当 Web 应用程序向 Microsoft Graph 验证访问者和自身时,身份验证流程
Authentication flows when a web app authenticate visitors and itself towards Microsoft Graph
我正在尝试构建一个小型 Web 应用程序,它将使用 Azure AD 对访问用户进行身份验证,然后将用户添加到 Azure AD 中的指定组。使用的组件是 C#/dotnet 核心、MSAL 和用于 .NET 的 Microsoft Graph 库。
步骤很简单:
- 用户访问网站。
- 用户获得针对 Azure AD 的身份验证
w/OpenID连接。
- 认证成功后,网站
使用 Microsoft 将用户添加为特定 Azure AD 组中的成员
图 API.
- 向用户显示操作状态。
应用程序在 Azure AD 中注册,具有隐式授权(用于 ID 令牌)和以下 Azure AD 权限:
- 微软图表:Group.ReadWrite.All
- 微软图表:User.Read.All
控制器看起来像这样:
public async Task<string> Test()
{
//get authenticated user
var identity = User.Identity as ClaimsIdentity;
string preferred_username = identity.Claims.FirstOrDefault(c => c.Type == "preferred_username")?.Value;
//get appsettings.json
var azureAdOptions = new AzureADOptions();
_configuration.Bind("AzureAd", azureAdOptions);
//do Microsoft Graph stuff
GraphServiceClient graphClient = new GraphServiceClient(new DelegateAuthenticationProvider(
async requestMessage =>
{
string authority = $"{azureAdOptions.Instance}{azureAdOptions.TenantId}";
ClientCredential clientCredentials = new ClientCredential(azureAdOptions.ClientSecret);
var app = new ConfidentialClientApplication(azureAdOptions.ClientId, authority, "https://daemon",
clientCredentials, null, new TokenCache());
string[] scopes = new string[] { "https://graph.microsoft.com/.default" };
// Passing tenant ID to the sample auth provider to use as a cache key
AuthenticationResult authResult = null;
authResult = await app.AcquireTokenForClientAsync(scopes);
// Append the access token to the request
requestMessage.Headers.Authorization = new AuthenticationHeaderValue("Bearer", authResult.AccessToken);
}));
User userToAdd = await graphClient.Users[preferred_username].Request().GetAsync();
await graphClient.Groups["c388b7a4-2a22-4e3f-ac11-900cef9f74c6"].Members.References.Request().AddAsync(userToAdd);
return $"added {userToAdd.DisplayName} to group";
}
Startup.cs 看起来像这样:
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication(AzureADDefaults.AuthenticationScheme)
.AddAzureAD(options => Configuration.Bind("AzureAd", options));
services.Configure<OpenIdConnectOptions>(AzureADDefaults.OpenIdScheme, options =>
{
options.Authority = options.Authority + "/v2.0/";
options.TokenValidationParameters.ValidateIssuer = true;
});
services.AddMvc(options =>
{
var policy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
options.Filters.Add(new AuthorizeFilter(policy));
})
.SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
else
{
app.UseExceptionHandler("/Home/Error");
}
app.UseHttpsRedirection();
app.UseStaticFiles();
app.UseAuthentication();
app.UseMvc(routes =>
{
routes.MapRoute(
name: "default",
template: "{controller=Home}/{action=Index}/{id?}");
});
}
使用此代码,我有两个身份验证流程。一种用于对访问用户进行身份验证,另一种用于针对 Microsoft Graph 对应用程序进行身份验证。这背后的基本原理是用户没有足够的权限将成员添加到组中。该代码完全符合预期。
针对单个 Azure AD 应用程序注册的双重身份验证流程是确保实现这一目标的最佳方式,还是有一种更时尚的设计,只需要一个身份验证流程?
据我所知,您确实需要支持这两个流程。您的用户需要一个令牌来与您的 Web 应用程序对话,而您的 Web 应用程序需要一个不同的令牌来与 Graph 对话。
希望您很快不需要 DelegateAuthenticationProvider 中的所有代码,因为我们很快就会预览一堆基于场景的 AuthenticationProvider。 ClientCredentialProvider 应该为您完成所有工作。
我正在尝试构建一个小型 Web 应用程序,它将使用 Azure AD 对访问用户进行身份验证,然后将用户添加到 Azure AD 中的指定组。使用的组件是 C#/dotnet 核心、MSAL 和用于 .NET 的 Microsoft Graph 库。
步骤很简单:
- 用户访问网站。
- 用户获得针对 Azure AD 的身份验证 w/OpenID连接。
- 认证成功后,网站 使用 Microsoft 将用户添加为特定 Azure AD 组中的成员 图 API.
- 向用户显示操作状态。
应用程序在 Azure AD 中注册,具有隐式授权(用于 ID 令牌)和以下 Azure AD 权限:
- 微软图表:Group.ReadWrite.All
- 微软图表:User.Read.All
控制器看起来像这样:
public async Task<string> Test()
{
//get authenticated user
var identity = User.Identity as ClaimsIdentity;
string preferred_username = identity.Claims.FirstOrDefault(c => c.Type == "preferred_username")?.Value;
//get appsettings.json
var azureAdOptions = new AzureADOptions();
_configuration.Bind("AzureAd", azureAdOptions);
//do Microsoft Graph stuff
GraphServiceClient graphClient = new GraphServiceClient(new DelegateAuthenticationProvider(
async requestMessage =>
{
string authority = $"{azureAdOptions.Instance}{azureAdOptions.TenantId}";
ClientCredential clientCredentials = new ClientCredential(azureAdOptions.ClientSecret);
var app = new ConfidentialClientApplication(azureAdOptions.ClientId, authority, "https://daemon",
clientCredentials, null, new TokenCache());
string[] scopes = new string[] { "https://graph.microsoft.com/.default" };
// Passing tenant ID to the sample auth provider to use as a cache key
AuthenticationResult authResult = null;
authResult = await app.AcquireTokenForClientAsync(scopes);
// Append the access token to the request
requestMessage.Headers.Authorization = new AuthenticationHeaderValue("Bearer", authResult.AccessToken);
}));
User userToAdd = await graphClient.Users[preferred_username].Request().GetAsync();
await graphClient.Groups["c388b7a4-2a22-4e3f-ac11-900cef9f74c6"].Members.References.Request().AddAsync(userToAdd);
return $"added {userToAdd.DisplayName} to group";
}
Startup.cs 看起来像这样:
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication(AzureADDefaults.AuthenticationScheme)
.AddAzureAD(options => Configuration.Bind("AzureAd", options));
services.Configure<OpenIdConnectOptions>(AzureADDefaults.OpenIdScheme, options =>
{
options.Authority = options.Authority + "/v2.0/";
options.TokenValidationParameters.ValidateIssuer = true;
});
services.AddMvc(options =>
{
var policy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
options.Filters.Add(new AuthorizeFilter(policy));
})
.SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
else
{
app.UseExceptionHandler("/Home/Error");
}
app.UseHttpsRedirection();
app.UseStaticFiles();
app.UseAuthentication();
app.UseMvc(routes =>
{
routes.MapRoute(
name: "default",
template: "{controller=Home}/{action=Index}/{id?}");
});
}
使用此代码,我有两个身份验证流程。一种用于对访问用户进行身份验证,另一种用于针对 Microsoft Graph 对应用程序进行身份验证。这背后的基本原理是用户没有足够的权限将成员添加到组中。该代码完全符合预期。
针对单个 Azure AD 应用程序注册的双重身份验证流程是确保实现这一目标的最佳方式,还是有一种更时尚的设计,只需要一个身份验证流程?
据我所知,您确实需要支持这两个流程。您的用户需要一个令牌来与您的 Web 应用程序对话,而您的 Web 应用程序需要一个不同的令牌来与 Graph 对话。
希望您很快不需要 DelegateAuthenticationProvider 中的所有代码,因为我们很快就会预览一堆基于场景的 AuthenticationProvider。 ClientCredentialProvider 应该为您完成所有工作。