即使管理员已经同意,也会触发 ADAL 用户同意
ADAL user consent triggered even when admin has already consented
我创建了一个 Web API,它使用 Azure Active Directory 进行身份验证。它使用多租户 AAD。为了测试它,我还创建了一个控制台应用程序,它使用 ADAL 库对 AAD 进行身份验证,这样我就可以访问我的 API。在主要的 AAD 租户中,一切都运行良好,因为我不需要授予任何东西。但是当从第二个租户访问应用程序时,我首先触发管理员同意流程(添加 prompt=admin_consent)。但是,当我退出并再次打开该应用程序时,如果我尝试使用对 AAD 没有管理员权限的用户登录,它会尝试打开用户同意并失败(因为用户无权允许访问AAD)。如果我已经给予管理员同意,用户不应该已经同意了吗?
测试应用程序的代码是:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Net.Http;
using System.Security.Authentication;
using System.Threading.Tasks;
using System.Web;
using Microsoft.IdentityModel.Clients.ActiveDirectory;
using Newtonsoft.Json;
namespace TestConsole
{
internal class Program
{
private const string _commonAuthority = "https://login.microsoftonline.com/common/";
private static void Main(string[] args)
{
ConsoleKeyInfo kinfo = Console.ReadKey(true);
AuthenticationContext ac = new AuthenticationContext(_commonAuthority);
while (kinfo.Key != ConsoleKey.Escape)
{
if (kinfo.Key == ConsoleKey.A)
{
AuthenticationResult ar = ac.AcquireToken("https://babtecportal.onmicrosoft.com/Portal2015.Api", "client_id", new Uri("https://out.es"), PromptBehavior.Auto, UserIdentifier.AnyUser, "prompt=admin_consent");
}
else if (kinfo.Key == ConsoleKey.C)
{
Console.WriteLine("Token cache length: {0}.", ac.TokenCache.Count);
}
else if (kinfo.Key == ConsoleKey.L)
{
ac.TokenCache.Clear();
HttpClient client = new HttpClient();
var request = new HttpRequestMessage(HttpMethod.Get, _commonAuthority + "oauth2/logout?post_logout_redirect_uri=" + HttpUtility.UrlEncode("https://out.es"));
var response=client.SendAsync(request).Result;
Console.WriteLine(response.StatusCode);
ac=new AuthenticationContext(_commonAuthority);
}
else
{
int num;
if (int.TryParse(Console.ReadLine(), out num))
{
try
{
AuthenticationResult ar = ac.AcquireToken("https://babtecportal.onmicrosoft.com/Portal2015.Api", "client_id", new Uri("http://out.es"),PromptBehavior.Auto,UserIdentifier.AnyUser);
ac = new AuthenticationContext(ac.TokenCache.ReadItems().First().Authority);
// Call Web API
string authHeader = ar.CreateAuthorizationHeader();
HttpClient client = new HttpClient();
HttpRequestMessage request = new HttpRequestMessage(HttpMethod.Get, string.Format("http://localhost:62607/api/Values?num={0}", num));
request.Headers.TryAddWithoutValidation("Authorization", authHeader);
HttpResponseMessage response = client.SendAsync(request).Result;
if (response.IsSuccessStatusCode)
{
string responseString = response.Content.ReadAsStringAsync().Result;
Values vals = JsonConvert.DeserializeObject<Values>(responseString);
Console.WriteLine("Username: {0}", vals.Username);
Console.WriteLine("Name: {0}", vals.FullName);
vals.Range.ToList().ForEach(Console.WriteLine);
}
else
{
Console.WriteLine("Status code: {0}", response.StatusCode);
Console.WriteLine("Reason: {0}", response.ReasonPhrase);
