如何在没有单点登录的情况下使用 Azure AD
How can I use the Azure AD without single-sign-on
基本上我正在为我为我们制作的员工门户实施 SSO,但我也希望能够访问图表 API(至少,AzureAD REST API 项,例如 adding/removing/getting 用户信息),而无需通过 SSO 登录。
通过这种方式,我可以使用我认为是某种 API key/secret 的设置和计划以某种方式与 AD 交互的 cron 作业。从技术上讲,我可以登录并将我的帐户设置为 运行 这个,但这似乎有点老套和不可靠(例如,如果我的帐户出现问题,密码过期,更改等......然后刷新令牌将不再有效,我将不得不重新登录,任务可能会暂时中断。)
我可以发誓几个月前我在考虑实现这个的时候在某个地方看到过这方面的文档,但我现在找不到它了。
真的希望这不是重复的,我只是想不出要搜索的措辞不会不断出现基于 SSO 的 API 信息。
更新 - 好吧,看来我明白了(借助下面发布的 Shaun Luttin 的回答: [link 为了方便起见])
所以,Shaun 收集的所有信息都非常有用。最初,由于文档的措辞方式以及一些示例的复杂性,文档相当混乱。但是一旦我深入研究了一些示例,加上 Shaun 提供的一些信息,以及我自己的一些 experimenting/research,我就能够想出这个(基本 demo/concept):
using System;
using System.Globalization;
using System.Threading.Tasks;
using Microsoft.IdentityModel.Clients.ActiveDirectory;
using Microsoft.Azure.ActiveDirectory.GraphClient;
namespace AzureADGraphApi
{
class Program
{
private static string tenant = "...tenant id...";
private static string clientid = "...client id...";
private static string appkey = "...app key...";
private static string aadinstance = "https://login.microsoftonline.com/{0}";
private static string graphResourceUrl = "https://graph.windows.net";
static void Main(string[] args)
{
Uri serviceRoot = new Uri(graphResourceUrl + "/" + tenant);
ActiveDirectoryClient adc = new ActiveDirectoryClient(serviceRoot, async () => await GetToken());
IPagedCollection<IUser> Users = adc.Users.ExecuteAsync().Result;
bool pagesLeft = false;
do
{
foreach (IUser user in Users.CurrentPage)
{
Console.WriteLine(user.DisplayName);
}
pagesLeft = Users.MorePagesAvailable;
Users = Users.GetNextPageAsync().Result;
Console.WriteLine("--- Page Break ---");
} while (pagesLeft);
Console.ReadLine();
}
private static async Task<string> GetToken()
{
AuthenticationContext authContext = new AuthenticationContext(String.Format(CultureInfo.InvariantCulture, aadinstance, tenant));
AuthenticationResult result = authContext.AcquireToken(graphResourceUrl, new ClientCredential(clientid, appkey));
return result.AccessToken;
}
}
}
我通过进一步的研究发现,为了按照我想要的方式使用图表 API,您必须提供图表资源 URL (https://graph.windows.net) AquireToken 方法,而不是您的应用 ID/URL.
所以,我接受 Shaun 的回答,但我也想给出我对该答案的工作结果。
谢谢大家的帮助!
Azure AD Service Principals 是我相信你想要的。这里是关于如何为您的应用程序创建一个文档。
您需要的是无需进行单点登录的访问令牌。 Rick Rainey 提供的 link 将帮助您入门。
您可以通过调用 AcquireTokenAsync 以编程方式获取访问令牌。有很多调用 AcquireTokenAsync 的方法,具体取决于您构建的应用程序类型以及您希望进行身份验证的方式。您需要决定是创建本地客户端应用程序还是 Web 应用程序。
根据应用程序类型,身份验证方式有很大差异。听起来您想在没有用户提示的情况下进行身份验证(即不请求输入 username/password。)以下对我有用,并且根本不涉及用户提示。他们每个人都使用以下常量,您需要从 manage.windowsazure.com 门户网站获取这些常量。如果您需要帮助找到其中任何一个,请在评论中告诉我。
private const string
DIRECTORY_TENANT_NAME = "mytenant.onmicrosoft.com",
DIRECTORY_TENANT_ID = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
RESOURCE_URL = "https://graph.windows.net",
SUBSCRIPTION_ID = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
AUTHORITY = "https://login.microsoftonline.com/" + DIRECTORY_TENANT_NAME,
// web application
CLIENT_ID_WEB = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
CLIENT_SECRET_WEB = "xxxxxxxx/xxxxxxxxxxxx/xxxxxxxx/xxxxxxxx=",
// native client application
CLIENT_ID_NATIVE = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
// adminstrator
USER_NAME = "myuser@mytenant.onmicrosoft.com",
USER_PASSWORD = "xxxxxxxxxx";
现在,您可以通过以下三个选项(尽管可能还有其他选项)获得令牌。我已经测试了以下各项,只要您正确配置了 Azure Active Directory 租户、用户和应用程序,它们都能正常工作。
AcquireToken(string resource, ClientAssertionCertificate clientCertificate) 适用于 Web 应用程序。这种方法的缺点是初始设置比较困难(PowerShell、证书创建)。优点是一旦设置就很容易使用。对于本机客户端应用程序,它不起作用并抛出此错误:AADSTS50012: Client is public so a 'client_assertion' should not be presented.
