Краткое руководство: вызов веб-API в примере демон-приложения

• Минимальное требование пакета SDK для .NET 6.0.
• Visual Studio 2022 или Visual Studio Code.

• Node.js.
• Visual Studio Code или другой редактор кода.

• Python 3+.
• Visual Studio Code или другой редактор кода.

• пакет средств разработки Java (JDK) 8 или более поздней версии.
• Maven.
• Подходящий редактор кода.

Для .NET демон-приложения вам не нужно предоставлять или соглашаться на какие-либо разрешения. Это демон-приложение считывает информацию о собственной регистрации, поэтому ему не нужны какие-либо разрешения приложения.

1. На странице регистрации приложений выберите созданное приложение, например ciam-client-app.

2. В разделе Управлениевыберите разрешения API.

3. В разделе Настроенные разрешениявыберите Добавить разрешение.

4. На вкладке Microsoft APIs выберите разрешения приложений Microsoft Graph>>. Мы выбираем параметр "Разрешения приложения", так как приложение входит от своего имени, но не от имени пользователя.

5. В списке Список разрешений найдите и выберите User.Read.All. Мы предоставляем это разрешение, чтобы приложение могло читать полные профили всех пользователей.

6. Нажмите кнопку Добавить разрешения.

7. На этом этапе вы правильно назначили разрешения. Однако, так как приложение управляющей программы не позволяет пользователям взаимодействовать с ним, сами пользователи не могут согласиться на эти разрешения. Вы, как администратор клиента, должны согласиться с этими разрешениями от имени всех пользователей в клиенте:

   1. Выберите предоставить согласие администратора для <вашего арендатора>, а затем выберите Да.
   2. Выберите Обновить, а затем убедитесь, что предоставлено <имя клиента> отображается в разделе Состояние для обоих разрешений.

1. На странице регистрации приложений выберите приложение, которое вы создали, например ciam-client-app.

2. В разделе Управление, перейдите к пункту Разрешения API.

3. В разделе Настроенные разрешениявыберите Добавить разрешение.

4. На вкладке API Майкрософт выберите разрешения приложений Microsoft Graph >>. Мы выбираем вариант разрешения приложения, так как приложение входит в систему от своего имени, а не от имени пользователя.

5. В списке Выбор разрешений найдите и выберите User.Read.All. Мы предоставляем это разрешение, чтобы приложение могло получить доступ к полным профилям всех пользователей.

6. Нажмите кнопку Добавить разрешения.

7. На этом этапе вы правильно назначили разрешения. Однако, так как приложение управляющей программы не позволяет пользователям взаимодействовать с ним, сами пользователи не могут согласиться на эти разрешения. Вы, как администратор клиента, должны согласиться с этими разрешениями от имени всех пользователей в клиенте:

   1. Выберите предоставить согласие администратора для <имени клиента>, а затем выберите Да.
   2. Выберите Обновить, а затем убедитесь, что предоставлено <имя клиента> отображается в разделе Состояние для обоих разрешений.

1. На странице регистрации приложений выберите приложение, которое вы создали, например ciam-client-app.

2. В разделе Управлениевыберите разрешения API.

3. В разделе Настроенные разрешениявыберите Добавить разрешение.

4. На вкладке API Майкрософт выберите разрешения приложений Microsoft Graph >>. Мы выбираем параметр Разрешения приложения, так как приложение входит в систему от собственного имени, но не от имени пользователя.

5. В списке Выбор разрешений найдите User.Read.All. Мы предоставляем это разрешение, чтобы приложение могло читать полные профили всех пользователей.

6. Нажмите кнопку Добавить разрешения.

7. На этом этапе вы правильно назначили разрешения. Однако, так как приложение управляющей программы не позволяет пользователям взаимодействовать с ним, сами пользователи не могут согласиться на эти разрешения. Вы, как администратор клиента, должны согласиться с этими разрешениями от имени всех пользователей в клиенте:

   1. Выберите предоставить согласие администратора для <имени клиента>, а затем выберите Да.
   2. Выберите Обновить, а затем убедитесь, что предоставлено для <вашего арендатора> отображается в разделе Статус для обоих разрешений.

git clone https://github.com/Azure-Samples/ms-identity-docs-code-dotnet.git

• Скачайте .zip файл. Извлеките его в путь к файлу, где имя имеет длину меньше 260 символов.

git clone https://github.com/azure-samples/ms-identity-javascript-nodejs-console.git 

• Скачайте .zip файл. Извлеките его в путь к файлу, где длина имени меньше 260 символов.

git clone https://github.com/Azure-Samples/ms-identity-python-daemon.git 

• Скачайте .zip файл. Извлеките его в путь файла, где длина имени меньше 260 символов.

git clone https://github.com/Azure-Samples/ms-identity-java-daemon.git

• Скачайте файл .zip. Извлеките его в путь к файлу, где длина имени меньше 260 символов.

