Vygenerování ověřovacího tokenu

  • Článek

V tomto článku se dozvíte, jak vygenerovat ověřovací token instančního objektu, ověřovací token uživatele a obnovovací token uživatele.

Registrace aplikace pomocí Microsoft Entra ID

  1. Pokud chcete zřídit Azure Data Manager pro energetickou platformu, musíte aplikaci zaregistrovat na stránce registrace aplikace na webu Azure Portal. K registraci aplikace můžete použít účet Microsoft nebo pracovní nebo školní účet. Postup konfigurace najdete v dokumentaci k registraci aplikace.

  2. Pokud v části Přehled aplikace nejsou zadané žádné identifikátory URI přesměrování, můžete vybrat Přidat web platformy>, přidat http://localhost:8080a vybrat Uložit.

    Snímek obrazovky znázorňující přidání identifikátoru URI do aplikace

Načtení parametrů

Parametry můžete najít také po registraci aplikace na webu Azure Portal.

Vyhledání ID tenanta

  1. Přejděte na účet Microsoft Entra pro vaši organizaci. Id Microsoft Entra můžete vyhledat na panelu hledání na webu Azure Portal.

  2. Na kartě Přehled v části Základní informace vyhledejte ID tenanta.

  3. tenant-ID Zkopírujte hodnotu a vložte ji do editoru, který se použije později.

    Snímek obrazovky znázorňující hledání ID Microsoft Entra

    Snímek obrazovky znázorňující vyhledání ID tenanta

Vyhledání ID klienta

Je client-id stejná hodnota, jakou používáte k registraci aplikace během zřizování instance Azure Data Manageru pro energii. Často se označuje jako app-id.

  1. Přejděte na stránku Přehled energie v Azure Data Manageru. V podokně Základy vyhledejte ID klienta.

  2. client-id Zkopírujte hodnotu a vložte ji do editoru, který se použije později.

  3. V současné době jedna instance Azure Data Manageru pro energii umožňuje app-id jednu instanci přidružit k jedné instanci.

    Důležité

    Předávaná client-id jako hodnota ve voláních rozhraní API nároků musí být stejná jako ta, která se použila ke zřízení Azure Data Manageru pro energetické instance.

    Snímek obrazovky znázorňující vyhledání ID klienta pro vaši zaregistrovanou aplikaci

Vyhledání tajného klíče klienta

A client-secret je řetězcová hodnota, kterou může vaše aplikace použít místo certifikátu k identifikaci sebe sama. Někdy se označuje jako heslo aplikace.

  1. Přejděte na Registrace aplikací.

  2. V části Spravovat vyberte Certifikáty a tajné kódy.

  3. Vyberte Nový tajný klíč klienta a vytvořte tajný klíč klienta pro ID klienta, které jste použili k vytvoření instance Azure Data Manageru pro energii.

  4. Poznamenejte si hodnotu tajného klíče pro pozdější použití v kódu klientské aplikace.

    Přístupový token app-id správce client-secret infrastruktury má k instanci přístup.

    Upozornění

    Nezapomeňte zaznamenat hodnotu tajného klíče. Tato hodnota tajného kódu se po opuštění této stránky pro vytvoření tajného klíče klienta nikdy nezobrazí.

    Snímek obrazovky znázorňující vyhledání tajného klíče klienta

Vyhledání identifikátoru URI pro přesměrování

Aplikace redirect-uri , ve které vaše aplikace odesílá a přijímá odpovědi na ověření. Musí přesně odpovídat jednomu z identifikátorů URI přesměrování, které jste zaregistrovali na portálu, s tím rozdílem, že musí být zakódovaná adresa URL.

  1. Přejděte na Registrace aplikací.
  2. V části Spravovat vyberte Ověřování.
  3. Načtěte redirect-uri adresu URL (nebo adresu URL odpovědi) pro vaši aplikaci, aby přijímala odpovědi z ID Microsoft Entra.

Snímek obrazovky znázorňující identifikátor URI přesměrování

Vyhledání adresy URL adme pro instanci Azure Data Manageru pro energii

  1. Vytvořte instanci Azure Data Manageru pro energii pomocí client-id vygenerovaného výše.

  2. Na webu Azure Portal přejděte na stránku Přehled energie v Azure Data Manageru.

  3. V podokně Základy zkopírujte identifikátor URI.

    Snímek obrazovky znázorňující vyhledání identifikátoru URI pro instanci Azure Data Manageru pro energii

Vyhledání ID oddílu dat

Seznam datových oddílů v instanci Azure Data Manageru pro energii můžete získat dvěma způsoby.

  • Možnost 1: V části Upřesnit v uživatelském rozhraní Azure Data Manageru pro energii přejděte na položku nabídky Oddíly dat.

    Snímek obrazovky znázorňující vyhledání ID oddílu dat z instance Azure Data Manageru pro energii

  • Možnost 2: V podokně Základy na stránce Přehled energie v Azure Data Manageru pod polem Oddíly dat vyberte zobrazení.

    Snímek obrazovky znázorňující vyhledání ID oddílu dat ze stránky Přehled instance energie v Azure Data Manageru

    Snímek obrazovky znázorňující vyhledání ID oddílu dat ze stránky Přehled instance Energie v Azure Data Manageru s datovými oddíly

Vyhledání domény

Ve výchozím nastavení se jedná o domain dataservices.energy pro všechny instance Azure Data Manageru pro energii.