var authContext = new AuthenticationContext(AUTHORITY);
var store = new X509Store(StoreLocation.CurrentUser);
store.Open(OpenFlags.ReadOnly);
var certs = store
.Certificates
.Find(X509FindType.FindByIssuerName, "mvp2015", false);
var clientCertificate = new ClientAssertionCertificate(CLIENT_ID_WEB, certs[0]);
var result = authContext
.AcquireTokenAsync(RESOURCE, clientCertificate)
.Result;
AcquireToken(string resource, ClientCredential clientCredential) 适用于 Web 应用程序。它更容易设置,并且一旦设置就易于使用。本机客户端应用程序不支持这种方法,因为它们缺少客户端密钥。
var authContext = new AuthenticationContext(AUTHORITY);
var clientCredential = new ClientCredential(CLIENT_ID_WEB, CLIENT_SECRET_WEB);
var result = authContext
.AcquireTokenAsync(RESOURCE, clientCredential)
.Result;
AcquireToken(string resource, string clientId, UserCredential userCredential) 适用于本机客户端应用程序。 Web 应用程序失败并出现此错误:AADSTS90014: The request body must contain the following parameter: 'client_secret or client_assertion'. 一个问题是,您用来登录的用户必须在您的 Active Directory 中正确配置。
var authContext = new AuthenticationContext(AUTHORITY);
var userCredential = new UserCredential(USER_NAME, USER_PASSWORD);
var result = authContext
.AcquireTokenAsync(RESOURCE, CLIENT_ID_NATIVE, userCredential)
.Result;
使用首选方法获得令牌后,您就可以像这样使用 Active Directory Graph。为了便于阅读,它位于 Func 中,但您可以将 accessTokenGetter 放入它自己的方法中。
Func<Task<string>> accessTokenGetter = async () =>
{
var authContext = new AuthenticationContext(AUTHORITY, false);
var clientCredential = new ClientCredential(CLIENT_ID_WEB, CLIENT_SECRET_WEB);
var result = await authContext
.AcquireTokenAsync(RESOURCE_URL, clientCredential);
var token = result.AccessToken;
return token;
};
var uriRoot = new Uri(RESOURCE_URL);
var uriTenant = new Uri(uriRoot, DIRECTORY_TENANT_ID);
var client = new ActiveDirectoryClient(uriTenant, accessTokenGetter);
foreach (var u in client.Users.ExecuteAsync().Result.CurrentPage)
{
var n = u.DisplayName;
}
备注
- 当我们在 Azure Active Directory 租户的仪表板中时,
DIRECTORY_TENANT_ID 位于 Web 浏览器的地址栏中。 manage.windowsazure.com > Active Directory > 一些租户。
- 在 Azure Active Directory 中创建应用程序后,我们需要配置其权限。这是在我们的应用程序配置选项卡的底部。 manage.windowsazure.com > Active Directory > 一些租户 > 应用程序 > 一些应用程序 > 配置。
- 上面的演示使用了两个 NuGet 包:
Microsoft.Azure.ActiveDirectory.GraphClient 版本 2.1.0Microsoft.IdentityModel.Clients.ActiveDirectory 版本 2.19.208020213
另请参阅
这里有个例子:https://github.com/AzureADSamples/ConsoleApp-GraphAPI-DotNet
基本上我正在为我为我们制作的员工门户实施 SSO,但我也希望能够访问图表 API(至少,AzureAD REST API 项,例如 adding/removing/getting 用户信息),而无需通过 SSO 登录。
通过这种方式,我可以使用我认为是某种 API key/secret 的设置和计划以某种方式与 AD 交互的 cron 作业。从技术上讲,我可以登录并将我的帐户设置为 运行 这个,但这似乎有点老套和不可靠(例如,如果我的帐户出现问题,密码过期,更改等......然后刷新令牌将不再有效,我将不得不重新登录,任务可能会暂时中断。)
我可以发誓几个月前我在考虑实现这个的时候在某个地方看到过这方面的文档,但我现在找不到它了。
真的希望这不是重复的,我只是想不出要搜索的措辞不会不断出现基于 SSO 的 API 信息。
更新 - 好吧,看来我明白了(借助下面发布的 Shaun Luttin 的回答:
所以,Shaun 收集的所有信息都非常有用。最初,由于文档的措辞方式以及一些示例的复杂性,文档相当混乱。但是一旦我深入研究了一些示例,加上 Shaun 提供的一些信息,以及我自己的一些 experimenting/research,我就能够想出这个(基本 demo/concept):
using System;