1. Откройте окно консоли и перейдите к каталогу ms-identity-docs-code-dotnet/console-daemon:

   cd ms-identity-docs-code-dotnet/console-daemon
   

2. Откройте Program.cs и замените содержимое файла следующим фрагментом кода;

    // Full directory URL, in the form of https://login.microsoftonline.com/<tenant_id>
    Authority = " https://login.microsoftonline.com/Enter_the_tenant_ID_obtained_from_the_Microsoft_Entra_admin_center",
    // 'Enter the client ID obtained from the Microsoft Entra admin center
    ClientId = "Enter the client ID obtained from the Microsoft Entra admin center",
    // Client secret 'Value' (not its ID) from 'Client secrets' in the Microsoft Entra admin center
    ClientSecret = "Enter the client secret value obtained from the Mifcrosoft Entra admin center",
    // Client 'Object ID' of app registration in Microsoft Entra admin center - this value is a GUID
    ClientObjectId = "Enter the client Object ID obtained from the Microsoft Entra admin center"
   

   • Authority - Орган — это URL-адрес, указывающий каталог, из которого MSAL может запрашивать токены. Замените Enter_the_tenant_ID_obtained_from_the_Microsoft_Entra_admin_center данными Идентификатор каталога (арендатора), записанными ранее.
   • ClientId — идентификатор приложения, который также называется клиентом. Замените текст в кавычках значением Application (client) ID, записанным ранее на странице обзора зарегистрированного приложения.
   • ClientSecret — секрет клиента, созданный для приложения в Центре администрирования Microsoft Entra. Введите значение секрета клиента.
   • ClientObjectId — идентификатор объекта клиентского приложения. Замените текст в кавычках значением Object ID, записанным ранее на странице обзора зарегистрированного приложения.

В редакторе откройте файл .env, а затем замените заполнители:

• Enter_the_Application_Id_Here с идентификатором приложения (клиента) зарегистрированного ранее приложения.
• Enter_the_Tenant_Id_Here с идентификатором арендатора вашего рабочего пространства.
• Используйте Enter_the_Client_Secret_Here с секретом клиента, созданным ранее.
• Enter_the_Cloud_Instance_Id_Here с https://login.microsoftonline.com.
• Enter_the_Graph_Endpoint_Here с https://graph.microsoft.com/.

1. Перейдите к каталогу 1-Call-MsGraph-WithSecret.

2. В редакторе откройте файл parameters.json и замените заполнители:

   • Enter_the_Application_Id_Here с идентификатором клиента (ID приложения), который вы зарегистрировали ранее.
   • Enter_the_Tenant_Id_Here с идентификатором тенанта вашей рабочей системы.
   • Enter_the_Client_Secret_Here с созданным ранее секретным ключом клиента.

1. Перейдите в каталог msal-client-credential-secret.

2. В редакторе откройте файл src\main\resources\application.properties и замените заполнители:

   • Enter_the_Application_Id_Here с идентификатором приложения (клиента) зарегистрированного ранее приложения.
   • Enter_the_Tenant_Id_Here с идентификатором арендатора вашего рабочего пространства.
   • Enter_the_Client_Secret_Here с созданным ранее секретом клиента.

В окне консоли выполните следующую команду, чтобы создать и запустить приложение:

dotnet run

После успешного запуска приложения отображается ответ, аналогичный следующему фрагменту кода (сокращено для краткости):

{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#applications/$entity",
"id": "00001111-aaaa-2222-bbbb-3333cccc4444",
"deletedDateTime": null,
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"applicationTemplateId": null,
"disabledByMicrosoftStatus": null,
"createdDateTime": "2021-01-17T15:30:55Z",
"displayName": "identity-dotnet-console-app",
"description": null,
"groupMembershipClaims": null,
...
}

Принцип работы

Демон-приложение получает маркер от имени самого себя (а не от имени пользователя). Пользователи не могут взаимодействовать с демон-приложением, так как оно имеет собственное удостоверение. Этот тип приложения запрашивает маркер доступа с помощью удостоверения приложения, указав идентификатор приложения, учетные данные (секрет или сертификат) и URI идентификатора приложения. Приложение управляющей программы использует стандартную поток предоставления учетных данных клиента OAuth 2.0 для получения маркера доступа.

