连接到 Azure AD 时如何创建客户端断言 JWT 令牌?
How to create Client Assertion JWT token when connecting to Azure AD?
我的问题是,在将授权代码发送回 Azure AD 以获取访问令牌时,我不确定使用什么来签署 JWT 令牌以进行客户端断言。支持的身份验证方法是“private_key_jwt”。唯一提供的是 client_id、tenant_id 和清单文件端点。
要完成整个过程,我们应该首先创建证书。我在这里使用 self-signed 证书进行演示。
第1步:创建.cer和.key文件,我们将.cer上传到Azure AD App并使用.key文件签署我们的JWT令牌。
1)通过Powershell创建一个密码为123456的自签名证书:
$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname stantest.com
$pwd = ConvertTo-SecureString -String '123456' -Force -AsPlainText
$path = 'cert:\localMachine\my\' + $cert.thumbprint
Export-PfxCertificate -cert $path -FilePath <path of your pfx file> -Password $pwd
2)在CMD中根据.pfx文件创建.cer文件:
openssl pkcs12 -in <path of .pfx file> -clcerts -nokeys -out <path of .cer>
3)在CMD:
中根据.pfx文件创建.key文件
openssl pkcs12 -in <path of .pfx file> -nocerts -nodes -out <path of .pem file>
openssl rsa -in <path of .pem file> -out <path of .key file>
最后,我们将得到以下文件:
第 2 步:将 .cer 文件上传到您的 Azure AD 应用并记下其指纹值:
第 3 步:使用下面的 python 代码签署 JWT 并交换 Microsoft Graph API 的访问令牌(确保您的应用已被授予权限列出用户):
import sys
import json
import logging
import requests
import msal
config = {
"client_id":"your application ID here",
"authority":"https://login.microsoftonline.com/Your tenant name or ID",
"thumbprint":"cert thumbprint value in step2",
"private_key_file":r"the path of .pem file of private key",
"scope": ["https://graph.microsoft.com/.default"],
"endpoint":"https://graph.microsoft.com/v1.0/users?$top=1"
}
app = msal.ConfidentialClientApplication(
config["client_id"], authority=config["authority"],
client_credential={"thumbprint": config["thumbprint"], "private_key": open(config['private_key_file']).read()},
)
result = app.acquire_token_for_client(scopes=config["scope"])
if "access_token" in result:
print("Access Token value: " + result['access_token']);
# Calling graph using the access token
graph_data = requests.get( # Use token to call downstream service
config["endpoint"],
headers={'Authorization': 'Bearer ' + result['access_token']},).json()
print("Graph API call result: %s" % json.dumps(graph_data, indent=2))
else:
print(result.get("error"))
print(result.get("error_description"))
print(result.get("correlation_id")) # You may need this when reporting a bug
结果:
我的问题是,在将授权代码发送回 Azure AD 以获取访问令牌时,我不确定使用什么来签署 JWT 令牌以进行客户端断言。支持的身份验证方法是“private_key_jwt”。唯一提供的是 client_id、tenant_id 和清单文件端点。
要完成整个过程,我们应该首先创建证书。我在这里使用 self-signed 证书进行演示。
第1步:创建.cer和.key文件,我们将.cer上传到Azure AD App并使用.key文件签署我们的JWT令牌。
1)通过Powershell创建一个密码为123456的自签名证书:
$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname stantest.com
$pwd = ConvertTo-SecureString -String '123456' -Force -AsPlainText
$path = 'cert:\localMachine\my\' + $cert.thumbprint
Export-PfxCertificate -cert $path -FilePath <path of your pfx file> -Password $pwd
2)在CMD中根据.pfx文件创建.cer文件:
openssl pkcs12 -in <path of .pfx file> -clcerts -nokeys -out <path of .cer>
3)在CMD:
中根据.pfx文件创建.key文件openssl pkcs12 -in <path of .pfx file> -nocerts -nodes -out <path of .pem file>
openssl rsa -in <path of .pem file> -out <path of .key file>
最后,我们将得到以下文件:
第 2 步:将 .cer 文件上传到您的 Azure AD 应用并记下其指纹值:
第 3 步:使用下面的 python 代码签署 JWT 并交换 Microsoft Graph API 的访问令牌(确保您的应用已被授予权限列出用户):
import sys
import json
import logging
import requests
import msal
config = {
"client_id":"your application ID here",
"authority":"https://login.microsoftonline.com/Your tenant name or ID",
"thumbprint":"cert thumbprint value in step2",
"private_key_file":r"the path of .pem file of private key",
"scope": ["https://graph.microsoft.com/.default"],
"endpoint":"https://graph.microsoft.com/v1.0/users?$top=1"
}
app = msal.ConfidentialClientApplication(
config["client_id"], authority=config["authority"],
client_credential={"thumbprint": config["thumbprint"], "private_key": open(config['private_key_file']).read()},
)
result = app.acquire_token_for_client(scopes=config["scope"])
if "access_token" in result:
print("Access Token value: " + result['access_token']);
# Calling graph using the access token
graph_data = requests.get( # Use token to call downstream service
config["endpoint"],
headers={'Authorization': 'Bearer ' + result['access_token']},).json()
print("Graph API call result: %s" % json.dumps(graph_data, indent=2))
else:
print(result.get("error"))
print(result.get("error_description"))
print(result.get("correlation_id")) # You may need this when reporting a bug
结果: