如何读取Azure Active Directory的域

Question

我创建了一个新的Azure帐户，并尝试使用以下代码在其中自动部署应用程序：

var app = azure.AccessManagement.ActiveDirectoryApplications
.Define(appName)
.WithSignOnUrl(appSignOnUrl)
.WithAvailableToOtherTenants(true)
.WithIdentifierUrl(identifierUrl)
.DefinePasswordCredential(username)
.WithPasswordValue(password)
.WithDuration()
.Attach();
.CreateAsync();

如果将identifierUrl硬编码为Azure Active Directory名称，则可以使用。

如何从Azure中读取identifierUrl（Azure Active Directory域名）？

我可以在门户网站中看到此值，但是找不到用于读取它的API。

Answer 1

似乎您只是在尝试读取租户名称。您可以通过致电获取登录用户的姓名

https://management.azure.com/tenants?$skiptoken={skiptoken}&api-version={api-version}

有关详细信息，请参见this page。这将为您提供您已授权的所有租户的列表。

Answer 2

获取与您的Azure AD租户关联的域名的代码

请注意，您的租户可能有多个域名。您在屏幕快照中显示的有关您的问题的只是第一个，在创建Azure AD时已分配给您的租户，并且由于已使用.onmicrosoft.com而已通过验证。 Link

您始终可以将其他域与Azure AD租户相关联，以证明其所有权并对其进行验证。稍后我会对此稍作介绍，但首先是相关代码。在您的情况下，您可能只会获得一个默认域。

这是我与Azure AD租户快速编写并测试的工作代码。由于您已经在使用fluent API创建应用程序，因此应该非常相似。

我已经在一个简单的控制台应用程序中使用了.NET和C＃，但我想其他任何库的代码也将非常相似。

using System;
using Microsoft.Azure.Management.Fluent;
using Microsoft.Azure.Management.Graph.RBAC.Fluent;
using Microsoft.Azure.Management.ResourceManager.Fluent;

namespace ConsoleApp1
{
    class Program
    {
        static void Main(string[] args)
        {
            // whatever method you're using already for Authentication (like through file or with credentials or with cert
            // same can be used to get AzureCredentials as well, just change the FromFile to FromServicePrincipal if required
            IAzure azure = Azure.Authenticate("my.azureauth").WithDefaultSubscription();
            var creds = SdkContext.AzureCredentialsFactory.FromFile("my.azureauth");

            IGraphRbacManager graphRbacManager = GraphRbacManager.Authenticate(creds, "<your tenant Guid>");    
            var domains = graphRbacManager.Inner.Domains.ListAsync().GetAwaiter().GetResult();

            string defaultDomain = string.Empty;
            foreach (var domain in domains)
            {  
                Console.WriteLine(domain.Name);
                if (domain.IsDefault.HasValue && domain.IsDefault.Value == true)
                    defaultDomain = domain.Name;                
                    // not breaking out of loop on purpose, just to print all domain names if multiple are there.
            }

            string identiferUri = string.Format("https://{0}/myuniqueapp1", defaultDomain);
            var app = azure.AccessManagement.ActiveDirectoryApplications
                .Define("My Unique App 1")
                .WithSignOnUrl("https://myuniqueapp1.azurewebsites.net")
                .WithAvailableToOtherTenants(true)
                .WithIdentifierUrl(identiferUri)
                .DefinePasswordCredential("string")
                .WithPasswordValue("string")
                .WithDuration(new TimeSpan(365,0,0,0))
                .Attach()
                .CreateAsync();

            Console.ReadLine();
        }        
    }
}

identifierUris以及与Azure AD租户的已验证域的关系

在您用来创建应用程序的代码中，.WithIdentifierUrl(identifierUrl)进入其中，并将提供的Url添加到应用程序清单的identifierUris集合中。在Azure门户中，您将看到在应用程序注册的属性>应用程序ID URI中指定的值。您还可以编辑清单，然后直接在门户中查看清单。

此值唯一地标识您的应用程序。对于单租户应用程序，您可以将其设置为Azure AD中其他任何应用程序都没有使用的任何唯一值，但是对于多租户应用程序，则必须全局强制使用它，因此在主机使用URL时存在限制名称与您的Azure AD租户的已验证域之一匹配。由于您使用的是.WithAvailableToOtherTenants(true)，因此这一概念对您很重要。

以下是Microsoft Docs上有关此问题的几个链接-

• Application Manifest for Azure AD

  

• Update an application in Azure AD

  

所需权限

希望您已经完成了此步骤，因为您需要创建该应用程序的权限，但是如果您将来不需要或不希望其他任何人阅读此内容，则因为代码正在从Azure AD中读取信息并创建一个新的应用程序在Azure AD中，用于获取AzureCredentials以便运行此代码的服务主体应具有足够的特权。

转到您的Azure AD>应用程序注册>服务主体的应用程序注册（您可以通过应用程序ID查找它，它将与您的服务主体具有相同的应用程序ID）>转到必需的权限>添加Windows Azure Active Directory并为您的代码提供适当的应用程序权限。

最后，确保执行“授予权限”，因为此处的所有应用程序权限都需要获得管理员的同意。