Приложение получает токен доступа от платформы идентификации Microsoft. Маркер доступа предназначен для API Microsoft Graph. Затем приложение использует маркер доступа для запроса собственных сведений о регистрации приложения из API Microsoft Graph. Приложение может запрашивать любой ресурс из API Microsoft Graph, если маркер доступа имеет правильные разрешения.

В примере показано, как автоматическое задание или служба Windows могут выполняться с удостоверением приложения, а не удостоверением пользователя.

1. Чтобы установить зависимости, выполните следующую команду:

   npm install
   

2. Используйте следующую команду для запуска приложения:

   node . --op getUsers
   

Если приложение успешно работает, вы увидите форматированный результат JSON, представляющий список всех пользователей из вашего клиента рабочей силы. Он выглядит примерно так, как показано в следующем фрагменте кода:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Принцип работы

Приложение-демон получает токен от своего имени (а не от имени пользователя). Пользователи не могут взаимодействовать с демон-приложением, поскольку ему необходимо иметь собственную идентичность. Этот тип приложения запрашивает маркер доступа с помощью удостоверения приложения, указав идентификатор приложения, учетные данные (секрет или сертификат) и URI идентификатора приложения. Приложение управляющей программы использует стандартную поток предоставления учетных данных клиента OAuth 2.0 для получения маркера доступа.

Приложение получает токен доступа от платформы идентификации Microsoft. Маркер доступа предназначен для API Microsoft Graph. Затем приложение использует маркер доступа для чтения всех пользователей в клиенте из API Microsoft Graph. Приложение может запрашивать любой ресурс из API Microsoft Graph, если маркер доступа имеет правильные разрешения. В этом случае мы предоставили приложению разрешение User.Read.All, чтобы оно могло читать полные профили всех пользователей.

В примере показано, как автоматическое задание или служба Windows могут выполняться с удостоверением приложения, а не удостоверением пользователя.

1. Чтобы установить зависимости, выполните следующую команду:

   pip install -r requirements.txt
   

2. Чтобы запустить приложение, используйте следующую команду:

   python confidential_client_secret_sample.py parameters.json
   

Если приложение успешно работает, вы увидите форматированный результат JSON, представляющий список всех пользователей из вашего клиента рабочей силы. Он выглядит примерно так, как показано в следующем фрагменте кода:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Принцип работы

Приложение демон получает токен от своего имени (а не от имени пользователя). Пользователи не могут взаимодействовать с приложением-демоном, так как ему требуется собственная идентификация. Этот тип приложения запрашивает маркер доступа с помощью удостоверения приложения, указав идентификатор приложения, учетные данные (секрет или сертификат) и URI идентификатора приложения. Демон-приложение использует стандартный процесс предоставления учетных данных клиента OAuth 2.0 для получения токена доступа.

Приложение получает токен доступа от платформы идентификации Microsoft. Токен доступа предназначен для использования с API Microsoft Graph. Затем приложение использует маркер доступа для чтения всех пользователей в клиенте из API Microsoft Graph. Приложение может запрашивать любой ресурс из API Microsoft Graph, если маркер доступа имеет правильные разрешения. В этом случае мы предоставили приложению разрешение User.Read.All, чтобы оно читал полные профили всех пользователей.

В примере показано, как автоматическое задание или служба Windows могут выполняться с удостоверением приложения, а не удостоверением пользователя.

Вы можете протестировать пример приложения, запустив основной метод ClientCredentialGrant.java из вашей интегрированной среды разработки или

1. В консоли выполните следующую команду:

   $ mvn clean compile assembly:single
   

   Эта команда создает файл msal-client-credential-secret-1.0.0.jar в каталоге /targets.

2. Перейдите к каталогу /targets, а затем запустите исполняемый файл Java с помощью следующей команды:

   $ java -jar msal-client-credential-secret-1.0.0.jar
   

Если приложение успешно работает, вы увидите форматированный результат JSON, представляющий список всех пользователей из вашего клиента рабочей силы. Он выглядит примерно так, как показано в следующем фрагменте кода:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Принцип работы

Приложение-демон получает токен от своего имени (а не от имени пользователя). Пользователи не могут взаимодействовать с приложением-демоном, так как для него требуется собственное удостоверение. Этот тип приложения запрашивает маркер доступа с помощью удостоверения приложения, указав идентификатор приложения, учетные данные (секрет или сертификат) и URI идентификатора приложения. Приложение-демон использует стандартный поток получения токена клиентским приложением OAuth 2.0 для получения маркера доступа.

