如何在没有单点登录的情况下使用Azure AD
基本上我正在为我们为我们制作的员工门户实施SSO,但我也希望能够访问图API(至少,AzureAD REST) API项目,例如添加/删除/获取用户信息),而无需通过SSO登录。
通过这种方式,我可以使用我想要的某种API密钥/秘密类型的设置和计划以某种方式与AD交互的cron作业。从技术上讲,我可以登录并将我的帐户设置为运行此帐户的帐户,但这似乎有点hacky和不可靠(例如,如果我的帐户出现问题,密码过期,更改等等...那么刷新令牌将不再是有效的,我必须再次登录,任务可能会暂时中断。)
我可以发誓我几个月前在实施这个时已经看过这方面的文档了,但我现在无法找到它。
真的希望这不是重复的,我只是想不出用于搜索没有提出基于SSO的API信息的措辞。
更新 - 好吧,看起来我想出了这一点(在Shaun Luttin的帮助下发布了以下答案:https://stackoverflow.com/a/32618417/3721165 [方便链接])
所以,Shaun汇集的所有信息都非常有用。最初,由于他们如何说出事情,以及他们的一些例子的复杂性,文档相当混乱。但是一旦我开始深入研究一些例子,加上Shaun提供的一些信息,以及我自己的一些实验/研究,我就能想出这个(基本的演示/概念):
using System;
using System.Globalization;
using System.Threading.Tasks;
using Microsoft.IdentityModel.Clients.ActiveDirectory;
using Microsoft.Azure.ActiveDirectory.GraphClient;
namespace AzureADGraphApi
{
class Program
{
private static string tenant = "...tenant id...";
private static string clientid = "...client id...";
private static string appkey = "...app key...";
private static string aadinstance = "https://login.microsoftonline.com/{0}";
private static string graphResourceUrl = "https://graph.windows.net";
static void Main(string[] args)
{
Uri serviceRoot = new Uri(graphResourceUrl + "/" + tenant);
ActiveDirectoryClient adc = new ActiveDirectoryClient(serviceRoot, async () => await GetToken());
IPagedCollection<IUser> Users = adc.Users.ExecuteAsync().Result;
bool pagesLeft = false;
do
{
foreach (IUser user in Users.CurrentPage)
{
Console.WriteLine(user.DisplayName);
}
pagesLeft = Users.MorePagesAvailable;
Users = Users.GetNextPageAsync().Result;
Console.WriteLine("--- Page Break ---");
} while (pagesLeft);
Console.ReadLine();
}
private static async Task<string> GetToken()
{
AuthenticationContext authContext = new AuthenticationContext(String.Format(CultureInfo.InvariantCulture, aadinstance, tenant));
AuthenticationResult result = authContext.AcquireToken(graphResourceUrl, new ClientCredential(clientid, appkey));
return result.AccessToken;
}
}
}
我通过进一步的研究发现,为了按照我想要的方式使用Graph API,您必须向AquireToken方法提供图形资源URL(https://graph.windows.net),而不是您的应用ID / URL。
所以,我接受了Shaun的回答,但我也希望得到这个答案的工作结果。
感谢您的帮助,伙计们!
2 个答案:
答案 0 :(得分:16)
您需要的是访问令牌而不进行单点登录。 Rick Rainey提供的链接将帮助您入门。
您可以通过调用AcquireTokenAsync以编程方式获取访问令牌。根据您构建的应用程序类型以及您希望如何进行身份验证,有很多方法可以调用AcquireTokenAsync。您需要决定是创建本机客户端应用程序还是Web应用程序。
根据应用程序类型,进行身份验证的方式有很大差异。听起来你想在没有用户提示的情况下进行身份验证(即没有请求输入用户名/密码。)以下内容对我有用,并且根本不涉及用户提示。它们中的每一个都使用以下常量,您需要从manage.windowsazure.com门户中获取这些常量。如果您需要帮助找到其中任何一个,请在评论中告诉我。
private const string
DIRECTORY_TENANT_NAME = "mytenant.onmicrosoft.com",
DIRECTORY_TENANT_ID = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
RESOURCE_URL = "https://graph.windows.net",
SUBSCRIPTION_ID = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
AUTHORITY = "https://login.microsoftonline.com/" + DIRECTORY_TENANT_NAME,
// web application
CLIENT_ID_WEB = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
CLIENT_SECRET_WEB = "xxxxxxxx/xxxxxxxxxxxx/xxxxxxxx/xxxxxxxx=",
// native client application
CLIENT_ID_NATIVE = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
// adminstrator
USER_NAME = "myuser@mytenant.onmicrosoft.com",
USER_PASSWORD = "xxxxxxxxxx";
现在,以下三个选项可供您(尽管可能有其他选项)用于获取令牌。我已经测试了以下各项,只要您正确配置了Azure Active Directory租户,用户和应用程序,它们都可以正常工作。
AcquireToken(字符串资源,ClientAssertionCertificate clientCertificate)适用于Web Apps。这种方法的缺点是最初设置起来比较困难(PowerShell,证书创建)。优点是一旦安装它很容易使用。使用Native Client Apps时,它不起作用并抛出此错误:AADSTS50012: Client is public so a 'client_assertion' should not be presented.
