c# – 如何在没有单点登录的情况下使用Azure AD
作者:互联网
基本上我正在为我们为我们制作的员工门户实施SSO,但我也希望能够访问图形API(至少,AzureAD REST API项目,如添加/删除/获取用户信息)无需通过SSO登录.
通过这种方式,我可以使用我正在考虑的某种API密钥/秘密类型的设置和计划以某种方式与AD交互的cron作业.从技术上讲,我可以登录并将我的帐户设置为运行此帐户的帐户,但这似乎有点hacky和不可靠(例如,如果我的帐户出现问题,密码过期,更改等等…那么刷新令牌将不再是有效的,我将不得不再次登录,任务可能会暂时中断.)
我可以发誓我几个月前在实施这个时已经看过这方面的文档了,但是我现在不能找到它.
真的希望这不是重复,我只是想不出用于搜索的措辞,不会一直提出基于SSO的API信息.
更新 – 好吧,看起来我想出来了(在Shaun Luttin的答案的帮助下发布了以下内容:https://stackoverflow.com/a/32618417/3721165 [方便链接])
因此,Shaun汇集的所有信息都非常有用.最初,由于他们如何说出事情,以及他们的一些例子的复杂性,文档相当混乱.但是,一旦我开始深入研究一些例子,加上Shaun提供的一些信息,以及我自己的一些实验/研究,我就能够提出这个(基本的演示/概念):
using System;
using System.Globalization;
using System.Threading.Tasks;
using Microsoft.IdentityModel.Clients.ActiveDirectory;
using Microsoft.Azure.ActiveDirectory.GraphClient;
namespace AzureADGraphApi
{
class Program
{
private static string tenant = "...tenant id...";
private static string clientid = "...client id...";
private static string appkey = "...app key...";
private static string aadinstance = "https://login.microsoftonline.com/{0}";
private static string graphResourceUrl = "https://graph.windows.net";
static void Main(string[] args)
{
Uri serviceRoot = new Uri(graphResourceUrl + "/" + tenant);
ActiveDirectoryClient adc = new ActiveDirectoryClient(serviceRoot, async () => await GetToken());
IPagedCollection<IUser> Users = adc.Users.ExecuteAsync().Result;
bool pagesLeft = false;
do
{
foreach (IUser user in Users.CurrentPage)
{
Console.WriteLine(user.DisplayName);
}
pagesLeft = Users.MorePagesAvailable;
Users = Users.GetNextPageAsync().Result;
Console.WriteLine("--- Page Break ---");
} while (pagesLeft);
Console.ReadLine();
}
private static async Task<string> GetToken()
{
AuthenticationContext authContext = new AuthenticationContext(String.Format(CultureInfo.InvariantCulture, aadinstance, tenant));
AuthenticationResult result = authContext.AcquireToken(graphResourceUrl, new ClientCredential(clientid, appkey));
return result.AccessToken;
}
}
}
我通过进一步的研究发现,为了按照我的意图使用Graph API,你必须提供图形资源URL(https://graph.windows.net)到AquireToken方法,而不是你的应用ID / URL.
所以,我接受肖恩的回答,但我也想给出我的答案的工作结果.
谢谢你的帮助,伙计们!
解决方法:
您需要的是访问令牌而不进行单点登录. Rick Rainey提供的链接将帮助您入门.
您可以通过调用AcquireTokenAsync以编程方式获取访问令牌.有很多方法可以调用AcquireTokenAsync,具体取决于您构建的应用程序类型以及您希望如何进行身份验证.您需要决定是创建本机客户端应用程序还是Web应用程序.
根据应用程序类型,验证方式有很大差异.听起来你想在没有用户提示的情况下进行身份验证(即没有请求输入用户名/密码.)以下内容对我有用,并且根本不涉及用户提示.它们中的每一个都使用以下常量,您需要从manage.windowsazure.com门户中获取这些常量.如果您需要帮助找到其中任何一个,请在评论中告诉我.
private const string
DIRECTORY_TENANT_NAME = "mytenant.onmicrosoft.com",
DIRECTORY_TENANT_ID = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
RESOURCE_URL = "https://graph.windows.net",
SUBSCRIPTION_ID = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
AUTHORITY = "https://login.microsoftonline.com/" + DIRECTORY_TENANT_NAME,
// web application
CLIENT_ID_WEB = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
CLIENT_SECRET_WEB = "xxxxxxxx/xxxxxxxxxxxx/xxxxxxxx/xxxxxxxx=",
// native client application
CLIENT_ID_NATIVE = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
// adminstrator
USER_NAME = "myuser@mytenant.onmicrosoft.com",
USER_PASSWORD = "xxxxxxxxxx";
现在,以下三个选项可用于获取令牌(尽管可能还有其他选项).我已经测试了以下各项,只要您正确配置了Azure Active Directory租户,用户和应用程序,它们都可以正常工作.