Приложение получает токен доступа от платформы идентификации Microsoft. Токен доступа предназначен для API Microsoft Graph. Затем приложение использует маркер доступа для чтения всех пользователей в клиенте из API Microsoft Graph. Приложение может запрашивать любой ресурс из API Microsoft Graph, если маркер доступа имеет правильные разрешения. В этом случае мы предоставили приложению разрешение User.Read.All, чтобы оно читал полные профили всех пользователей.

В примере показано, как автоматическое задание или служба Windows могут выполняться с удостоверением приложения, а не удостоверением пользователя.

• Изучите, создавая это веб-приложение ASP.NET с помощью серии учебников : Зарегистрируйте приложение на платформе удостоверений Microsoft.

• краткое руководство по . Развертывание веб-приложения ASP.NET в службе приложений Azure

• Узнайте, как создать демон-приложение Node.js, которое вызывает веб-API.

• Узнайте, как создать демон-приложение Python, которое вызывает веб-API

• Узнайте, как создать демон-приложение Java, которое вызывает веб-API

• Чтобы клонировать пример, откройте командную строку и перейдите к месту создания проекта и введите следующую команду:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-javascript-tutorial.git
  

• В качестве альтернативы, скачайте файл с примерами .zip, а затем извлеките его в каталог, где длина имени не превышает 260 символов.

Установка зависимостей проекта

1. Откройте окно консоли и перейдите в каталог, содержащий пример приложения Node.js:

   cd 2-Authorization\3-call-api-node-daemon\App
   

2. Выполните следующие команды, чтобы установить зависимости приложений:

   npm install && npm update
   

• Чтобы клонировать пример, откройте командную строку и перейдите к месту создания проекта и введите следующую команду:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git
  

• Скачайте файл .zip. Извлеките его в путь к файлу, где длина имени меньше 260 символов.

1. В редакторе кода откройте файл App\authConfig.js.

2. Найдите заполнитель:

   • Enter_the_Application_Id_Here и замените его идентификатором приложения (клиента) управляющей программы, зарегистрированного ранее.

   • Enter_the_Tenant_Subdomain_Here и замените его поддоменом каталога (клиента). Например, если основной домен клиента contoso.onmicrosoft.com, используйте contoso. Если у вас нет имени клиента, узнайте, как считывать сведения о клиенте.

   • Enter_the_Client_Secret_Here и замените его значением секрета приложения управляющей программы, скопированным ранее.

   • Enter_the_Web_Api_Application_Id_Here и замените его идентификатором приложения (клиента) веб-API, скопированного ранее.

Чтобы использовать регистрацию приложения в примере веб-API, сделайте следующее:

1. В редакторе кода откройте файл API\ToDoListAPI\appsettings.json.

2. Найдите заполнитель:

   • Enter_the_Application_Id_Here и замените его идентификатором приложения (клиента) скопированного веб-API.

   • Enter_the_Tenant_Id_Here и замените его идентификатором каталога (клиента), скопированным ранее.

   • Enter_the_Tenant_Subdomain_Here и замените его поддоменом каталога (клиента). Например, если основной домен клиента contoso.onmicrosoft.com, используйте contoso. Если у вас нет имени арендатора, узнайте, как просмотреть сведения об арендаторе.

1. В редакторе кода откройте ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListClient/appsettings.json файл.

2. Найдите заполнитель:

   • Enter_the_Application_Id_Here и замените его идентификатором приложения (клиента) управляющей программы, зарегистрированного ранее.
   • Enter_the_Tenant_Subdomain_Here и замените его поддоменом каталога (клиента). Например, если основной домен клиента contoso.onmicrosoft.com, используйте contoso. Если у вас нет имени арендатора, узнайте, как считывать данные арендатора.
   • Enter_the_Client_Secret_Here и замените его значением секрета приложения управляющей программы, скопированным ранее.
   • Enter_the_Web_Api_Application_Id_Here и замените его идентификатором приложения (клиента) веб-API, скопированного ранее.

Чтобы использовать регистрацию приложения в примере веб-API, сделайте следующее:

1. В редакторе кода откройте файл ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListAPI/appsettings.json.