}
}
catch (AdalException ex)
{
Console.WriteLine(ex.Message);
}
}
}
kinfo = Console.ReadKey(true);
}
}
}
public class Values
{
public string Username { get; set; }
public string FullName { get; set; }
public IEnumerable<int> Range { get; set; }
}
}
您的测试应用是本机客户端。在 OAuth 术语中,它是一个 public 客户端。这些条款适用于没有自己的客户端机密或证书凭据的任何客户端。管理员同意功能不适用于本机客户端,仅适用于 Web 应用程序。理想情况下,当尝试对本机应用程序进行管理员同意时,会返回一个错误,表明该组合不受支持。我们将考虑在未来返回此类错误以防止此类混淆。
同时,无法阻止用户在登录本机客户端时看到同意对话框。
如果本机应用程序正在调用 Web api,而本机应用程序和 Web api 都属于同一个 vendor/tenant,情况会稍微复杂一些。如果设置正确,则用户将看到一个组合的同意对话框,允许用户同意本机应用程序和网络 api。对网络的同意 api 将被永久记录。对本机应用程序的同意将仅适用于该登录会话,其方式与不涉及网络 api 时的方式相同。如果以这种方式涉及网络 api,则可以调用管理员同意。然后管理员可以代表所有用户同意网络 api。但是,个人用户仍然需要同意本机应用程序。
要正确设置此同意链,您需要在 Web api 的应用程序清单中使用 'knownClientApplication' 属性。您将此属性的值设置为本机应用程序的客户端 ID。您可以在这个示例中看到这样做:
https://github.com/AzureADSamples/NativeClient-WebAPI-MultiTenant-WindowsStore/blob/master/README.md
基本上您通过门户下载应用程序清单,更新此特定值,然后上传它。
这里有一些关于这些主题的更全面的文档:
https://msdn.microsoft.com/en-us/library/azure/dn132599.aspx
更新:
上面对调用 web api 的本机应用程序的解释中的规定之一是它们必须在同一个租户中。如果他们不在同一个租户中,那么事情就会变得更加复杂。当 ISV 创建了一个网站 API,他们希望将其提供给客户编写的应用程序时,就会出现这种情况。为了让一个应用程序获得资源的令牌,两个应用程序必须在同一个租户中注册。因此,客户需要做的第一件事就是在他们自己的租户中注册网络 api。如果网络 api 在应用程序库中,那么他们只需去那里安装应用程序。 ISV 不必将他们的应用程序放在应用程序库中以允许客户注册它,但注册会变得更加复杂。 ISV 需要创建一个网站,在 ISV 租户中注册,客户管理员可以访问该网站。该网站需要登录管理员以获取网络令牌 api,从而触发同意流程。完成后,api 将在客户租户中注册并可供客户应用使用。
要将您的应用加入应用程序库,请按照本页底部附近的说明进行操作:
http://azure.microsoft.com/en-us/marketplace/active-directory/
我创建了一个 Web API,它使用 Azure Active Directory 进行身份验证。它使用多租户 AAD。为了测试它,我还创建了一个控制台应用程序,它使用 ADAL 库对 AAD 进行身份验证,这样我就可以访问我的 API。在主要的 AAD 租户中,一切都运行良好,因为我不需要授予任何东西。但是当从第二个租户访问应用程序时,我首先触发管理员同意流程(添加 prompt=admin_consent)。但是,当我退出并再次打开该应用程序时,如果我尝试使用对 AAD 没有管理员权限的用户登录,它会尝试打开用户同意并失败(因为用户无权允许访问AAD)。如果我已经给予管理员同意,用户不应该已经同意了吗?
测试应用程序的代码是:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Net.Http;
using System.Security.Authentication;
using System.Threading.Tasks;
using System.Web;
using Microsoft.IdentityModel.Clients.ActiveDirectory;
using Newtonsoft.Json;
namespace TestConsole
{
internal class Program
{
private const string _commonAuthority = "https://login.microsoftonline.com/common/";
private static void Main(string[] args)
{
ConsoleKeyInfo kinfo = Console.ReadKey(true);
AuthenticationContext ac = new AuthenticationContext(_commonAuthority);
while (kinfo.Key != ConsoleKey.Escape)
{
if (kinfo.Key == ConsoleKey.A)
{
AuthenticationResult ar = ac.AcquireToken("https://babtecportal.onmicrosoft.com/Portal2015.Api", "client_id", new Uri("https://out.es"), PromptBehavior.Auto, UserIdentifier.AnyUser, "prompt=admin_consent");
}
else if (kinfo.Key == ConsoleKey.C)
{
Console.WriteLine("Token cache length: {0}.", ac.TokenCache.Count);
}
else if (kinfo.Key == ConsoleKey.L)
{
ac.TokenCache.Clear();
HttpClient client = new HttpClient();
