Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können HTTP-Anforderungen mithilfe des Authentifizierungsschemas mit einem Token authentifizieren, das Bearer von der Microsoft Entra-ID erworben wurde. Sie müssen diese Anforderungen über Transport Layer Security (TLS) übertragen.
Voraussetzungen
Sie müssen den Prinzipal zuweisen, der zum Anfordern eines Microsoft Entra-Tokens zu einer der entsprechenden Azure App-Konfigurationsrollen verwendet wird.
Stellen Sie jede Anforderung mit allen HTTP-Headern bereit, die für die Authentifizierung erforderlich sind. Dies ist die Mindestanforderung:
| Anforderungsheader | Description |
|---|---|
Authorization |
Vom Schema erforderliche Authentifizierungsinformationen Bearer . |
Example:
Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}
Microsoft Entra-Tokenerwerb
Bevor Sie ein Microsoft Entra-Token erwerben, müssen Sie ermitteln, für welchen Benutzer Sie sich authentifizieren möchten, für welche Zielgruppe Sie das Token anfordern, und welche Microsoft Entra-Endpunkte (Autorität) verwendet werden sollen.
Publikum
Fordern Sie das Microsoft Entra-Token mit einer richtigen Zielgruppe an. Die Zielgruppe kann auch als Ressource bezeichnet werden, für die das Token angefordert wird.
Verwenden Sie für die Azure-App-Konfiguration in der globalen Azure-Cloud die folgende Zielgruppe:
https://appconfig.azure.com
Verwenden Sie für die Azure-App-Konfiguration in den nationalen Clouds die entsprechende Zielgruppe, die in der folgenden Tabelle angegeben ist:
| Nationale Cloud | Publikum |
|---|---|
| Azure Government | https://appconfig.azure.us |
| Microsoft Azure, betrieben von 21Vianet | https://appconfig.azure.cn |
| Bleu | https://appconfig.sovcloud-api.fr |
Microsoft Entra Authority
Die Microsoft Entra-Autorität ist der Endpunkt, den Sie zum Abrufen eines Microsoft Entra-Tokens verwenden. Für die globale Azure-Cloud befindet es sich in Form von https://login.microsoftonline.com/{tenantId}. Das {tenantId} Segment bezieht sich auf die Microsoft Entra-Mandanten-ID, zu der der Benutzer oder die Anwendung gehört, zu der die Authentifizierung gehört.
Azure-nationale Clouds weisen unterschiedliche Microsoft Entra-Authentifizierungsendpunkte auf. Siehe Microsoft Entra-Authentifizierungsendpunkte , für die Endpunkte in den nationalen Clouds verwendet werden sollen.
Authentifizierungsbibliotheken
Die Microsoft Authentication Library (MSAL) trägt dazu bei, den Erwerb eines Microsoft Entra-Tokens zu vereinfachen. Azure erstellt diese Bibliotheken für mehrere Sprachen. Weitere Informationen finden Sie in der Dokumentation.
Errors
Möglicherweise treten die folgenden Fehler auf.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer
Grund: Sie haben den Autorisierungsanforderungsheader nicht mit dem Bearer Schema angegeben.
Lösung: Geben Sie einen gültigen Authorization HTTP-Anforderungsheader an.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"
Grund: Das Microsoft Entra-Token ist ungültig.
Lösung: Erwerben Sie ein Microsoft Entra-Token von der Microsoft Entra-Autorität, und stellen Sie sicher, dass Sie die richtige Zielgruppe verwendet haben.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."
Grund: Das Microsoft Entra-Token ist ungültig.
Lösung: Erwerben Sie ein Microsoft Entra-Token von der Microsoft Entra-Autorität. Stellen Sie sicher, dass der Microsoft Entra-Mandant dem Abonnement zugeordnet ist, zu dem der Konfigurationsspeicher gehört. Dieser Fehler kann auftreten, wenn der Prinzipal zu mehreren Microsoft Entra-Mandanten gehört.