Microsoft Entra 認証

HTTP 要求は、Bearer 認証スキームで、Microsoft Entra ID から取得したトークンを使用して認証できます。 これらの要求は、トランスポート層セキュリティ (TLS) 経由で送信する必要があります。

前提条件

Microsoft Entra トークンの要求に使用されるプリンシパルを、該当する Azure App Configuration ロールの 1 つに割り当てる必要があります。

要求ごとに、認証に必要なすべての HTTP ヘッダーを指定します。 最小要件は次のとおりです。

例:

Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}

Microsoft Entra トークンの取得

Microsoft Entra トークンを取得する前に、どのユーザーとして認証するのか、トークン要求する対象ユーザー、どの Microsoft Entra エンドポイント (機関) を使用するのかを指定する必要があります。

対象者

適切な対象ユーザーを指定して Microsoft Entra トークンを要求します。 Azure App Configuration には、次の対象ユーザーを使用します。 対象ユーザーは、トークンの要求対象になっている "リソース" と呼ばれることもあります。

https://azconfig.io

Microsoft Entra 機関

Microsoft Entra 機関は、Microsoft Entra トークンの取得に使用するエンドポイントです。 これは https://login.microsoftonline.com/{tenantId} の形式です。 {tenantId} セグメントは、認証しようとしているユーザーまたはアプリケーションが属している Microsoft Entra テナント ID を指します。

認証ライブラリ

Microsoft 認証ライブラリ (MSAL) は、Microsoft Entra トークンを取得するプロセスを簡略化するのに役立ちます。 これらの Azure ライブラリは、複数言語用に構築されています。 詳細については、ドキュメントを参照してください。

エラー

次のエラーが発生することがあります。

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer

理由:Bearer スキームで承認要求ヘッダーが指定されていません。

解決方法: 有効な Authorization HTTP 要求ヘッダーを指定してください。

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"

理由: Microsoft Entra トークンが無効です。

解決方法: Microsoft Entra 機関から Microsoft Entra トークンを取得し、適切な対象ユーザーを使用していることを確認します。

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."

理由: Microsoft Entra トークンが無効です。

解決方法: Microsoft Entra 機関から Microsoft Entra トークンを取得します。 Microsoft Entra テナントが、構成ストアが属しているサブスクリプションに確実に関連付けられているようします。 このエラーは、プリンシパルが複数の Microsoft Entra テナントに属している場合に表示されることがあります。