Vygenerování ověřovacího tokenu id klienta

Po nahrazení zástupných hodnot odpovídajícími hodnotami nalezenými dříve v předchozích krocích spusťte v Azure Cloud Bash následující příkaz curl. Přístupový token v odpovědi je client-id ověřovací token.

Formát požadavku

curl --location --request POST 'https://login.microsoftonline.com/<tenant-id>/oauth2/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'grant_type=client_credentials' \
--data-urlencode 'scope=<client-id>.default' \
--data-urlencode 'client_id=<client-id>' \
--data-urlencode 'client_secret=<client-secret>' \
--data-urlencode 'resource=<client-id>'

Ukázková odpověď

    {
        "token_type": "Bearer",
        "expires_in": 86399,
        "ext_expires_in": 86399,
        "access_token": "abcdefgh123456............."
    }

Vygenerování ověřovacího tokenu uživatele

Generování ověřovacího tokenu uživatele je dvoustupňový proces.

Získání autorizačního kódu

Prvním krokem k získání přístupového tokenu pro mnoho toků OpenID Připojení (OIDC) a OAuth 2.0 je přesměrování uživatele na koncový bod Microsoft Identity Platform/authorize. Microsoft Entra ID uživatele podepíše a požádá o souhlas s oprávněními, která vaše aplikace požaduje. V toku udělení autorizačního kódu po získání souhlasu vrátí ID Microsoft Entra autorizační kód vaší aplikaci, kterou může uplatnit na koncovém bodu Microsoft Identity Platform /token pro přístupový token.

  1. Připravte formát požadavku pomocí parametrů.

    https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize?client_id=<client-id>
&response_type=code
&redirect_uri=<redirect-uri>
&response_mode=query
&scope=<client-id>%2f.default&state=12345&sso_reload=true

  2. Po nahrazení parametrů můžete požadavek vložit do adresy URL libovolného prohlížeče a vybrat Enter.

  3. Pokud ještě nejste přihlášení, přihlaste se k webu Azure Portal.

  4. Možná uvidíte "Hmmm... Na tuto stránku se nemůže dostat" chybová zpráva v prohlížeči. Můžete ho ignorovat.

    Snímek obrazovky s přesměrováním místního hostitele

  5. Prohlížeč se přesměruje na http://localhost:8080/?code={authorization code}&state=... úspěšné ověření.

  6. Zkopírujte odpověď z řádku adres URL prohlížeče a načtěte text mezi code= a &state.

    http://localhost:8080/?code=0.BRoAv4j5cvGGr0...au78f&state=12345&session....

  7. Nechte si to authorization-code po ruce pro budoucí použití.

    Parametr Popis
    code Autorizační kód, který aplikace požadovala. Aplikace může použít autorizační kód k vyžádání přístupového tokenu pro cílový prostředek. Autorizační kódy jsou krátkodobé. Obvykle vyprší po přibližně 10 minutách.
    state Pokud je v požadavku zahrnutý parametr stavu, měla by se v odpovědi zobrazit stejná hodnota. Aplikace by měla ověřit, že hodnoty stavu v požadavku a odpovědi jsou identické. Tato kontrola pomáhá detekovat útoky CSRF na klienta.
    session_state Jedinečná hodnota, která identifikuje aktuální relaci uživatele. Tato hodnota je IDENTIFIKÁTOR GUID, ale měla by být považována za neprůhlednou hodnotu, která byla předána bez vyšetření.

Upozorňující

Spuštění adresy URL v Nástroji Postman nebude fungovat, protože pro načtení tokenu vyžaduje další konfiguraci.

Získání ověřovacího tokenu a obnovovacího tokenu

Druhým krokem je získání ověřovacího tokenu a obnovovacího tokenu. Aplikace používá autorizační kód přijatý v předchozím kroku k vyžádání přístupového tokenu odesláním požadavku POST do koncového /token bodu.

Formát požadavku

  curl -X POST -H "Content-Type: application/x-www-form-urlencoded" -d 'client_id=<client-id>
  &scope=<client-id>%2f.default openid profile offline_access
  &code=<authorization-code>
  &redirect_uri=<redirect-uri>
  &grant_type=authorization_code
  &client_secret=<client-secret>' 'https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token'

Ukázková odpověď

{
  "token_type": "Bearer",
  "scope": "User.Read profile openid email",
  "expires_in": 4557,
  "access_token": "eyJ0eXAiOiJKV1QiLCJub25jZSI6IkJuUXdJd0ZFc...",
  "refresh_token": "0.ARoAv4j5cvGGr0GRqy180BHbR8lB8cvIWGtHpawGN..."
}
Parametr Popis
token_type Označuje hodnotu typu tokenu. Jediným typem, který Microsoft Entra ID podporuje, je Bearer.
rozsah Seznam oprávnění Microsoft Graphu oddělených mezerami, pro která je přístupový token platný.
expires_in Jak dlouho je přístupový token platný (v sekundách).
access_token Požadovaný přístupový token. Aplikace může tento token použít k volání Microsoft Graphu.
refresh_token Obnovovací token OAuth 2.0 Aplikace může tento token použít k získání dodatečných přístupových tokenů po vypršení platnosti aktuálního přístupového tokenu. Obnovovací tokeny jsou dlouhodobé a dají se použít k zachování přístupu k prostředkům po delší dobu.

Další informace o generování přístupového tokenu uživatele a použití obnovovacího tokenu k vygenerování nového přístupového tokenu najdete v tématu Generování obnovovacích tokenů.

OSDU® je ochranná známka the Open Group.

Další kroky

Další informace o tom, jak používat vygenerovaný obnovovací token, najdete tady:

Jak převést segy na ovds