using System.Globalization;
using System.Threading.Tasks;
using Microsoft.IdentityModel.Clients.ActiveDirectory;
using Microsoft.Azure.ActiveDirectory.GraphClient;
namespace AzureADGraphApi
{
class Program
{
private static string tenant = "...tenant id...";
private static string clientid = "...client id...";
private static string appkey = "...app key...";
private static string aadinstance = "https://login.microsoftonline.com/{0}";
private static string graphResourceUrl = "https://graph.windows.net";
static void Main(string[] args)
{
Uri serviceRoot = new Uri(graphResourceUrl + "/" + tenant);
ActiveDirectoryClient adc = new ActiveDirectoryClient(serviceRoot, async () => await GetToken());
IPagedCollection<IUser> Users = adc.Users.ExecuteAsync().Result;
bool pagesLeft = false;
do
{
foreach (IUser user in Users.CurrentPage)
{
Console.WriteLine(user.DisplayName);
}
pagesLeft = Users.MorePagesAvailable;
Users = Users.GetNextPageAsync().Result;
Console.WriteLine("--- Page Break ---");
} while (pagesLeft);
Console.ReadLine();
}
private static async Task<string> GetToken()
{
AuthenticationContext authContext = new AuthenticationContext(String.Format(CultureInfo.InvariantCulture, aadinstance, tenant));
AuthenticationResult result = authContext.AcquireToken(graphResourceUrl, new ClientCredential(clientid, appkey));
return result.AccessToken;
}
}
}
我通过进一步的研究发现,为了按照我想要的方式使用图表 API,您必须提供图表资源 URL (https://graph.windows.net) AquireToken 方法,而不是您的应用 ID/URL.
所以,我接受 Shaun 的回答,但我也想给出我对该答案的工作结果。
谢谢大家的帮助!
Azure AD Service Principals 是我相信你想要的。这里是关于如何为您的应用程序创建一个文档。
您需要的是无需进行单点登录的访问令牌。 Rick Rainey 提供的 link 将帮助您入门。
您可以通过调用 AcquireTokenAsync 以编程方式获取访问令牌。有很多调用 AcquireTokenAsync 的方法,具体取决于您构建的应用程序类型以及您希望进行身份验证的方式。您需要决定是创建本地客户端应用程序还是 Web 应用程序。
根据应用程序类型,身份验证方式有很大差异。听起来您想在没有用户提示的情况下进行身份验证(即不请求输入 username/password。)以下对我有用,并且根本不涉及用户提示。他们每个人都使用以下常量,您需要从 manage.windowsazure.com 门户网站获取这些常量。如果您需要帮助找到其中任何一个,请在评论中告诉我。
private const string
DIRECTORY_TENANT_NAME = "mytenant.onmicrosoft.com",
DIRECTORY_TENANT_ID = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
RESOURCE_URL = "https://graph.windows.net",
SUBSCRIPTION_ID = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
AUTHORITY = "https://login.microsoftonline.com/" + DIRECTORY_TENANT_NAME,
// web application
CLIENT_ID_WEB = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
CLIENT_SECRET_WEB = "xxxxxxxx/xxxxxxxxxxxx/xxxxxxxx/xxxxxxxx=",
// native client application
CLIENT_ID_NATIVE = "xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx",
// adminstrator
USER_NAME = "myuser@mytenant.onmicrosoft.com",
USER_PASSWORD = "xxxxxxxxxx";
现在,您可以通过以下三个选项(尽管可能还有其他选项)获得令牌。我已经测试了以下各项,只要您正确配置了 Azure Active Directory 租户、用户和应用程序,它们都能正常工作。
AcquireToken(string resource, ClientAssertionCertificate clientCertificate) 适用于 Web 应用程序。这种方法的缺点是初始设置比较困难(PowerShell、证书创建)。优点是一旦设置就很容易使用。对于本机客户端应用程序,它不起作用并抛出此错误:AADSTS50012: Client is public so a 'client_assertion' should not be presented.
