即使管理员已经同意,也会触发 ADAL 用户同意

ADAL user consent triggered even when admin has already consented

我创建了一个 Web API,它使用 Azure Active Directory 进行身份验证。它使用多租户 AAD。为了测试它,我还创建了一个控制台应用程序,它使用 ADAL 库对 AAD 进行身份验证,这样我就可以访问我的 API。在主要的 AAD 租户中,一切都运行良好,因为我不需要授予任何东西。但是当从第二个租户访问应用程序时,我首先触发管理员同意流程(添加 prompt=admin_consent)。但是,当我退出并再次打开该应用程序时,如果我尝试使用对 AAD 没有管理员权限的用户登录,它会尝试打开用户同意并失败(因为用户无权允许访问AAD)。如果我已经给予管理员同意,用户不应该已经同意了吗?

测试应用程序的代码是:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Net.Http;
using System.Security.Authentication;
using System.Threading.Tasks;
using System.Web;
using Microsoft.IdentityModel.Clients.ActiveDirectory;
using Newtonsoft.Json;

namespace TestConsole
{
    internal class Program
    {
        private const string _commonAuthority = "https://login.microsoftonline.com/common/";

        private static void Main(string[] args)
        {
            ConsoleKeyInfo kinfo = Console.ReadKey(true);
            AuthenticationContext ac = new AuthenticationContext(_commonAuthority);
            while (kinfo.Key != ConsoleKey.Escape)
            {
                if (kinfo.Key == ConsoleKey.A)
                {
                    AuthenticationResult ar = ac.AcquireToken("https://babtecportal.onmicrosoft.com/Portal2015.Api", "client_id", new Uri("https://out.es"), PromptBehavior.Auto, UserIdentifier.AnyUser, "prompt=admin_consent");
                }
                else if (kinfo.Key == ConsoleKey.C)
                {
                    Console.WriteLine("Token cache length: {0}.", ac.TokenCache.Count);
                }
                else if (kinfo.Key == ConsoleKey.L)
                {
                    ac.TokenCache.Clear();
                    HttpClient client = new HttpClient();
                    var request = new HttpRequestMessage(HttpMethod.Get, _commonAuthority + "oauth2/logout?post_logout_redirect_uri=" + HttpUtility.UrlEncode("https://out.es"));
                    var response=client.SendAsync(request).Result;
                    Console.WriteLine(response.StatusCode);
                    ac=new AuthenticationContext(_commonAuthority);
                }
                else
                {
                    int num;
                    if (int.TryParse(Console.ReadLine(), out num))
                    {
                        try
                        {
                            AuthenticationResult ar = ac.AcquireToken("https://babtecportal.onmicrosoft.com/Portal2015.Api", "client_id", new Uri("http://out.es"),PromptBehavior.Auto,UserIdentifier.AnyUser);

                            ac = new AuthenticationContext(ac.TokenCache.ReadItems().First().Authority);
                            // Call Web API
                            string authHeader = ar.CreateAuthorizationHeader();
                            HttpClient client = new HttpClient();
                            HttpRequestMessage request = new HttpRequestMessage(HttpMethod.Get, string.Format("http://localhost:62607/api/Values?num={0}", num));
                            request.Headers.TryAddWithoutValidation("Authorization", authHeader);
                            HttpResponseMessage response = client.SendAsync(request).Result;
                            if (response.IsSuccessStatusCode)
                            {
                                string responseString = response.Content.ReadAsStringAsync().Result;
                                Values vals = JsonConvert.DeserializeObject<Values>(responseString);
                                Console.WriteLine("Username: {0}", vals.Username);
                                Console.WriteLine("Name: {0}", vals.FullName);
                                vals.Range.ToList().ForEach(Console.WriteLine);
                            }
                            else
                            {
                                Console.WriteLine("Status code: {0}", response.StatusCode);
                                Console.WriteLine("Reason: {0}", response.ReasonPhrase);
                            }
                        }
                        catch (AdalException ex)
                        {
                            Console.WriteLine(ex.Message);
                        }
                    }
                }
                kinfo = Console.ReadKey(true);
            }
        }
    }

    public class Values
    {
        public string Username { get; set; }
        public string FullName { get; set; }
        public IEnumerable<int> Range { get; set; }
    }
}

您的测试应用是本机客户端。在 OAuth 术语中,它是一个 public 客户端。这些条款适用于没有自己的客户端机密或证书凭据的任何客户端。管理员同意功能不适用于本机客户端,仅适用于 Web 应用程序。理想情况下,当尝试对本机应用程序进行管理员同意时,会返回一个错误,表明该组合不受支持。我们将考虑在未来返回此类错误以防止此类混淆。

同时,无法阻止用户在登录本机客户端时看到同意对话框。

如果本机应用程序正在调用 Web api,而本机应用程序和 Web api 都属于同一个 vendor/tenant,情况会稍微复杂一些。如果设置正确,则用户将看到一个组合的同意对话框,允许用户同意本机应用程序和网络 api。对网络的同意 api 将被永久记录。对本机应用程序的同意将仅适用于该登录会话,其方式与不涉及网络 api 时的方式相同。如果以这种方式涉及网络 api,则可以调用管理员同意。然后管理员可以代表所有用户同意网络 api。但是,个人用户仍然需要同意本机应用程序。

要正确设置此同意链,您需要在 Web api 的应用程序清单中使用 'knownClientApplication' 属性。您将此属性的值设置为本机应用程序的客户端 ID。您可以在这个示例中看到这样做:

https://github.com/AzureADSamples/NativeClient-WebAPI-MultiTenant-WindowsStore/blob/master/README.md

基本上您通过门户下载应用程序清单,更新此特定值,然后上传它。

这里有一些关于这些主题的更全面的文档:

https://msdn.microsoft.com/en-us/library/azure/dn132599.aspx

更新: 上面对调用 web api 的本机应用程序的解释中的规定之一是它们必须在同一个租户中。如果他们不在同一个租户中,那么事情就会变得更加复杂。当 ISV 创建了一个网站 API,他们希望将其提供给客户编写的应用程序时,就会出现这种情况。为了让一个应用程序获得资源的令牌,两个应用程序必须在同一个租户中注册。因此,客户需要做的第一件事就是在他们自己的租户中注册网络 api。如果网络 api 在应用程序库中,那么他们只需去那里安装应用程序。 ISV 不必将他们的应用程序放在应用程序库中以允许客户注册它,但注册会变得更加复杂。 ISV 需要创建一个网站,在 ISV 租户中注册,客户管理员可以访问该网站。该网站需要登录管理员以获取网络令牌 api,从而触发同意流程。完成后,api 将在客户租户中注册并可供客户应用使用。

要将您的应用加入应用程序库,请按照本页底部附近的说明进行操作:

http://azure.microsoft.com/en-us/marketplace/active-directory/