Partager via

Authentification Microsoft Entra

  • Article

Vous pouvez authentifier les requêtes HTTP en utilisant le schéma d’authentification Bearer avec un jeton obtenu auprès de Microsoft Entra ID. Vous devez transmettre ces demandes via le protocole TLS (Transport Layer Security).

Prérequis

Vous devez affecter au principal utilisé pour demander un jeton Microsoft Entra l’un des rôles Azure App Configuration applicables.

Fournissez à chaque demande tous les en-têtes HTTP requis pour l’authentification. Voici les prérequis :

En-tête de requête Description
Authorization Informations d’authentification requises par le schéma Bearer.

Exemple :

Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}

Acquisition de jeton Microsoft Entra

Pour pouvoir acquérir un jeton Microsoft Entra, vous devez identifier l’utilisateur pour l’authentification, l’audience pour laquelle vous demandez le jeton et le point de terminaison Microsoft Entra (autorité) à utiliser.

Public visé

Demandez le jeton Microsoft Entra avec une audience appropriée. Pour Azure App Configuration, utilisez l’audience suivante. L’audience peut également être considérée comme la ressource pour laquelle est demandé le jeton.

https://azconfig.io

Autorité Microsoft Entra

L’autorité Microsoft Entra est le point de terminaison que vous utilisez pour acquérir un jeton Microsoft Entra. Il est au format suivant https://login.microsoftonline.com/{tenantId}. Le segment {tenantId} fait référence à l’ID de tenant Microsoft Entra auquel appartient l’utilisateur ou l’application qui tente de s’authentifier.

Bibliothèques d’authentification

Microsoft Authentication Library (MSAL) permet de simplifier le processus d’acquisition d’un jeton Microsoft Entra. Azure les crée pour plusieurs langages. Pour plus d’informations, consultez la documentation.

Erreurs

Vous risquez de rencontrer les erreurs suivantes.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer

Raison : vous n’avez pas fourni l’en-tête de demande d’autorisation avec le schéma Bearer.

Solution : fournissez un en-tête de requête HTTP Authorization valide.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"

Raison :Le jeton Microsoft Entra n’est pas valide.

Solution : Obtenez un jeton Microsoft Entra auprès de l’autorité Microsoft Entra et veillez à utiliser l’audience appropriée.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."

Raison :Le jeton Microsoft Entra n’est pas valide.

Solution : Obtenez un jeton Microsoft Entra auprès de l’autorité Microsoft Entra. Vérifiez que le tenant Microsoft Entra est celui associé à l’abonnement auquel appartient le magasin de configuration. Cette erreur peut se produire si le principal appartient à plusieurs tenants Microsoft Entra.