AcquireToken(字符串资源,ClientAssertionCertificate clientCertificate)适用于Web Apps.这种方法的缺点是最初设置起来比较困难(PowerShell,证书创建).优点是一旦安装它很容易使用.使用Native Client Apps时,它不起作用并抛出此错误:AADSTS50012:客户端是公共的,因此不应显示“client_assertion”.
var authContext = new AuthenticationContext(AUTHORITY);
var store = new X509Store(StoreLocation.CurrentUser);
store.Open(OpenFlags.ReadOnly);
var certs = store
.Certificates
.Find(X509FindType.FindByIssuerName, "mvp2015", false);
var clientCertificate = new ClientAssertionCertificate(CLIENT_ID_WEB, certs[0]);
var result = authContext
.AcquireTokenAsync(RESOURCE, clientCertificate)
.Result;
AcquireToken(字符串资源,ClientCredential clientCredential)适用于Web Apps.设置更容易,一旦设置就易于使用. Native Client Apps不支持此方法,因为它们缺少客户端密钥.
var authContext = new AuthenticationContext(AUTHORITY);
var clientCredential = new ClientCredential(CLIENT_ID_WEB, CLIENT_SECRET_WEB);
var result = authContext
.AcquireTokenAsync(RESOURCE, clientCredential)
.Result;
AcquireToken(字符串资源,字符串clientId,UserCredential userCredential)与Native Client Apps一起使用. Web应用程序失败并显示以下错误:AADSTS90014:请求正文必须包含以下参数:’client_secret或client_assertion’.一个问题是,您登录的用户必须在Active Directory中正确配置.
var authContext = new AuthenticationContext(AUTHORITY);
var userCredential = new UserCredential(USER_NAME, USER_PASSWORD);
var result = authContext
.AcquireTokenAsync(RESOURCE, CLIENT_ID_NATIVE, userCredential)
.Result;
使用首选方法获得令牌后,即可使用此类Active Directory图.为了便于阅读,它在Func中虽然你可以将accessTokenGetter放入它自己的方法中.
Func<Task<string>> accessTokenGetter = async () =>
{
var authContext = new AuthenticationContext(AUTHORITY, false);
var clientCredential = new ClientCredential(CLIENT_ID_WEB, CLIENT_SECRET_WEB);
var result = await authContext
.AcquireTokenAsync(RESOURCE_URL, clientCredential);
var token = result.AccessToken;
return token;
};
var uriRoot = new Uri(RESOURCE_URL);
var uriTenant = new Uri(uriRoot, DIRECTORY_TENANT_ID);
var client = new ActiveDirectoryClient(uriTenant, accessTokenGetter);
foreach (var u in client.Users.ExecuteAsync().Result.CurrentPage)
{
var n = u.DisplayName;
}
备注
>当我们位于Azure Active Directory租户的仪表板中时,DIRECTORY_TENANT_ID位于Web浏览器的地址栏中. manage.windowsazure.com>活动目录>一些房客.
>在Azure Active Directory中创建应用程序后,我们需要配置其权限.这是我们的应用程序CONFIGURE选项卡的底部. manage.windowsazure.com>活动目录>一些租户>申请>一些应用>配置.
>上面的演示使用两个NuGet包:
> Microsoft.Azure.ActiveDirectory.GraphClient版本2.1.0
> Microsoft.IdentityModel.Clients.ActiveDirectory版本2.19.208020213
也可以看看
这里有一个例子:https://github.com/AzureADSamples/ConsoleApp-GraphAPI-DotNet
标签:c,azure,azure-ad-graph-api 来源: https://codeday.me/bug/20190713/1446058.html