var request = new HttpRequestMessage(HttpMethod.Get, _commonAuthority + "oauth2/logout?post_logout_redirect_uri=" + HttpUtility.UrlEncode("https://out.es"));
var response=client.SendAsync(request).Result;
Console.WriteLine(response.StatusCode);
ac=new AuthenticationContext(_commonAuthority);
}
else
{
int num;
if (int.TryParse(Console.ReadLine(), out num))
{
try
{
AuthenticationResult ar = ac.AcquireToken("https://babtecportal.onmicrosoft.com/Portal2015.Api", "client_id", new Uri("http://out.es"),PromptBehavior.Auto,UserIdentifier.AnyUser);
ac = new AuthenticationContext(ac.TokenCache.ReadItems().First().Authority);
// Call Web API
string authHeader = ar.CreateAuthorizationHeader();
HttpClient client = new HttpClient();
HttpRequestMessage request = new HttpRequestMessage(HttpMethod.Get, string.Format("http://localhost:62607/api/Values?num={0}", num));
request.Headers.TryAddWithoutValidation("Authorization", authHeader);
HttpResponseMessage response = client.SendAsync(request).Result;
if (response.IsSuccessStatusCode)
{
string responseString = response.Content.ReadAsStringAsync().Result;
Values vals = JsonConvert.DeserializeObject<Values>(responseString);
Console.WriteLine("Username: {0}", vals.Username);
Console.WriteLine("Name: {0}", vals.FullName);
vals.Range.ToList().ForEach(Console.WriteLine);
}
else
{
Console.WriteLine("Status code: {0}", response.StatusCode);
Console.WriteLine("Reason: {0}", response.ReasonPhrase);
}
}
catch (AdalException ex)
{
Console.WriteLine(ex.Message);
}
}
}
kinfo = Console.ReadKey(true);
}
}
}
public class Values
{
public string Username { get; set; }
public string FullName { get; set; }
public IEnumerable<int> Range { get; set; }
}
}
您的测试应用是本机客户端。在 OAuth 术语中,它是一个 public 客户端。这些条款适用于没有自己的客户端机密或证书凭据的任何客户端。管理员同意功能不适用于本机客户端,仅适用于 Web 应用程序。理想情况下,当尝试对本机应用程序进行管理员同意时,会返回一个错误,表明该组合不受支持。我们将考虑在未来返回此类错误以防止此类混淆。
同时,无法阻止用户在登录本机客户端时看到同意对话框。
如果本机应用程序正在调用 Web api,而本机应用程序和 Web api 都属于同一个 vendor/tenant,情况会稍微复杂一些。如果设置正确,则用户将看到一个组合的同意对话框,允许用户同意本机应用程序和网络 api。对网络的同意 api 将被永久记录。对本机应用程序的同意将仅适用于该登录会话,其方式与不涉及网络 api 时的方式相同。如果以这种方式涉及网络 api,则可以调用管理员同意。然后管理员可以代表所有用户同意网络 api。但是,个人用户仍然需要同意本机应用程序。
要正确设置此同意链,您需要在 Web api 的应用程序清单中使用 'knownClientApplication' 属性。您将此属性的值设置为本机应用程序的客户端 ID。您可以在这个示例中看到这样做:
https://github.com/AzureADSamples/NativeClient-WebAPI-MultiTenant-WindowsStore/blob/master/README.md
基本上您通过门户下载应用程序清单,更新此特定值,然后上传它。
这里有一些关于这些主题的更全面的文档:
https://msdn.microsoft.com/en-us/library/azure/dn132599.aspx
更新: 上面对调用 web api 的本机应用程序的解释中的规定之一是它们必须在同一个租户中。如果他们不在同一个租户中,那么事情就会变得更加复杂。当 ISV 创建了一个网站 API,他们希望将其提供给客户编写的应用程序时,就会出现这种情况。为了让一个应用程序获得资源的令牌,两个应用程序必须在同一个租户中注册。因此,客户需要做的第一件事就是在他们自己的租户中注册网络 api。如果网络 api 在应用程序库中,那么他们只需去那里安装应用程序。 ISV 不必将他们的应用程序放在应用程序库中以允许客户注册它,但注册会变得更加复杂。 ISV 需要创建一个网站,在 ISV 租户中注册,客户管理员可以访问该网站。该网站需要登录管理员以获取网络令牌 api,从而触发同意流程。完成后,api 将在客户租户中注册并可供客户应用使用。
要将您的应用加入应用程序库,请按照本页底部附近的说明进行操作:
http://azure.microsoft.com/en-us/marketplace/active-directory/