2. Найдите заполнитель:

   • Enter_the_Application_Id_Here и замените его идентификатором приложения (клиента) скопированного веб-API.
   • Enter_the_Tenant_Id_Here и замените его идентификатором каталога (клиента), скопированным ранее.
   • Enter_the_Tenant_Subdomain_Here и замените его поддоменом каталога (клиента). Например, если основной домен клиента contoso.onmicrosoft.com, используйте contoso. Если у вас нет имени арендатора, узнайте, как просмотреть сведения о нем.

1. Откройте окно консоли, а затем запустите веб-API с помощью следующих команд:

   cd 2-Authorization\3-call-api-node-daemon\API\ToDoListAPI
   dotnet run
   

2. Запустите клиент веб-приложения с помощью следующих команд:

   2-Authorization\3-call-api-node-daemon\App
   node . --op getToDos
   

Если приложение управляющей программы и веб-API успешно запущены, в окне консоли должно появиться примерно то же, что и следующий массив JSON.

{
    "id": 1,
    "owner": "3e8....-db63-43a2-a767-5d7db...",
    "description": "Pick up grocery"
},
{
    "id": 2,
    "owner": "c3cc....-c4ec-4531-a197-cb919ed.....",
    "description": "Finish invoice report"
},
{
    "id": 3,
    "owner": "a35e....-3b8a-4632-8c4f-ffb840d.....",
    "description": "Water plants"
}

Принцип работы

Приложение Node.js использует поток предоставления учетных данных клиента OAuth 2.0 для получения токена доступа для себя, а не для пользователя. Маркер доступа, который запрашивает приложение, содержит разрешения, представленные в качестве ролей. Поток учетных данных клиента использует этот набор разрешений вместо областей доступа пользователей для токенов приложения. Вы разрешили эти разрешения приложения ранее в веб-API, и затем предоставили их демон-приложению.

На стороне API пример веб-API на .NET должен убедиться, что токен доступа имеет необходимые разрешения (разрешения приложения). Веб-API не может принять маркер доступа, который не имеет необходимых разрешений.

Доступ к данным

Конечная точка веб-API должна быть готова принимать вызовы от пользователей и приложений. Таким образом, он должен иметь способ ответить на каждый запрос соответствующим образом. Например, вызов от пользователя с помощью делегированных разрешений или областей получает список данных пользователя to-do. С другой стороны, вызов из приложения через разрешения или роли приложения может получить весь список to-do. Однако в этой статье мы вызываем только приложение, поэтому нам не нужно настраивать делегированные разрешения и области.

1. Откройте окно консоли, а затем запустите веб-API с помощью следующих команд:

   cd 2-Authorization\3-call-own-api-dotnet-core-daemon\ToDoListAPI
   dotnet run
   

2. Запустите клиент управляющей программы с помощью следующих команд:

   cd 2-Authorization\3-call-own-api-dotnet-core-daemon\ToDoListClient
   dotnet run
   

   Если приложение управляющей программы и веб-API успешно запущены, в окне консоли должно появиться примерно то же, что и следующий массив JSON:

   Posting a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 1
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Bake bread
   Posting a second to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 1
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Bake bread
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Butter bread
   Deleting a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Butter bread
   Editing a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Eat bread
   Deleting remaining to-do...
   Retrieving to-do's from server...
   There are no to-do's in server
   

Принцип работы

Приложение-демон использует поток предоставления учетных данных клиента OAuth 2.0 для получения маркера доступа для себя, а не для пользователя. Маркер доступа, который запрашивает приложение, содержит разрешения, представленные в качестве ролей. Поток учетных данных клиента использует этот набор разрешений вместо пользовательских областей для токенов приложения. Вы предоставили эти разрешения для приложений в веб-интерфейсе API ранее, а затем предоставили их приложению управляющей программы. Демон-приложение в этой статье использует библиотеку Microsoft Authentication Library для .NET для упрощения процесса получения токена.

Со стороны API образец веб-API .NET должен удостовериться, что токен доступа имеет необходимые права доступа (права доступа приложения). Веб-API отклоняет маркеры доступа, у которых нет необходимых разрешений.

• получение маркера доступа, а затем вызов веб-API в собственном приложении управляющей программы Node.js.
• Используйте клиентский сертификат вместо секрета для аутентификации в вашем Node.js конфиденциальном приложении.

• Используйте нашу серию учебных пособий для создания этого приложения-демона .NET с самого начала