var authContext = new AuthenticationContext(AUTHORITY);
var store = new X509Store(StoreLocation.CurrentUser);
store.Open(OpenFlags.ReadOnly);
var certs = store
.Certificates
.Find(X509FindType.FindByIssuerName, "mvp2015", false);
var clientCertificate = new ClientAssertionCertificate(CLIENT_ID_WEB, certs[0]);
var result = authContext
.AcquireTokenAsync(RESOURCE, clientCertificate)
.Result;
AcquireToken(string resource, ClientCredential clientCredential) 适用于 Web 应用程序。它更容易设置,并且一旦设置就易于使用。本机客户端应用程序不支持这种方法,因为它们缺少客户端密钥。
var authContext = new AuthenticationContext(AUTHORITY);
var clientCredential = new ClientCredential(CLIENT_ID_WEB, CLIENT_SECRET_WEB);
var result = authContext
.AcquireTokenAsync(RESOURCE, clientCredential)
.Result;
AcquireToken(string resource, string clientId, UserCredential userCredential) 适用于本机客户端应用程序。 Web 应用程序失败并出现此错误:AADSTS90014: The request body must contain the following parameter: 'client_secret or client_assertion'. 一个问题是,您用来登录的用户必须在您的 Active Directory 中正确配置。
var authContext = new AuthenticationContext(AUTHORITY);
var userCredential = new UserCredential(USER_NAME, USER_PASSWORD);
var result = authContext
.AcquireTokenAsync(RESOURCE, CLIENT_ID_NATIVE, userCredential)
.Result;
使用首选方法获得令牌后,您就可以像这样使用 Active Directory Graph。为了便于阅读,它位于 Func 中,但您可以将 accessTokenGetter 放入它自己的方法中。
Func<Task<string>> accessTokenGetter = async () =>
{
var authContext = new AuthenticationContext(AUTHORITY, false);
var clientCredential = new ClientCredential(CLIENT_ID_WEB, CLIENT_SECRET_WEB);
var result = await authContext
.AcquireTokenAsync(RESOURCE_URL, clientCredential);
var token = result.AccessToken;
return token;
};
var uriRoot = new Uri(RESOURCE_URL);
var uriTenant = new Uri(uriRoot, DIRECTORY_TENANT_ID);
var client = new ActiveDirectoryClient(uriTenant, accessTokenGetter);
foreach (var u in client.Users.ExecuteAsync().Result.CurrentPage)
{
var n = u.DisplayName;
}
备注
- 当我们在 Azure Active Directory 租户的仪表板中时,
DIRECTORY_TENANT_ID位于 Web 浏览器的地址栏中。 manage.windowsazure.com > Active Directory > 一些租户。 - 在 Azure Active Directory 中创建应用程序后,我们需要配置其权限。这是在我们的应用程序配置选项卡的底部。 manage.windowsazure.com > Active Directory > 一些租户 > 应用程序 > 一些应用程序 > 配置。
- 上面的演示使用了两个 NuGet 包:
Microsoft.Azure.ActiveDirectory.GraphClient版本 2.1.0Microsoft.IdentityModel.Clients.ActiveDirectory版本 2.19.208020213
另请参阅
这里有个例子:https://github.com/AzureADSamples/ConsoleApp-GraphAPI-DotNet