获取用于调用 MS Dynamics 的 OpenID Connect / OAuth 访问令牌
Getting OpenID Connect / OAuth access token for calling MS Dynamics
我正在尝试在 ASP.NET Core 5 MVC 中研究“现代”身份验证方法,并处理 OAuth 和访问令牌以调用外部服务。
我在 Azure 中注册了一个应用程序,设置正常 - 这些是该应用程序的 API 权限:
我的目标是同时调用 MS Graph(多次调用)和 MS Dynamics365 来收集一些信息。我已经设法在我的 MVC 应用程序中使用 OAuth(或者是 OpenID Connect?我不太确定如何区分这两者)设置身份验证,就像这样(在 Startup.cs 中):
/* in appsettings.json:
"MicrosoftGraph": {
"Scopes": "user.read organization.read.all servicehealth.read.all servicemessage.read.all",
"BaseUrl": "https://graph.microsoft.com/v1.0"
},
*/
public void ConfigureServices(IServiceCollection services)
{
List<string> initialScopes = Configuration.GetValue<string>("MicrosoftGraph:Scopes")?.Split(' ').ToList();
services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
.AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
.EnableTokenAcquisitionToCallDownstreamApi(initialScopes)
.AddInMemoryTokenCaches();
// further service setups
}
它工作正常 - 系统提示我登录,提供我的凭据,并且在我的 MVC 应用程序中,我可以在登录后检查声明主体及其声明 - 到目前为止,一切似乎都很好。
下一步是调用下游 API。我研究了一些博客文章和教程,并提出了这个解决方案来获取访问令牌,它基于给定调用所需的 scope 的名称。这是我的代码(在 Razor 页面中,用于显示从 MS Graph 获取的数据):
public async Task OnGetAsync()
{
List<string> scopes = new List<string>();
scopes.Add("Organization.Read.All");
// fetch the OAuth access token for calling the MS Graph API
var accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(scopes);
HttpClient client = _factory.CreateClient();
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
client.DefaultRequestHeaders.Add("Accept", "application/json");
string graphUrl = "https://graph.microsoft.com/v1.0/subscribedSkus";
string responseJson = await client.GetStringAsync(graphUrl);
// further processing and display of data fetched from MS Graph
}
对于 MS Graph 范围,这工作得很好 - 我得到了我的访问令牌,我可以将其传递给我的 HttpClient,对 MS Graph 的调用成功,我得到了所需的信息。
当尝试使用相同的方法获取访问令牌来调用 MS Dynamics 时,挑战就开始了。我假设我只是指定了在 Azure AD 注册中定义的 API 权限的名称 - user_impersonation - 就像这样:
public async Task OnGetAsync()
{
List<string> scopes = new List<string>();
scopes.Add("user_impersonation");
var accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(scopes);
// further code
}
但现在除了错误我什么也没得到 - 就像这个:
An unhandled exception occurred while processing the request.
MsalUiRequiredException: AADSTS65001: The user or administrator has not consented to use the application with ID '257a582c-4461-40a4-95c3-2f257d2f8693' named 'BFH_Dyn365_Monitoring'. Send an interactive authorization request for this user and resource.
这很有趣,因为管理员同意已被授予 - 所以我不太确定问题出在哪里.....
然后我想也许我需要将 user_impersonation 添加到初始范围列表(如 appsettings.json 中定义并在 Startup.ConfigureServices 方法中使用) - 但添加此结果在另一个有趣的错误中:
An unhandled exception occurred while processing the request.
OpenIdConnectProtocolException: Message contains error: 'invalid_client', error_description: 'AADSTS650053: The application 'BFH_Dyn365_Monitoring' asked for scope 'user_impersonation' that doesn't exist on the resource '00000003-0000-0000-c000-000000000000'. Contact the app vendor.
奇怪的是 - 正如您在此处的第一个屏幕截图中所见 - 范围 IS 出现在应用程序注册中 - 所以我不完全确定为什么会抛出此异常....
任何人都可以从使用 OAuth 令牌调用 MS Dynamics 的经验中得到一些启示吗?这根本不可能,还是我在某处遗漏了一两步?
谢谢!马克
要获取 user_impersonation for Dynamics(而不是 Microsoft Graph)的令牌,您应该使用完整范围值:"{your CRM URL}/user_impersonation".
