Ověřování požadavků napříč tenanty
Při vytváření aplikace s více tenanty možná budete muset zpracovávat žádosti o ověřování pro prostředky, které jsou v různých tenantech. Běžným scénářem je situace, kdy se virtuální počítač v jednom tenantovi musí připojit k virtuální síti v jiném tenantovi. Azure Resource Manager poskytuje hodnotu hlavičky pro ukládání pomocných tokenů k ověření požadavků na různé tenanty.
Hodnoty hlaviček pro ověřování
Požadavek má následující hodnoty hlavičky ověřování:
| Název hlavičky | Popis | Příklad hodnoty |
|---|---|---|
| Autorizace | Primární token | Nosný <primární token> |
| x-ms-authorization-auxiliary | Pomocné tokeny | Pomocné nosné <tokeny-token1>, EncryptedBearer <pomocný token2>, bearer <pomocný token3> |
Pomocné záhlaví může obsahovat až tři pomocné tokeny.
V kódu aplikace s více tenanty získejte ověřovací token pro ostatní tenanty a uložte je do pomocných hlaviček. Uživatel nebo aplikace musí být pozvaný jako host do ostatních tenantů.
Zpracování požadavku
Když vaše aplikace odešle požadavek do Resource Manageru, žádost se spustí pod identitou z primárního tokenu. Primární token musí být platný a nevyzkoušený. Tento token musí být z tenanta, který může spravovat předplatné.
Když požadavek odkazuje na prostředek z jiného tenanta, Resource Manager zkontroluje pomocné tokeny a určí, jestli je možné žádost zpracovat. Všechny pomocné tokeny v hlavičce musí být platné a nevysvětlované. Pokud vypršela platnost nějakého tokenu, Resource Manager vrátí kód odpovědi 401. Odpověď obsahuje ID klienta a ID tenanta z tokenu, který není platný. Pokud pomocná hlavička obsahuje platný token pro tenanta, zpracuje se požadavek mezi tenanty.
Další kroky
- Další informace o požadavcích na ověřování najdete v tématu Toky ověřování a scénáře aplikací.
- Další informace o tokenech naleznete v tématu Microsoft Entra přístupové tokeny.