Microsoft Entra 驗證

您可以使用驗證配置搭配從 Microsoft Entra ID 取得的權杖來驗證 HTTP 要求 Bearer 。 您必須透過傳輸層安全性 （TLS） 傳輸這些要求。

必要條件

您必須將用來要求 Microsoft Entra 權杖的主體指派給其中一個適用的 Azure 應用程式組態角色 。

為每個要求提供驗證所需的所有 HTTP 標頭。 以下是最低需求：

範例：

Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}

Microsoft Entra 權杖擷取

取得 Microsoft Entra 權杖之前，您必須識別您要驗證的使用者、要求權杖的物件，以及要使用的 Microsoft Entra 端點（授權單位） 。

適用對象

使用適當的物件要求 Microsoft Entra 權杖。 針對 Azure 應用程式組態請使用下列物件。 物件也可以稱為 要求權杖的資源 。

https://azconfig.io

Microsoft Entra 授權單位

Microsoft Entra 授權單位是您用來取得 Microsoft Entra 權杖的端點。 其格式為 https://login.microsoftonline.com/{tenantId} 。 區 {tenantId} 段是指嘗試驗證的使用者或應用程式所屬的 Microsoft Entra 租使用者識別碼。

驗證程式庫

Microsoft 驗證程式庫 （MSAL） 有助於簡化取得 Microsoft Entra 權杖的程式。 Azure 會針對多種語言建置這些程式庫。 如需詳細資訊，請參閱 文件。

錯誤

您可能會遇到下列錯誤。

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer

原因： 您尚未提供授權要求標頭與配置 Bearer 。

解決方案： 提供有效的 Authorization HTTP 要求標頭。

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"

原因： Microsoft Entra 權杖無效。

解決方案： 從 Microsoft Entra 授權單位取得 Microsoft Entra 權杖，並確定您已使用適當的物件。

HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."

原因： Microsoft Entra 權杖無效。

解決方案： 從 Microsoft Entra 授權單位取得 Microsoft Entra 權杖。 確定 Microsoft Entra 租使用者是與組態存放區所屬訂用帳戶相關聯的租使用者。 如果主體屬於多個 Microsoft Entra 租使用者，就會出現此錯誤。