6

我有一个 MVC 应用程序需要访问受 Azure AD 身份验证保护的 Azure 中的私有 API 应用程序。所以我需要获取 Azure AD 承载令牌,将其转换为Zumo-Auth令牌并使用它来访问 API 应用程序。

我正在阅读本教程,一切正常,直到我需要从authContext. 这是代码片段:

var authContext = new AuthenticationContext(
    "https://login.microsoftonline.com/MyADDomain.onmicrosoft.com");

ClientCredential credential = new ClientCredential(
    "04472E33-2638-FAKE-GUID-F826AF4928DB", 
    "OMYAPIKEY1x3BLAHEMMEHEHEHEHEeYSOMETHINGRc=");

// Get the AAD token.
var appIdUri = 
    "https://MyAppGateway-814485545465FAKE4d5a4532cd.azurewebsites.net/login/aad";

//var appIdUri = "https://MyADDomain.onmicrosoft.com/MyAppName";
//var appIdUri = "https://MyADDomain.onmicrosoft.com/";
//var appIdUri = "https://graph.windows.net";

AuthenticationResult result = 
    authContext.AcquireToken(appIdUri, credential); // <-- can't get the token from AD

// downhill from here
var aadToken = new JObject();
aadToken["access_token"] = result.AccessToken;
var appServiceClient = new AppServiceClient(
    "https://MyAppGateway-814485545465FAKE4d5a4532cd.azurewebsites.net/");

// Send the AAD token to the gateway and get a Zumo token
var appServiceUser = await appServiceClient.LoginAsync("aad", aadToken);

与 的行authContext.AcquireToken(appIdUri, credential)是引起麻烦的行。

如果appIdUri我给https://MyAppGateway-814485545465FAKE4d5a4532cd.azurewebsites.net/login/aad,我得到例外:

400: AdalServiceException: AADSTS50001: Resource ' https://MyAppGateway-814485545465FAKE4d5a4532cd.azurewebsites.net/login/aad ' 没有为该帐户注册。

但是这条确切的行在Reply UrlAD 应用程序的列表中

Azure AD 应用程序中的回复 URI

当我尝试使用https://MyADDomain.onmicrosoft.com/MyAppName或收到不同的异常消息时:https://MyADDomain.onmicrosoft.com/appIdUri

400:AdalServiceException:AADSTS50105:应用程序“04472E33-2638-FAKE-GUID-F826AF4928DB”未分配给应用程序“ https://MyADDomain.onmicrosoft.com/MyAppName ”的角色

或者

400:AdalServiceException:AADSTS50105:应用程序“04472E33-2638-FAKE-GUID-F826AF4928DB”未分配给应用程序“ https://MyADDomain.onmicrosoft.com/ ”的角色

在这两种情况下,我都App ID URI将 AD 应用程序中的设置为“ https://MyADDomain.onmicrosoft.com/MyAppName ”或“ https://MyADDomain.onmicrosoft.com/ ”。以及列表中的两个名称Reply URL

最终,经过足够多的尝试,我将https://graph.windows.netas放入appIdUri并取回了不记名令牌。但是令牌的有效期是过去的(大约过去 1 分钟)。所以我对此无能为力。并401-Unauthenticated在尝试使用令牌登录 API 应用程序时得到。

我错过了什么?

4

1 回答 1

8

我已经继续并按照您提到的教程进行操作:Call an Azure API app from a web app client authenticated by Azure Active Directory

  1. 创建一个返回联系人数据的 Azure API Api
  2. 将 API 应用部署到 Azure 应用服务。
  3. 使用 Azure Active Directory 保护 API 应用程序。

然后我能够检索到令牌,正如您从以下演示中看到的那样,我的代码与您的代码没有什么不同,只是它使用了更高版本的using Microsoft.IdentityModel.Clients.ActiveDirectory库,它使用Async.

从 AAD 获取访问令牌

class Program
{
    static void Main(string[] args)
    {
        var authContext = new AuthenticationContext(Constants.AUTHORITY);
        var credential = 
            new ClientCredential(Constants.CLIENT_ID, Constants.CLIENT_SECRET);
        var result = (AuthenticationResult)authContext
            .AcquireTokenAsync(Constants.API_ID_URL, credential)
            .Result;
        var token = result.AccessToken;
        Console.WriteLine(token.ToString());
        Console.ReadLine();
    }
}

常数

AUTHORITY. 第一部分是https://login.microsoftonline.com。最后一段是允许的租户。我们在 portal.azure.com 上设置了允许的租户,转到我们的应用程序的网关,然后选择设置 > 身份 > Azure Active Directory > 允许的租户。我的租户是 bigfontoutlook.onmicrosoft.com。

CLIENT_ID. 我们从添加到 Azure Active Directory 的应用程序中检索此客户端 ID。在 manage.windowsazure.com > Active Directory > 您的目录 > 应用程序 > 您的应用程序 > 配置中找到它。一旦我们检索到它,我们必须将它添加到我们网关的客户端 ID 字段中的 Azure Active Directory 设置中。

CLIENT_SECRET. 我们在检索客户 ID 的同一位置创建/检索它。

API_ID_URL. 我们通过选择设置 > 身份 > Azure Active Directory > 应用程序 URL 在网关刀片中为我们的 Web API 应用程序检索此信息。

以下是对我有用的。

class Constants
{
    public const string AUTHORITY =
     "https://login.microsoftonline.com/bigfontoutlook.onmicrosoft.com/";

    public const string CLIENT_ID = 
      "0d7dce06-c3e3-441f-89a7-f828e210ff6d";

    public const string CLIENT_SECRET =
      "AtRMr+Rijrgod4b9Q34i/UILldyJ2VO6n2jswkcVNDs=";

    public const string API_ID_URL = 
      "https://mvp201514929cfaaf694.azurewebsites.net/login/aad";
}

最终解码的 JWT

这就是解码的 JWT 访问令牌所包含的内容。

{
 typ: "JWT",
 alg: "RS256",
 x5t: "MnC_VZcATfM5pOYiJHMba9goEKY",
 kid: "MnC_VZcATfM5pOYiJHMba9goEKY"
}.
{
 aud: "https://mvp201514929cfc350148cfa5c9b24a7daaf694.azurewebsites.net/login/aad",
 iss: "https://sts.windows.net/0252f597-5d7e-4722-bafa-0b26f37dc14f/",
 iat: 1442346927,
 nbf: 1442346927,
 exp: 1442350827,
 ver: "1.0",
 tid: "0252f597-5d7e-4722-bafa-0b26f37dc14f",
 oid: "5a6f33eb-b622-4996-8a6a-600dce355389",
 sub: "5a6f33eb-b622-4996-8a6a-600dce355389",
 idp: "https://sts.windows.net/0252f597-5d7e-4722-bafa-0b26f37dc14f/",
 appid: "0d7dce06-c3e3-441f-89a7-f828e210ff6d",
 appidacr: "1"
}.

注意:它是一次性活动目录帐户中的一次性应用程序,带有一次性资源组,因此显示我的安全凭据不是问题。

图表只是为了确定:)

使用 Azure ADD 连接点

于 2015-09-15T19:40:58.483 回答