Autenticación de solicitudes entre inquilinos

  • Artículo

Al crear una aplicación multiinquilino, puede que deba administrar las solicitudes de autenticación para los recursos que se encuentran en distintos inquilinos. Un caso común es cuando una máquina virtual de un inquilino debe unirse a una red virtual de otro inquilino. Azure Resource Manager proporciona un valor de encabezado para almacenar los tokens auxiliares a fin de autenticar las solicitudes en diferentes inquilinos.

Valores de encabezado de autenticación

La solicitud tiene los siguientes valores de encabezado de autenticación:

Nombre de encabezado Descripción Valor de ejemplo
Authorization Token primario Bearer <primary-token>
x-ms-authorization-auxiliary Tokens auxiliares Bearer <auxiliary-token1>, EncryptedBearer <auxiliary-token2>, Bearer <auxiliary-token3>

El encabezado auxiliar puede contener hasta tres tokens auxiliares.

En el código de la aplicación multiinquilino, obtenga el token de autenticación de los otros inquilinos y almacénelos en los encabezados auxiliares. Se debe haber invitado al usuario o a la aplicación como invitados a los otros inquilinos.

Procesamiento de la solicitud

Cuando la aplicación envía una solicitud a Resource Manager, la solicitud se ejecuta con la identidad del token primario. El token primario debe ser válido y no debe haber expirado. Este token debe ser de un inquilino que pueda administrar la suscripción.

Cuando la solicitud hace referencia a un recurso de otro inquilino, Resource Manager comprueba los tokens auxiliares para determinar si se puede procesar la solicitud. Todos los tokens auxiliares del encabezado deben ser válidos y no deben haber expirado. Si alguno de los tokens ha expirado, Resource Manager devuelve un código de respuesta 401. La respuesta incluye el identificador de cliente y el identificador de inquilino del token que no es válido. Si el encabezado auxiliar contiene un token válido para el inquilino, se procesa la solicitud entre inquilinos.

Pasos siguientes