Поделиться через

Запросы на аутентификацию в разных клиентах

  • Статья

При создании мультитенантного приложения может потребоваться обрабатывать запросы проверки подлинности для ресурсов в разных клиентах. Распространенным является сценарий, когда виртуальная машина на одном клиенте должна присоединиться к виртуальной сети на другом клиенте. Azure Resource Manager предоставляет значение заголовка для хранения вспомогательных токенов, которые будут использоваться для аутентификации запросов в различных клиентах.

Значения заголовков для аутентификации

Запрос содержит следующие значения заголовков аутентификации.

Имя заголовка Description Пример значения
Авторизация Основной токен Bearer <основной_токен>
x-ms-authorization-auxiliary Вспомогательные токены Bearer <вспомогательный_токен1>; EncryptedBearer <вспомогательный_токен2>; Bearer <вспомогательный_токен3>

Дополнительный заголовок может содержать до трех вспомогательных токенов.

В коде мультитенантного приложения получите маркер проверки подлинности для других клиентов и сохраните их в вспомогательных заголовках. Пользователь или приложение должны быть приглашены в качестве гостя для других клиентов.

Обработка запроса

Когда приложение отправляет запрос в Resource Manager, запрос выполняется под удостоверением из первичного маркера. Основной токен должен быть допустимым и действующим. Он должен поступать от клиента, который может управлять подпиской.

Когда запрос ссылается на ресурс из другого клиента, Resource Manager проверяет вспомогательные маркеры, чтобы определить, может ли он обрабатывать запрос. Все вспомогательные токены в заголовке должны быть допустимыми и действующими. Если срок действия токена истек, Resource Manager возвращает код отклика 401. Ответ включает идентификатор клиента и идентификатор арендатора токена, который недопустим. Если вспомогательный заголовок содержит допустимый маркер для клиента, обрабатывается межтенантный запрос.

Следующие шаги