Microsoft Entra-verificatie
U kunt HTTP-aanvragen verifiëren met behulp van het Bearer verificatieschema met een token dat is verkregen van Microsoft Entra-id. U moet deze aanvragen verzenden via Tls (Transport Layer Security).
Vereisten
U moet de principal toewijzen die wordt gebruikt om een Microsoft Entra-token aan te vragen aan een van de toepasselijke Azure-app-configuratierollen.
Geef elke aanvraag op met alle HTTP-headers die vereist zijn voor verificatie. Dit is de minimale vereiste:
| Aanvraagheader | Omschrijving |
|---|---|
Authorization |
Verificatiegegevens die vereist zijn voor het Bearer schema. |
Voorbeeld:
Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}
Overname van Microsoft Entra-token
Voordat u een Microsoft Entra-token aanschaft, moet u bepalen welke gebruiker u wilt verifiëren als, welke doelgroep u het token aanvraagt en voor welk Microsoft Entra-eindpunt (instantie) u wilt gebruiken.
Doelgroep
Vraag het Microsoft Entra-token aan met een juiste doelgroep. Gebruik de volgende doelgroep voor Azure-app Configuratie. De doelgroep kan ook worden aangeduid als de resource waarvoor het token wordt aangevraagd.
https://azconfig.io
Microsoft Entra-instantie
De Microsoft Entra-instantie is het eindpunt dat u gebruikt voor het verkrijgen van een Microsoft Entra-token. Het is in de vorm van https://login.microsoftonline.com/{tenantId}. Het {tenantId} segment verwijst naar de Tenant-id van Microsoft Entra waartoe de gebruiker of toepassing die zich wil verifiëren.
Verificatiebibliotheken
Microsoft Authentication Library (MSAL) helpt het proces van het verkrijgen van een Microsoft Entra-token te vereenvoudigen. Azure bouwt deze bibliotheken voor meerdere talen. Raadpleeg de documentatie voor meer informatie.
Fouten
U kunt de volgende fouten tegenkomen.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer
Reden: U hebt de header van de autorisatieaanvraag niet bij het Bearer schema opgegeven.
Oplossing: Geef een geldige Authorization HTTP-aanvraagheader op.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"
Reden: Het Microsoft Entra-token is niet geldig.
Oplossing: Verwerf een Microsoft Entra-token van de Microsoft Entra-instantie en zorg ervoor dat u de juiste doelgroep hebt gebruikt.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."
Reden: Het Microsoft Entra-token is niet geldig.
Oplossing: Een Microsoft Entra-token verkrijgen van de Microsoft Entra-instantie. Zorg ervoor dat de Microsoft Entra-tenant de tenant is die is gekoppeld aan het abonnement waartoe het configuratiearchief behoort. Deze fout kan worden weergegeven als de principal deel uitmaakt van meer dan één Microsoft Entra-tenant.