Dela via

Microsoft Entra-autentisering

  • Artikel

Du kan autentisera Bearer HTTP-begäranden med hjälp av autentiseringsschemat med en token som hämtats från Microsoft Entra-ID. Du måste skicka dessa begäranden via TLS (Transport Layer Security).

Förutsättningar

Du måste tilldela det huvudnamn som används för att begära en Microsoft Entra-token till en av de tillämpliga Azure App Configuration-rollerna.

Ange alla begäranden med alla HTTP-huvuden som krävs för autentisering. Här är minimikravet:

Begärandehuvud Description
Authorization Autentiseringsinformation som krävs av schemat Bearer .

Exempel:

Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}

Förvärv av Microsoft Entra-token

Innan du hämtar en Microsoft Entra-token måste du identifiera vilken användare du vill autentisera som, vilken målgrupp du begär token för och vilken Microsoft Entra-slutpunkt (utfärdare) som ska användas.

Målgrupp

Begär Microsoft Entra-token med rätt målgrupp. För Azure App Configuration använder du följande målgrupp. Målgruppen kan också kallas den resurs som token begärs för.

https://azconfig.io

Microsoft Entra-utfärdare

Microsoft Entra-utfärdaren är den slutpunkt som du använder för att hämta en Microsoft Entra-token. Det är i form av https://login.microsoftonline.com/{tenantId}. Segmentet {tenantId} refererar till det Microsoft Entra-klient-ID som användaren eller programmet som försöker autentisera tillhör.

Autentiseringsbibliotek

Microsoft Authentication Library (MSAL) hjälper till att förenkla processen med att hämta en Microsoft Entra-token. Azure bygger dessa bibliotek för flera språk. Mer information finns i dokumentationen.

Fel

Du kan stöta på följande fel.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer

Orsak: Du har inte angett rubriken för auktoriseringsbegäran med schemat Bearer .

Lösning: Ange ett giltigt Authorization HTTP-begärandehuvud.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"

Orsak: Microsoft Entra-token är inte giltig.

Lösning: Hämta en Microsoft Entra-token från Microsoft Entra-utfärdaren och se till att du har använt rätt målgrupp.

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."

Orsak: Microsoft Entra-token är inte giltig.

Lösning: Hämta en Microsoft Entra-token från Microsoft Entra-utfärdaren. Kontrollera att Microsoft Entra-klientorganisationen är den som är associerad med den prenumeration som konfigurationsarkivet tillhör. Det här felet kan visas om huvudnamnet tillhör mer än en Microsoft Entra-klientorganisation.