Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez authentifier les requêtes HTTP à l’aide du Bearer schéma d’authentification avec un jeton acquis à partir de l’ID Microsoft Entra. Vous devez transmettre ces requêtes via TLS (Transport Layer Security).
Prerequisites
Vous devez affecter le principal utilisé pour demander un jeton Microsoft Entra à l’un des rôles Azure App Configuration applicables.
Fournissez à chaque requête tous les en-têtes HTTP requis pour l’authentification. Voici la configuration minimale requise :
| En-tête de requête | Descriptif |
|---|---|
Authorization |
Informations d’authentification requises par le Bearer schéma. |
Exemple :
Host: {myconfig}.azconfig.io
Authorization: Bearer {{AadToken}}
Acquisition de jetons Microsoft Entra
Avant d’acquérir un jeton Microsoft Entra, vous devez identifier l’utilisateur que vous souhaitez authentifier en tant qu’audience pour laquelle vous demandez le jeton et le point de terminaison Microsoft Entra (autorité) à utiliser.
Public visé
Demandez le jeton Microsoft Entra avec une audience appropriée. L’audience peut également être appelée ressource pour laquelle le jeton est demandé.
Pour plus d’informations sur l’audience à utiliser pour quel cloud, reportez-vous à la section audience de la vue d’ensemble de l’accès à l’ID Entra.
Autorité Microsoft Entra
L’autorité Microsoft Entra est le point de terminaison que vous utilisez pour acquérir un jeton Microsoft Entra. Pour le cloud Azure global, il est sous la forme de https://login.microsoftonline.com/{tenantId}. Le {tenantId} segment fait référence à l’ID de locataire Microsoft Entra auquel appartient l’utilisateur ou l’application qui tente de s’authentifier.
Les clouds nationaux Azure ont différents points de terminaison d’authentification Microsoft Entra. Consultez les points de terminaison d’authentification Microsoft Entra pour lesquels les points de terminaison à utiliser dans les clouds nationaux.
Bibliothèques d’authentification
Microsoft Authentication Library (MSAL) permet de simplifier le processus d’acquisition d’un jeton Microsoft Entra. Azure crée ces bibliothèques pour plusieurs langages. Pour plus d’informations, consultez la documentation.
Errors
Vous pouvez rencontrer les erreurs suivantes.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer
Raison: Vous n’avez pas fourni l’en-tête de demande d’autorisation avec le Bearer schéma.
Solution: Fournissez un en-tête de requête HTTP valide Authorization .
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="Authorization token failed validation"
Raison: Le jeton Microsoft Entra n’est pas valide.
Solution: Acquérir un jeton Microsoft Entra auprès de l’autorité Microsoft Entra et vérifier que vous avez utilisé le public approprié.
HTTP/1.1 401 Unauthorized
WWW-Authenticate: HMAC-SHA256, Bearer error="invalid_token", error_description="The access token is from the wrong issuer. It must match the AD tenant associated with the subscription to which the configuration store belongs. If you just transferred your subscription and see this error message, please try back later."
Raison: Le jeton Microsoft Entra n’est pas valide.
Solution: Acquérir un jeton Microsoft Entra auprès de l’autorité Microsoft Entra. Vérifiez que le locataire Microsoft Entra est celui associé à l’abonnement auquel appartient le magasin de configuration. Cette erreur peut apparaître si le principal appartient à plusieurs locataires Microsoft Entra.