代表用户获取 Azure AD 令牌 - NetCore2

Question

我正在尝试代表用户获取 Azure AD 令牌，以便我可以通过 Azure AD 应用程序访问一些资源（该应用程序连接到 SharePoint Online API）。

我的问题是代表用户获取令牌。我在我的应用程序中添加了带有权限的 Azure AD 应用程序作为 Auth 方法（使用 Visual Studio 2017 自动添加）。有没有办法使用内置身份验证代表用户获取令牌？ （因为它已经重定向用户登录，如果他还没有）。

我已经尝试过类似的操作，但我认为此令牌用于应用程序，而不是代表用户（如果我尝试访问 SharePoint，则会给出 401）。

string clientId = 'xxxxxxxx';
string clientSecret = 'xxxxxxxxx'
var credential = new ClientCredential(clientId, clientSecret);

AuthenticationResult result = await authContext.AcquireTokenAsync("https://MYSITE.onmicrosoft.com/APPID", credential);

Answer 1

我正在尝试代表用户获取 Azure AD 令牌，以便我可以通过 Azure AD 应用程序访问一些资源（该应用程序连接到 SharePoint Online API）。

如果我们想要访问共享点，我们需要在 Azure AD 中创建一个有权访问 API 的应用。并且不要忘记授予权限。

Microsoft Graph 使开发人员能够访问来自多个 Microsoft 云服务的数据，包括：

• Azure AD（用于用户和组）
• Office 365
• SharePoint Online
• 在线交流
• OneDrive for Business
• OneNote
• 规划师
• Excel
• OneDrive 消费者
• Outlook.com

另一件事是资源应该是https://graph.microsoft.com 而不是您的应用程序。

以下是演示代码

 private static async Task<string> GetAppTokenAsync(string tenantId, string clientId, string username,string password)
 {  
    var graphResource = "https://graph.microsoft.com";
     string aadInstance = "https://login.microsoftonline.com/" + tenantId + "/oauth2/token";
     //Instantiate an AuthenticationContext for my directory (see authString above).
     AuthenticationContext authenticationContext = new AuthenticationContext(aadInstance, false);
     // Create a ClientCredential that will be used for authentication.
     //This is where the Client ID and Key / Secret from the Azure Management Portal is used.
     UserPasswordCredential credential = new UserPasswordCredential(username, password); //username is email format
     // Acquire an access token from Azure AD to access the Azure Microsoft Graph(the resource)
     //  using the Client ID and Key / Secret as credentials.
     AuthenticationResult authenticationResult = await authenticationContext.AcquireTokenAsync(graphResource, clientId, credential);
     // Return the access token.
     return authenticationResult.AccessToken;

 }

Answer 2

有没有办法使用内置身份验证代表用户获取令牌？ （因为它已经重定向用户登录，如果他还没有）。

是的，用户通过身份验证后，您应该获取访问令牌以访问 SharePoint Online API/ Microsoft Graph api。

您可以使用 OpenID Connect 中间件和 Active Directory 身份验证库 (ADAL.NET) 为使用 OAuth 2.0 协议的登录用户获取 JWT 不记名令牌：

// Because we signed-in already in the WebApp, the userObjectId is know
string userObjectID = (User.FindFirst("http://schemas.microsoft.com/identity/claims/objectidentifier"))?.Value;

// Using ADAL.Net, get a bearer token to access the TodoListService
AuthenticationContext authContext = new AuthenticationContext(AzureAdOptions.Settings.Authority, new NaiveSessionCache(userObjectID, HttpContext.Session));
ClientCredential credential = new ClientCredential(AzureAdOptions.Settings.ClientId, AzureAdOptions.Settings.ClientSecret);
result = await authContext.AcquireTokenSilentAsync(AzureAdOptions.Settings.TodoListResourceId, credential, new UserIdentifier(userObjectID, UserIdentifierType.UniqueId));

您可以参考代码示例：Calling a web API in an ASP.NET Core web application using Azure AD。请将资源替换为 SharePoint Online API/Microsoft Graph api 以满足您的要求。

我已经尝试过类似的操作，但我认为此令牌用于应用程序，而不是代表用户（如果我尝试访问 SharePoint，则会给出 401）。

是的，您的代码正在使用Client credentials grant flow，它使用应用自己的凭据而不是模拟用户，在调用另一个网络服务时进行身份验证。