Partager via

Requêtes d’authentification entre locataires

  • Article

Lors de la création d’une application multilocataire, vous devrez peut-être gérer les requêtes d’authentification pour des ressources dans différents locataires. Une machine virtuelle dans un locataire, qui doit se joindre à un réseau virtuel d’un autre locataire, constitue un scénario courant. Azure Resource Manager fournit une valeur d’en-tête pour stocker des jetons auxiliaires, afin d’authentifier les requêtes sur différents locataires.

Valeurs d’en-tête pour l’authentification

La requête est dotée des valeurs d’en-tête d’authentification suivantes :

Nom de l’en-tête Description Valeur d'exemple
Autorisation Jeton principal JetonPorteur <primary-token>
x-ms-authorization-auxiliary Jetons auxiliaires JetonPorteur <auxiliary-token1>, JetonPorteurChiffré <auxiliary-token2>, JetonPorteur <auxiliary-token3>

L’en-tête auxiliaire peut contenir jusqu’à trois jetons auxiliaires.

Dans le code de votre application multilocataire, obtenez le jeton d’authentification des autres locataires et stockez-les dans les en-têtes auxiliaires. L’individu ou l’application doit être convié en tant qu’invité auprès des autres locataires.

Traitement de la requête

Lorsque votre application envoie une requête à Resource Manager, la requête s’exécute sous l’identité du jeton principal. Le jeton principal doit être valide et non expiré. Ce jeton doit provenir d’un client qui peut gérer l’abonnement.

Lorsque la requête référence une ressource provenant d’un autre locataire, Resource Manager vérifie les jetons auxiliaires pour déterminer s’il peut traiter la requête. Tous les jetons auxiliaires dans l’en-tête doivent être valides et non expirés. Si un jeton a expiré, Resource Manager retourne un code de réponse 401. La réponse comprend l’ID client et l’ID de locataire prélevés dans le jeton qui n’est pas valide. Si l’en-tête auxiliaire contient un jeton valide pour le locataire, la requête interlocataire est traitée.

Étapes suivantes