var authContext = new AuthenticationContext(AUTHORITY);
var store = new X509Store(StoreLocation.CurrentUser);
store.Open(OpenFlags.ReadOnly);
var certs = store
.Certificates
.Find(X509FindType.FindByIssuerName, "mvp2015", false);
var clientCertificate = new ClientAssertionCertificate(CLIENT_ID_WEB, certs[0]);
var result = authContext
.AcquireTokenAsync(RESOURCE, clientCertificate)
.Result;
AcquireToken(字符串资源,ClientCredential clientCredential)适用于Web Apps。设置更容易,一旦设置就易于使用。 Native Client Apps不支持此方法,因为它们缺少客户端密钥。
var authContext = new AuthenticationContext(AUTHORITY);
var clientCredential = new ClientCredential(CLIENT_ID_WEB, CLIENT_SECRET_WEB);
var result = authContext
.AcquireTokenAsync(RESOURCE, clientCredential)
.Result;
AcquireToken(字符串资源,字符串clientId,UserCredential userCredential)适用于Native Client Apps。 Web应用程序失败并显示以下错误:AADSTS90014: The request body must contain the following parameter: 'client_secret or client_assertion'.一个问题是,您登录的用户必须在Active Directory中正确配置。
var authContext = new AuthenticationContext(AUTHORITY);
var userCredential = new UserCredential(USER_NAME, USER_PASSWORD);
var result = authContext
.AcquireTokenAsync(RESOURCE, CLIENT_ID_NATIVE, userCredential)
.Result;
使用首选方法获得令牌后,即可使用此类Active Directory图表。为了便于阅读,它位于Func,但您可以将accessTokenGetter放入自己的方法中。
Func<Task<string>> accessTokenGetter = async () =>
{
var authContext = new AuthenticationContext(AUTHORITY, false);
var clientCredential = new ClientCredential(CLIENT_ID_WEB, CLIENT_SECRET_WEB);
var result = await authContext
.AcquireTokenAsync(RESOURCE_URL, clientCredential);
var token = result.AccessToken;
return token;
};
var uriRoot = new Uri(RESOURCE_URL);
var uriTenant = new Uri(uriRoot, DIRECTORY_TENANT_ID);
var client = new ActiveDirectoryClient(uriTenant, accessTokenGetter);
foreach (var u in client.Users.ExecuteAsync().Result.CurrentPage)
{
var n = u.DisplayName;
}
说明
- 当我们位于Azure Active Directory租户的信息中心时,
DIRECTORY_TENANT_ID位于网络浏览器的地址栏中。 manage.windowsazure.com&gt;活动目录&gt;一些房客。 - 在Azure Active Directory中创建应用程序后,我们需要配置其权限。这是我们的应用程序CONFIGURE选项卡的底部。 manage.windowsazure.com&gt;活动目录&gt;一些租户&gt;申请&gt;一些应用&gt; CONFIGURE。
- 以上演示使用两个NuGet包:
-
Microsoft.Azure.ActiveDirectory.GraphClient版本2.1.0 -
Microsoft.IdentityModel.Clients.ActiveDirectory版本2.19.208020213
-
另见
这里有一个例子:https://github.com/AzureADSamples/ConsoleApp-GraphAPI-DotNet
答案 1 :(得分:0)
Azure AD 服务主体是我相信你所追求的。以下是有关如何为您的应用创建一个文档的文档。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?