autenticação do Microsoft Entra
Você pode autenticar solicitações HTTP usando o Bearer
esquema de autenticação com um token adquirido do Microsoft Entra ID. Você deve transmitir essas solicitações por TLS (Transport Layer Security).
Pré-requisitos
Você deve atribuir a entidade de segurança usada para solicitar um token do Microsoft Entra a uma das funções de Configuração de Aplicativos do Azure aplicáveis.
Forneça cada solicitação com todos os cabeçalhos HTTP necessários para autenticação. A seguir, o Requisito Mínimo:
Cabeçalho da solicitação | Descrição |
---|---|
Authorization |
Informações de autenticação exigidas pelo Bearer esquema. |
Exemplo:
Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}
Aquisição de token do Microsoft Entra
Antes de adquirir um token do Microsoft Entra, você deve identificar o usuário que deseja autenticar, o público-alvo para o qual você está solicitando o token e qual ponto de extremidade do Microsoft Entra (autoridade) usar.
Público
Solicite o token do Microsoft Entra com um público-alvo adequado. Para a Configuração de Aplicativos do Azure, use o público-alvo a seguir. O público-alvo também pode ser referido como o recurso para o qual o token está sendo solicitado.
https://azconfig.io
Autoridade do Microsoft Entra
A autoridade do Microsoft Entra é o ponto de extremidade que você usa para adquirir um token do Microsoft Entra. Ela tem o seguinte formato: https://login.microsoftonline.com/{tenantId}
. O segmento {tenantId}
refere-se à ID de locatário do Microsoft Entra à qual o usuário ou aplicativo que está tentando autenticar pertence.
Bibliotecas de autenticação
A MSAL (Biblioteca de Autenticação da Microsoft) ajuda a simplificar o processo de aquisição de um token do Microsoft Entra. O Azure cria essas bibliotecas para vários idiomas. Para obter mais informações, confira a documentação.
Errors
Você pode encontrar os seguintes erros.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer
Motivo: Você não forneceu o cabeçalho de solicitação de autorização com o esquema Bearer
.
Solução: Forneça um cabeçalho de solicitação Authorization
HTTP válido.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"
Motivo: o token do Microsoft Entra não é válido.
Solução: Adquira um token do Microsoft Entra da autoridade do Microsoft Entra e verifique se você usou o público-alvo adequado.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."
Motivo: o token do Microsoft Entra não é válido.
Solução: adquirir um token do Microsoft Entra da autoridade do Microsoft Entra. Verifique se o locatário do Microsoft Entra é aquele associado à assinatura à qual o repositório de configuração pertence. Esse erro pode aparecer se a entidade pertencer a mais de um locatário do Microsoft Entra.