Udostępnij za pośrednictwem

Uwierzytelnianie żądań między dzierżawami

  • Artykuł

Podczas tworzenia aplikacji wielodostępnej może być konieczne obsługiwanie żądań uwierzytelniania dla zasobów, które znajdują się w różnych dzierżawach. Typowym scenariuszem jest to, że maszyna wirtualna w jednej dzierżawie musi dołączyć do sieci wirtualnej w innej dzierżawie. Usługa Azure Resource Manager udostępnia wartość nagłówka do przechowywania tokenów pomocniczych w celu uwierzytelniania żądań w różnych dzierżawach.

Wartości nagłówka na potrzeby uwierzytelniania

Żądanie ma następujące wartości nagłówka uwierzytelniania:

Nazwa nagłówka opis Przykładowa wartość
Autoryzacja Token podstawowy <Podstawowy token elementu nośnego>
x-ms-authorization-auxiliary Tokeny pomocnicze <Pomocnik pomocniczy-token1>, EncryptedBearer auxiliary-token2>, Bearer <<pomocniczy-token3>

Nagłówek pomocniczy może zawierać maksymalnie trzy tokeny pomocnicze.

W kodzie aplikacji z wieloma dzierżawami pobierz token uwierzytelniania dla innych dzierżaw i zapisz je w nagłówkach pomocniczych. Użytkownik lub aplikacja musi zostać zaproszona jako gość do innych dzierżaw.

Przetwarzanie żądania

Gdy aplikacja wysyła żądanie do usługi Resource Manager, żądanie jest uruchamiane w ramach tożsamości z tokenu podstawowego. Token podstawowy musi być prawidłowy i niewygasły. Ten token musi pochodzić z dzierżawy, która może zarządzać subskrypcją.

Gdy żądanie odwołuje się do zasobu z innej dzierżawy, usługa Resource Manager sprawdza tokeny pomocnicze, aby określić, czy żądanie można przetworzyć. Wszystkie tokeny pomocnicze w nagłówku muszą być prawidłowe i niewyświetłe. Jeśli jakikolwiek token wygasł, usługa Resource Manager zwraca kod odpowiedzi 401. Odpowiedź zawiera identyfikator klienta i identyfikator dzierżawy z tokenu, który nie jest prawidłowy. Jeśli nagłówek pomocniczy zawiera prawidłowy token dla dzierżawy, przetwarzane jest żądanie między dzierżawami.

Następne kroki