Udostępnij za pośrednictwem

Uwierzytelnianie Microsoft Entra

  • Artykuł

Żądania HTTP można uwierzytelniać przy użyciu schematu Bearer uwierzytelniania z tokenem uzyskanym z identyfikatora Entra firmy Microsoft. Te żądania należy przesyłać za pośrednictwem protokołu Transport Layer Security (TLS).

Wymagania wstępne

Musisz przypisać podmiot zabezpieczeń używany do żądania tokenu firmy Microsoft Entra do jednej z odpowiednich ról aplikacja systemu Azure Konfiguracji.

Podaj każde żądanie ze wszystkimi nagłówkami HTTP wymaganymi do uwierzytelniania. Oto minimalne wymaganie:

Nagłówek żądania opis
Authorization Informacje o uwierzytelnianiu wymagane przez Bearer schemat.

Przykład:

Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}

Pozyskiwanie tokenów firmy Microsoft Entra

Przed uzyskaniem tokenu Firmy Microsoft Entra należy zidentyfikować użytkownika, którego chcesz uwierzytelnić jako, odbiorców, dla których żądasz tokenu, oraz elementy punktu końcowego (urzędu) firmy Microsoft do użycia.

Odbiorcy

Zażądaj tokenu Firmy Microsoft Entra z odpowiednimi odbiorcami. W przypadku aplikacja systemu Azure Configuration użyj następujących odbiorców. Odbiorcy mogą być również określani jako zasób , dla którego żądany jest token.

https://azconfig.io

Urząd Firmy Microsoft Entra

Urząd Firmy Microsoft Entra jest punktem końcowym używanym do uzyskiwania tokenu entra firmy Microsoft. Ma postać https://login.microsoftonline.com/{tenantId}. Segment {tenantId} odnosi się do identyfikatora dzierżawy usługi Microsoft Entra, do którego należy użytkownik lub aplikacja, która próbuje się uwierzytelnić.

Biblioteki uwierzytelniania

Biblioteka Microsoft Authentication Library (MSAL) ułatwia proces uzyskiwania tokenu firmy Microsoft Entra. Platforma Azure tworzy te biblioteki dla wielu języków. Więcej informacji zawiera strona dokumentacji.

błędy

Mogą wystąpić następujące błędy.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer

Przyczyna: Nie podano nagłówka żądania autoryzacji ze schematem Bearer .

Rozwiązanie: podaj prawidłowy Authorization nagłówek żądania HTTP.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"

Przyczyna: Token Entra firmy Microsoft jest nieprawidłowy.

Rozwiązanie: uzyskaj token firmy Microsoft Entra z urzędu Firmy Microsoft Entra i upewnij się, że używasz odpowiednich odbiorców.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."

Przyczyna: Token Entra firmy Microsoft jest nieprawidłowy.

Rozwiązanie: uzyskaj token firmy Microsoft Entra z urzędu Firmy Microsoft Entra. Upewnij się, że dzierżawa firmy Microsoft Entra jest skojarzona z subskrypcją, do której należy magazyn konfiguracji. Ten błąd może pojawić się, jeśli podmiot zabezpieczeń należy do więcej niż jednej dzierżawy firmy Microsoft Entra.