GetAccessTokenForUserAsync 中 scopes 参数值的完整格式是 {resource}/{scope},其中 {resource} 是 API 的 ID 或 URI您正在尝试访问,{scope} 是该资源的委派权限。
当你省略 {resource} 部分时,Microsoft Identity 平台假定你指的是 Microsoft Graph。因此,"Organization.Read.All" 被解释为 "https://graph.microsoft.com/Organization.Read.All"。
当您尝试为 "user_impersonation" 请求令牌时,请求失败,因为 Microsoft Graph 尚未授予此类权限。事实上,这样的权限甚至不存在(对于 Microsoft Graph),这解释了您看到的另一个错误。
我正在尝试在 ASP.NET Core 5 MVC 中研究“现代”身份验证方法,并处理 OAuth 和访问令牌以调用外部服务。
我在 Azure 中注册了一个应用程序,设置正常 - 这些是该应用程序的 API 权限:
我的目标是同时调用 MS Graph(多次调用)和 MS Dynamics365 来收集一些信息。我已经设法在我的 MVC 应用程序中使用 OAuth(或者是 OpenID Connect?我不太确定如何区分这两者)设置身份验证,就像这样(在 Startup.cs 中):
/* in appsettings.json:
"MicrosoftGraph": {
"Scopes": "user.read organization.read.all servicehealth.read.all servicemessage.read.all",
"BaseUrl": "https://graph.microsoft.com/v1.0"
},
*/
public void ConfigureServices(IServiceCollection services)
{
List<string> initialScopes = Configuration.GetValue<string>("MicrosoftGraph:Scopes")?.Split(' ').ToList();
services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
.AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
.EnableTokenAcquisitionToCallDownstreamApi(initialScopes)
.AddInMemoryTokenCaches();
// further service setups
}
它工作正常 - 系统提示我登录,提供我的凭据,并且在我的 MVC 应用程序中,我可以在登录后检查声明主体及其声明 - 到目前为止,一切似乎都很好。
下一步是调用下游 API。我研究了一些博客文章和教程,并提出了这个解决方案来获取访问令牌,它基于给定调用所需的 scope 的名称。这是我的代码(在 Razor 页面中,用于显示从 MS Graph 获取的数据):
public async Task OnGetAsync()
{
List<string> scopes = new List<string>();
scopes.Add("Organization.Read.All");
// fetch the OAuth access token for calling the MS Graph API
var accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(scopes);
HttpClient client = _factory.CreateClient();
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
client.DefaultRequestHeaders.Add("Accept", "application/json");
string graphUrl = "https://graph.microsoft.com/v1.0/subscribedSkus";
string responseJson = await client.GetStringAsync(graphUrl);
// further processing and display of data fetched from MS Graph
}
对于 MS Graph 范围,这工作得很好 - 我得到了我的访问令牌,我可以将其传递给我的 HttpClient,对 MS Graph 的调用成功,我得到了所需的信息。
当尝试使用相同的方法获取访问令牌来调用 MS Dynamics 时,挑战就开始了。我假设我只是指定了在 Azure AD 注册中定义的 API 权限的名称 - user_impersonation - 就像这样:
public async Task OnGetAsync()
{
List<string> scopes = new List<string>();
scopes.Add("user_impersonation");
var accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(scopes);
// further code
}
但现在除了错误我什么也没得到 - 就像这个:
An unhandled exception occurred while processing the request.
MsalUiRequiredException: AADSTS65001: The user or administrator has not consented to use the application with ID '257a582c-4461-40a4-95c3-2f257d2f8693' named 'BFH_Dyn365_Monitoring'. Send an interactive authorization request for this user and resource.
这很有趣,因为管理员同意已被授予 - 所以我不太确定问题出在哪里.....
然后我想也许我需要将 user_impersonation 添加到初始范围列表(如 appsettings.json 中定义并在 Startup.ConfigureServices 方法中使用) - 但添加此结果在另一个有趣的错误中:
An unhandled exception occurred while processing the request.
OpenIdConnectProtocolException: Message contains error: 'invalid_client', error_description: 'AADSTS650053: The application 'BFH_Dyn365_Monitoring' asked for scope 'user_impersonation' that doesn't exist on the resource '00000003-0000-0000-c000-000000000000'. Contact the app vendor.
奇怪的是 - 正如您在此处的第一个屏幕截图中所见 - 范围 IS 出现在应用程序注册中 - 所以我不完全确定为什么会抛出此异常....
任何人都可以从使用 OAuth 令牌调用 MS Dynamics 的经验中得到一些启示吗?这根本不可能,还是我在某处遗漏了一两步?
谢谢!马克
要获取 user_impersonation for Dynamics(而不是 Microsoft Graph)的令牌,您应该使用完整范围值:"{your CRM URL}/user_impersonation".
GetAccessTokenForUserAsync 中 scopes 参数值的完整格式是 {resource}/{scope},其中 {resource} 是 API 的 ID 或 URI您正在尝试访问,{scope} 是该资源的委派权限。
当你省略 {resource} 部分时,Microsoft Identity 平台假定你指的是 Microsoft Graph。因此,"Organization.Read.All" 被解释为 "https://graph.microsoft.com/Organization.Read.All"。
当您尝试为 "user_impersonation" 请求令牌时,请求失败,因为 Microsoft Graph 尚未授予此类权限。事实上,这样的权限甚至不存在(对于 Microsoft Graph),这解释了您看到的另一个错误。