
https://azconfig.io
Microsoft Entra-Autorität
Die Microsoft Entra-Autorität ist der Endpunkt, den Sie zum Abrufen eines Microsoft Entra-Tokens verwenden. Sie weist das Format https://login.microsoftonline.com/{tenantId} auf. Das Segment {tenantId} verweist auf die Microsoft Entra-Mandanten-ID, zu der der Benutzer/die Benutzerin oder die Anwendung gehört, der bzw. die die Authentifizierung durchführt.
Authentifizierungsbibliotheken
Die Microsoft-Authentifizierungsbibliothek (Microsoft Authentication Library, MSAL) vereinfacht den Prozess zum Abrufen eines Microsoft Entra-Tokens. Diese Bibliotheken sind in Azure für mehrere Sprachen konzipiert. Weitere Informationen finden Sie in der Dokumentation.
Errors
Die folgenden Fehler können möglicherweise auftreten.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer
Grund: Sie haben den „Authorization“-Anforderungsheader beim Bearer-Schema nicht angegeben.
Lösung: Geben Sie einen gültigen Authorization-HTTP-Anforderungsheader an.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"
Grund: Das Microsoft Entra-Token ist ungültig.
Lösung: Rufen Sie ein Microsoft Entra-Token von der Microsoft Entra-Autorität ab, und stellen Sie sicher, dass Sie die richtige Zielgruppe verwendet haben.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."
Grund: Das Microsoft Entra-Token ist ungültig.
Lösung: Rufen Sie ein Microsoft Entra-Token von der Microsoft Entra-Autorität ab. Stellen Sie sicher, dass der Microsoft Entra-Mandant dem Abonnement zugeordnet ist, zu dem der Konfigurationsspeicher gehört. Dieser Fehler kann auftreten, wenn der Prinzipal zu mehreren Microsoft Entra-Mandanten gehört.