Autenticazione Microsoft Entra
È possibile autenticare le richieste HTTP usando lo Bearer schema di autenticazione con un token acquisito dall'ID Microsoft Entra. È necessario trasmettere queste richieste tramite Transport Layer Security (TLS).
Prerequisiti
È necessario assegnare l'entità usata per richiedere un token Microsoft Entra a uno dei ruoli di configurazione app Azure applicabili.
Specificare ogni richiesta con tutte le intestazioni HTTP necessarie per l'autenticazione. Ecco il requisito minimo:
| Intestazione della richiesta | Descrizione |
|---|---|
Authorization |
Informazioni di autenticazione richieste dallo Bearer schema. |
Esempio
Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}
Acquisizione del token Microsoft Entra
Prima di acquisire un token Microsoft Entra, è necessario identificare l'utente che si vuole autenticare come, il gruppo di destinatari per cui si richiede il token e l'endpoint di Microsoft Entra (autorità) da usare.
Destinatario
Richiedere il token Microsoft Entra con un gruppo di destinatari appropriato. Per app Azure Configurazione usare il gruppo di destinatari seguente. Il gruppo di destinatari può anche essere definito risorsa per cui viene richiesto il token.
https://azconfig.io
Autorità Microsoft Entra
L'autorità Microsoft Entra è l'endpoint usato per acquisire un token Microsoft Entra. È sotto forma di https://login.microsoftonline.com/{tenantId}. Il {tenantId} segmento fa riferimento all'ID tenant di Microsoft Entra a cui appartiene l'utente o l'applicazione che sta tentando di autenticare.
Librerie di autenticazione
Microsoft Authentication Library (MSAL) consente di semplificare il processo di acquisizione di un token Microsoft Entra. Azure compila queste librerie per più linguaggi. Per altre informazioni, vedere la documentazione.
Errors
Potrebbero verificarsi gli errori seguenti.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer
Motivo: non è stata specificata l'intestazione della richiesta di autorizzazione con lo Bearer schema.
Soluzione: specificare un'intestazione di richiesta HTTP valida Authorization .
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"
Motivo: il token Microsoft Entra non è valido.
Soluzione: acquisire un token Microsoft Entra dall'autorità Microsoft Entra e assicurarsi di aver usato il pubblico appropriato.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."
Motivo: il token Microsoft Entra non è valido.
Soluzione: acquisire un token Microsoft Entra dall'autorità Microsoft Entra. Assicurarsi che il tenant di Microsoft Entra sia quello associato alla sottoscrizione a cui appartiene l'archivio di configurazione. Questo errore può essere visualizzato se l'entità appartiene a più tenant di Microsoft Entra.