Autenticação do Microsoft Entra
Você pode autenticar solicitações HTTP usando o Bearer esquema de autenticação com um token adquirido do Microsoft Entra ID. Você deve transmitir essas solicitações por TLS (Transport Layer Security).
Pré-requisitos
Você deve atribuir a entidade usada para solicitar um token do Microsoft Entra a uma das funções de Configuração do Aplicativo do Azure aplicáveis.
Forneça a cada solicitação todos os cabeçalhos HTTP necessários para autenticação. Aqui está o requisito mínimo:
| Cabeçalho do pedido | Descrição |
|---|---|
Authorization |
Informações de autenticação exigidas Bearer pelo esquema. |
Exemplo:
Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}
Aquisição de token Microsoft Entra
Antes de adquirir um token do Microsoft Entra, você deve identificar qual usuário deseja autenticar, para qual público você está solicitando o token e qual ponto de extremidade (autoridade) do Microsoft Entra usar.
Audiência
Solicite o token Microsoft Entra com um público adequado. Para a Configuração de Aplicativo do Azure, use o seguinte público. O público também pode ser referido como o recurso para o qual o token está sendo solicitado.
https://azconfig.io
Autoridade Microsoft Entra
A autoridade Microsoft Entra é o ponto de extremidade que você usa para adquirir um token Microsoft Entra. É na forma de https://login.microsoftonline.com/{tenantId}. O {tenantId} segmento refere-se à ID de locatário do Microsoft Entra à qual pertence o usuário ou aplicativo que está tentando autenticar.
Bibliotecas de autenticação
A Biblioteca de Autenticação da Microsoft (MSAL) ajuda a simplificar o processo de aquisição de um token Microsoft Entra. O Azure cria essas bibliotecas para vários idiomas. Para obter mais informações, consulte a documentação.
Erros
Você pode encontrar os seguintes erros.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer
Motivo: você não forneceu o cabeçalho da solicitação de autorização com o Bearer esquema.
Solução: forneça um cabeçalho de solicitação HTTP válido Authorization .
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"
Motivo: o token do Microsoft Entra não é válido.
Solução: adquira um token do Microsoft Entra da autoridade do Microsoft Entra e verifique se você usou o público adequado.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."
Motivo: o token do Microsoft Entra não é válido.
Solução: Adquira um token Microsoft Entra da autoridade Microsoft Entra. Verifique se o locatário do Microsoft Entra é aquele associado à assinatura à qual o repositório de configuração pertence. Este erro pode aparecer se a entidade de segurança pertencer a mais de um locatário do Microsoft Entra.