Autenticación de Microsoft Entra
Para autenticar las solicitudes HTTP, puede usar el esquema de autenticación Bearer con un token adquirido de Microsoft Entra ID. Debe transmitir estas solicitudes a través de la seguridad de la capa de transporte (TLS).
Requisitos previos
Debe asignar la entidad de seguridad que se usa para solicitar un token de Microsoft Entra ID a uno de los roles de Azure App Configuration aplicables.
Proporcione a cada solicitud todos los encabezados HTTP necesarios para la autenticación. Estos son los requisitos mínimos:
| Encabezado de solicitud | Descripción |
|---|---|
Authorization |
Información de autenticación requerida por el esquema Bearer. |
Ejemplo:
Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}
Adquisición de tokens de Microsoft Entra
Antes de adquirir un token de Microsoft Entra, debe identificar como qué usuario quiere autenticarse, para qué audiencia solicita el token y qué punto de conexión de Microsoft Entra (autoridad) se debe usar.
Público
Solicite el token de Microsoft Entra con una audiencia adecuada. Para Azure App Configuration, use el público siguiente. También se puede hacer referencia al público como el recurso para el que se solicita el token.
https://azconfig.io
La autoridad de Microsoft Entra
La autoridad de Microsoft Entra es el punto de conexión que se usa para adquirir un token de Microsoft Entra. Tiene el formato https://login.microsoftonline.com/{tenantId}. El segmento {tenantId} hace referencia al identificador de inquilino de Microsoft Entra al que pertenece el usuario o la aplicación que está intentando autenticarse.
Bibliotecas de autenticación
La biblioteca de autenticación de Microsoft (MSAL) facilita la simplificación del proceso de adquisición de un token de Microsoft Entra. Azure compila estas bibliotecas para varios lenguajes. Para más información, consulte la documentación.
Errors
Puede que encuentre los siguientes errores.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer
Motivo: No proporcionó el encabezado de solicitud de autorización con el esquema Bearer.
Solución: Proporcione un encabezado de solicitud HTTP Authorization válido.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"
Motivo: el token de Microsoft Entra no es válido.
Solución: adquiera un token de Microsoft Entra a la autoridad de Microsoft Entra y asegúrese de que ha usado la audiencia adecuada.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."
Motivo: el token de Microsoft Entra no es válido.
Solución: adquiera un token de Microsoft Entra a la autoridad de Microsoft Entra. Asegúrese de que el inquilino de Microsoft Entra sea el asociado a la suscripción a la que pertenece el almacén de configuración. Este error puede aparecer si la entidad de seguridad pertenece a más de un inquilino de Microsoft Entra.