Проверка подлинности Microsoft Entra

Вы можете пройти проверку подлинности HTTP-запросов с помощью Bearer схемы проверки подлинности с маркером, полученным из идентификатора Microsoft Entra. Эти запросы необходимо передавать по протоколу TLS.

Необходимые компоненты

Необходимо назначить субъекту, который используется для запроса маркера Microsoft Entra одной из применимых Конфигурация приложений Azure ролей.

Предоставьте в каждом запросе все заголовки HTTP, необходимые для проверки подлинности. Ниже приведены минимальные требования.

Заголовок запроса	Description
Authorization	Сведения о проверке подлинности, необходимые схеме Bearer.

Пример:

Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}

Получение токена Microsoft Entra

Перед получением маркера Microsoft Entra необходимо определить, какой пользователь требуется пройти проверку подлинности, какую аудиторию вы запрашиваете маркер и какую конечную точку Microsoft Entra (центр) следует использовать.

Аудитория

Запросите маркер Microsoft Entra с соответствующей аудиторией. Для Конфигурации приложений Azure используйте следующую аудиторию. Аудитория также может называться ресурсом, для которого запрашивается маркер:

https://azconfig.io

Центр Microsoft Entra

Центр Microsoft Entra — это конечная точка, используемая для получения токена Microsoft Entra. Она имеет формат https://login.microsoftonline.com/{tenantId}. Сегмент {tenantId} ссылается на идентификатор клиента Microsoft Entra, к которому относится пользователь или приложение, пытающееся пройти проверку подлинности.

Библиотеки аутентификации

Библиотека проверки подлинности Майкрософт (MSAL) помогает упростить процесс получения маркера Microsoft Entra. Azure создает эти библиотеки для нескольких языков. Дополнительные сведения см. в документации.

ошибки

Могут возникнуть указанные ниже ошибки.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer

Причина: вы не указали заголовок запроса авторизации с помощью схемы Bearer.

Решение: укажите допустимый заголовок HTTP-запроса Authorization.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"

Причина. Недопустимый маркер Microsoft Entra.

Решение. Получите токен Microsoft Entra из центра Microsoft Entra и убедитесь, что вы использовали соответствующую аудиторию.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."

Причина. Недопустимый маркер Microsoft Entra.

Решение. Получение маркера Microsoft Entra из центра Microsoft Entra. Убедитесь, что клиент Microsoft Entra связан с подпиской, к которой принадлежит хранилище конфигураций. Эта ошибка может появиться, если субъект принадлежит нескольким клиентам Microsoft Entra.