1

我正在尝试为我们的 Saas 产品创建 Azure AD 配置(使用 scim2)。我希望多个客户能够连接到他们的 Azure AD 租户。

微软在这里有参考代码:https ://github.com/AzureAD/SCIMReferenceCode

但是,这设置为只允许一个租户,并且不使用您在 azure ad 中设置的“秘密令牌”。即使评论明确指出秘密令牌不应留空以进行生产。

这是参考项目中的重要代码

// Leave the optional Secret Token field blank
            // Azure AD includes an OAuth bearer token issued from Azure AD with each request
            // The following code validates the Azure AD-issued token
            // NOTE: It's not recommended to leave this field blank and rely on a token generated by Azure AD. 
            //       This option is primarily available for testing purposes.
            services.AddAuthentication(options =>
            {
                options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            })
            .AddJwtBearer(options =>
            {
                options.Authority = this.configuration["Token:TokenIssuer"];
                options.Audience = this.configuration["Token:TokenAudience"];
                options.Events = new JwtBearerEvents
                {
                    OnTokenValidated = context =>
                    {
                        // NOTE: You can optionally take action when the OAuth 2.0 bearer token was validated.

                        return Task.CompletedTask;
                    },
                    OnAuthenticationFailed = AuthenticationFailed
                };
            });

使用该代码,假设 Token:TokenIssuer 设置为https://sts.windows.net/ <tenant_id>/ 其中tenant_id 是实际租户 ID,TokenAudience 是 8adf8e6e-67b2-4cf2-a259-e3dc5476c621 (非画廊应用程序)。但只有当我在天蓝色广告(企业应用程序下的非画廊应用程序)中设置“秘密令牌”时,它才有效。

我已经尝试了各种各样的事情,添加 OnChallenge 告诉我如果我设置了“秘密令牌”就会发送一个挑战,但除此之外我并没有走得更远。

在这里处理多个租户和秘密令牌的任何示例代码都会很棒

更新: 使用 options.TokenValidationParameters.IssuerValidator 我可以验证颁发者,从而使其与多个租户一起工作。我现在真正无法通过的是当我在这里输入“秘密令牌”时拨打电话:(见图)在此处输入图像描述

4

2 回答 2

1

所以我发现他们想要的是我生成的那个字段中的 JWT 令牌。

所以首先我创建了一个生成网络令牌的方法

private string GenerateJSONWebToken()
    {
        // Create token key
        SymmetricSecurityKey securityKey =
            new SymmetricSecurityKey(Encoding.UTF8.GetBytes(configuration["Token:TokenSigningKey"]));

        SigningCredentials credentials =
            new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);

        // Set token expiration
        DateTime startTime = DateTime.UtcNow;
        DateTime expiryTime = startTime.AddMinutes(120);
        
        // Generate the token
        JwtSecurityToken token =
            new JwtSecurityToken(
                configuration["Token:TokenIssuer"],
                configuration["Token:TokenAudience"],
                null,
                notBefore: startTime,
                expires: expiryTime,
                signingCredentials: credentials);

        string result = new JwtSecurityTokenHandler().WriteToken(token);
        return result;
    }

在我的 appsettings.json 我添加

{
"Logging": {
    ...
},
"Token": {
    "TokenAudience": "xxx-xxx-xxx-xxx",
    "TokenIssuer": "https://sts.windows.net/yyyy-yyyy-yyyy/",
    "TokenSigningKey": "zzz"
}
}
  1. 我设置为 8adf8e6e-67b2-4cf2-a259-e3dc5476c621 的令牌受众可以在此处阅读https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/use-scim-to-提供用户和组

TL;DR令牌的受众将是库中应用程序的应用程序模板 ID,所有自定义应用程序的应用程序模板 ID 是 8adf8e6e-67b2-4cf2-a259-e3dc5476c621

  1. TokenIssuer 的 yyyy 部分是 azure 广告租户的租户 id
  2. 来自签名密钥的 zzz 只是您选择的密钥。

现在最后我生成了一个包含来自 appsettings.json 的值的令牌。然后,我将此密钥粘贴到 Azure AD 中的“秘密令牌”字段中。

最后,如何制作这个多租户(我的下一步)

  1. 从 appsettings.json 中删除 Token:TokenIssuer
  2. 当您调用 GenerateJSONWebToken 在客户端 Azure AD 租户 ID 中发送并使用它而不是来自 appsettings.json 的静态值时(您的客户端会给您这个,或者您通过将应用程序连接到它们来获得它)
  3. 在 startup.cs 通知中,我已经实现了 IssuerValidator。更新此项以验证不是针对 appsettings.json 而是针对您的数据存储。
于 2020-10-14T14:39:19.963 回答
0

您可以访问Azure 门户中的管理企业应用程序的用户帐户配置,了解有关设置的更多信息:

在此处输入图像描述

于 2020-10-14T10:28:42.440 回答