Microsoft Entra 인증

Microsoft Entra ID에서 획득한 토큰으로 인증 체계를 사용하여 Bearer HTTP 요청을 인증할 수 있습니다. TLS(전송 계층 보안)를 통해 이러한 요청을 전송해야 합니다.

필수 조건

Microsoft Entra 토큰을 요청하는 데 사용되는 보안 주체를 해당 Azure 앱 구성 역할 중 하나에 할당해야 합니다.

인증에 필요한 모든 HTTP 헤더를 각 요청에 제공합니다. 최소 요구 사항은 다음과 같습니다.

요청 헤더	설명
Authorization	Bearer 체계에 필요한 인증 정보.

예제:

Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}

Microsoft Entra 토큰 획득

Microsoft Entra 토큰을 획득하기 전에 인증할 사용자, 토큰을 요청하는 대상 그룹 및 사용할 Microsoft Entra 엔드포인트(기관)를 식별해야 합니다.

대상

적절한 대상 그룹을 사용하여 Microsoft Entra 토큰을 요청합니다. Azure App Configuration의 경우, 다음 대상 그룹을 사용합니다. 대상 그룹을 토큰이 요청되는 리소스라고도 할 수 있습니다.

https://azconfig.io

Microsoft Entra authority

Microsoft Entra 기관은 Microsoft Entra 토큰을 획득하는 데 사용하는 엔드포인트입니다. 의 형식 https://login.microsoftonline.com/{tenantId}입니다. 세그먼트는 {tenantId} 인증하려는 사용자 또는 애플리케이션이 속한 Microsoft Entra 테넌트 ID를 나타냅니다.

인증 라이브러리

MSAL(Microsoft 인증 라이브러리)을 사용하면 Microsoft Entra 토큰을 획득하는 프로세스를 간소화할 수 있습니다. Azure는 여러 언어에 대해 이러한 라이브러리를 빌드합니다. 자세한 내용은 설명서를 참조하세요.

Errors

다음과 같은 오류가 발생할 수 있습니다.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer

이유: 권한 부여 요청 헤더에 스키마를 Bearer 제공하지 않았습니다.

해결 방법: 유효한 Authorization HTTP 요청 헤더를 제공합니다.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"

이유: Microsoft Entra 토큰이 잘못되었습니다.

해결 방법: Microsoft Entra 기관에서 Microsoft Entra 토큰을 획득하고 적절한 대상 그룹을 사용했는지 확인합니다.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."

이유: Microsoft Entra 토큰이 잘못되었습니다.

해결 방법: Microsoft Entra 기관에서 Microsoft Entra 토큰을 획득합니다. Microsoft Entra 테넌트가 구성 저장소가 속한 구독과 연결된 테넌트인지 확인합니다. 보안 주체가 둘 이상의 Microsoft Entra 테넌트에 속하는 경우 이 오류가 나타날 수 있습니다.