Freigeben über


Mandantenübergreifende Authentifizierung von Anforderungen

Beim Erstellen einer mandantenfähigen Anwendung müssen Sie möglicherweise Authentifizierungsanforderungen für Ressourcen, die sich in verschiedenen Mandanten befinden, bearbeiten. Ein häufiges Szenario ist, wenn ein virtueller Computer in einem Mandanten einem virtuellen Netzwerk in einem anderen Mandanten hinzugefügt werden muss. Der Azure Resource Manager stellt einen Headerwert für die Speicherung von zusätzlichen Token zur Verfügung, um die Anforderungen an verschiedene Mandanten zu authentifizieren.

Headerwerte für die Authentifizierung

Die Anforderung hat die folgenden Headerwerte für die Authentifizierung:

Headername BESCHREIBUNG Beispielwert
Authorization Primäres Token Bearer <primary-token>
x-ms-authorization-auxiliary Zusätzliche Token Bearer <auxiliary-token1>, EncryptedBearer <auxiliary-token2>, Bearer <auxiliary-token3>

Der zusätzliche Header kann bis zu drei zusätzliche Token enthalten.

Rufen Sie im Code Ihrer mehrmandantenfähigen App den Authentifizierungstoken für andere Mandanten ab und speichern Sie ihn in den Hilfsheadern. Der Benutzer oder die Anwendung muss als Gast zu den anderen Mandanten eingeladen worden sein.

Verarbeiten der Anforderung

Wenn Ihre App eine Anforderung an den Resource Manager sendet, wird diese unter der Identität des primären Tokens ausgeführt. Das primäre Token muss gültig und nicht abgelaufen sein. Dieses Token muss von einem Mandanten stammen, der das Abonnement verwalten kann.

Wenn die Anforderung auf eine Ressource von einem anderen Mandanten verweist, überprüft der Resource Manager die zusätzlichen Token, um festzustellen, ob die Anforderung bearbeitet werden kann. Alle zusätzliche Token im Header müssen gültig und nicht abgelaufen sein. Wenn Token abgelaufen sind, gibt Resource Manager Antwortcode 401 zurück. Die Antwort enthält die Client-ID und die Mandanten-ID des ungültigen Token. Wenn der Hilfsheader ein gültiges Token für den Mandanten enthält, wird die mandantenübergreifende Anforderung bearbeitet.

Nächste Schritte