Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Puede autenticar solicitudes HTTP mediante el Bearer esquema de autenticación con un token adquirido de Microsoft Entra ID. Debe transmitir estas solicitudes a través de seguridad de la capa de transporte (TLS).
Prerrequisitos
Debe asignar la entidad de seguridad que se usa para solicitar un token de Microsoft Entra a uno de los roles de Azure App Configuration aplicables.
Proporcione cada solicitud con todos los encabezados HTTP necesarios para la autenticación. Este es el requisito mínimo:
| Encabezado de solicitud | Description |
|---|---|
Authorization |
Información de autenticación requerida por el Bearer esquema. |
Example:
Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}
Adquisición de tokens de Microsoft Entra
Antes de adquirir un token de Microsoft Entra, debe identificar qué usuario desea autenticar, qué audiencia solicita el token y para qué punto de conexión de Microsoft Entra (autoridad) se va a usar.
Público
Solicite el token de Microsoft Entra con una audiencia adecuada. La audiencia también se puede denominar recurso para el que se solicita el token.
Para Azure App Configuration en la nube global de Azure, use la siguiente audiencia:
https://appconfig.azure.com
Para Azure App Configuration en las nubes nacionales, use la audiencia aplicable especificada en la tabla siguiente:
| Nube nacional | Audiencia |
|---|---|
| Azure Government (servicio de nube de Microsoft para el gobierno) | https://appconfig.azure.us |
| Microsoft Azure operado por 21Vianet | https://appconfig.azure.cn |
| Bleu | https://appconfig.sovcloud-api.fr |
Autoridad de Microsoft Entra
La autoridad de Microsoft Entra es el punto de conexión que se usa para adquirir un token de Microsoft Entra. Para la nube global de Azure, está en forma de https://login.microsoftonline.com/{tenantId}. El {tenantId} segmento hace referencia al identificador de inquilino de Microsoft Entra al que pertenece el usuario o la aplicación que está intentando autenticarse.
Las nubes nacionales de Azure tienen diferentes puntos de conexión de autenticación de Microsoft Entra. Consulte Puntos de conexión de autenticación de Microsoft Entra para ver qué puntos de conexión usar en las nubes nacionales.
Bibliotecas de autenticación
La Biblioteca de autenticación de Microsoft (MSAL) ayuda a simplificar el proceso de adquisición de un token de Microsoft Entra. Azure compila estas bibliotecas para varios lenguajes. Para obtener más información, consulte la documentación.
Errors
Es posible que encuentre los siguientes errores.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer
Razón: No ha proporcionado el encabezado de solicitud de autorización con el Bearer esquema .
Solución: Proporcione un encabezado de solicitud HTTP válido Authorization .
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"
Razón: El token de Microsoft Entra no es válido.
Solución: Adquiera un token de Microsoft Entra de la autoridad de Microsoft Entra y asegúrese de que ha usado la audiencia adecuada.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."
Razón: El token de Microsoft Entra no es válido.
Solución: Adquiera un token de Microsoft Entra de la autoridad de Microsoft Entra. Asegúrese de que el inquilino de Microsoft Entra es el asociado a la suscripción a la que pertenece el almacén de configuración. Este error puede aparecer si la entidad de seguridad pertenece a más de un inquilino de Microsoft Entra.