Inicio rápido: Llamada a una instancia de ASP.NET Web API protegida por una plataforma de identidad de Microsoft

En este inicio rápido, descargará y ejecutará un ejemplo de código que muestra cómo proteger una API web de ASP.NET restringiendo el acceso a sus recursos solo a cuentas autorizadas. El ejemplo admite la autorización de cuentas personales de Microsoft y cuentas de cualquier organización de Azure Active Directory (Azure AD).

En el artículo también se usa una aplicación de Windows Presentation Foundation (WPF) para demostrar cómo se solicita un token de acceso para una API web.

Prerrequisitos

Clonación o descarga del ejemplo

Puede obtener el ejemplo de cualquiera de estas dos maneras:

  • Clonación desde el shell o la línea de comandos:

    git clone https://github.com/AzureADQuickStarts/AppModelv2-NativeClient-DotNet.git
    
  • Descarga en un archivo .zip.

Sugerencia

Se recomienda extraer el archivo o clonar el repositorio en un directorio próximo a la raíz de la unidad para evitar los errores provocados por las limitaciones de longitud de la ruta de acceso en Windows.

Registro de la API web (TodoListService)

Registre la API web en Registros de aplicaciones, en Azure Portal.

  1. Inicie sesión en Azure Portal.

  2. Si tiene acceso a varios inquilinos, use el filtro Directorio + suscripción del menú superior para seleccionar el inquilino en el que desea registrar una aplicación.

  3. Busque y seleccione Azure Active Directory.

  4. En Administrar, seleccione Registros de aplicaciones > y, luego, Nuevo registro.

  5. Escriba el Nombre de la aplicación, por ejemplo AppModelv2-NativeClient-DotNet-TodoListService. Los usuarios de la aplicación pueden ver este nombre, el cual se puede cambiar más tarde.

  6. En Supported account types (Tipos de cuenta admitidos), seleccione Account in any organizational directory (Cuentas en cualquier directorio organizativo).

  7. Seleccione Registrar para crear la aplicación.

  8. En la página Overview (Información general) de la aplicación, busque el valor de Application (client) ID (Id. de cliente de la aplicación) y regístrelo para usarlo más tarde. Lo necesitará para ajustar el archivo de configuración de Visual Studio para este proyecto (es decir, ClientId en el archivo TodoListService\Web.config).

  9. En Administrar, seleccione Exponer una API > Agregar un ámbito. Acepte el URI de identificador de aplicación propuesto (api://{clientId}), seleccione Save and Continue (Guardar y continuar) y escriba la información siguiente:

    1. Para Scope name (Nombre de ámbito), escriba access_as_user.
    2. Para Who can consent (Quién puede dar el consentimiento), asegúrese de que la opción Admins and users (Administradores y usuarios) está seleccionada.
    3. En el cuadro Admin consent display name (Nombre para mostrar del consentimiento del administrador), escriba Access TodoListService as a user (Acceder a TodoListService como usuario).
    4. En el cuadro Admin consent description (Descripción del consentimiento del administrador), escriba Accesses the TodoListService web API as a user (Accede a la API web TodoListService como usuario).
    5. En el cuadro User consent display name (Nombre para mostrar del consentimiento del usuario), escriba Access TodoListService as a user (Acceder a TodoListService como usuario).
    6. En el cuadro User consent description (Descripción del consentimiento del usuario), escriba Accesses the TodoListService web API as a user (Accede a la API web TodoListService como usuario).
    7. En State (Estado), mantenga Enabled (Habilitado).
  10. Seleccione la opción Agregar un ámbito.

Configuración del proyecto del servicio

Configure el proyecto de servicio para que coincida con la API web registrada.

  1. Abra la solución en Visual Studio y, después, el archivo Web.config en la raíz de proyecto de TodoListService.

  2. Reemplace el valor del parámetro ida:ClientId por el valor del identificador de cliente (identificador de la aplicación) de la aplicación que registró en el portal Registros de aplicaciones.

Incorporación del nuevo ámbito al archivo app.config

Para agregar el nuevo ámbito al archivo app.config de TodoListClient, haga lo siguiente:

  1. En la carpeta raíz del proyecto TodoListClient, abra el archivo app. config.

  2. Pegue el identificador de la aplicación que acaba de registrar para el proyecto TodoListService en el parámetro TodoListServiceScope y reemplace la cadena {Enter the Application ID of your TodoListService from the app registration portal}.

Nota

Asegúrese de que el identificador de la aplicación tiene el formato siguiente: api://{TodoListService-Application-ID}/access_as_user (donde {TodoListService-Application-ID} es el GUID que representa el identificador de la aplicación TodoListService).

Registro de la aplicación web (TodoListClient)

Registre la aplicación TodoListClient en Registros de aplicaciones, en Azure Portal, y, luego, configure el código en el proyecto TodoListClient. Si el cliente y el servidor se consideran la misma aplicación también puede volver a usar la aplicación que se registró en el paso 2. Use la misma aplicación si quiere que los usuarios inicien sesión con su cuenta personal de Microsoft.

Registre la aplicación

Para registrar la aplicación TodoListClient, haga lo siguiente:

  1. Vaya al portal Registros de aplicaciones de la plataforma de identidad de Microsoft para desarrolladores.

  2. Seleccione Nuevo registro.

  3. Cuando aparezca la página de registro de aplicaciones, escriba la información de registro de la aplicación:

    1. En la sección Name (Nombre), escriba un nombre con sentido para la aplicación que se mostrará a los usuarios (por ejemplo, NativeClient-DotNet-TodoListClient).
    2. En Supported account types (Tipos de cuenta admitidos), seleccione Account in any organizational directory (Cuentas en cualquier directorio organizativo).
    3. Seleccione Registrar para crear la aplicación.

    Nota

    En el archivo app.config del proyecto TodoListClient, el valor predeterminado de ida:Tenant se establece en common. Los valores posibles son:

    • common: puede iniciar sesión con una cuenta profesional o educativa o con una cuenta personal de Microsoft (porque seleccionó Cuentas en cualquier directorio organizativo en el paso anterior).
    • organizations: puede iniciar sesión con una cuenta profesional o educativa.
    • consumers: solo puede iniciar sesión con una cuenta personal de Microsoft.
  4. En la página Información general de la aplicación, seleccione Autenticación y, luego, haga lo siguiente para agregar una plataforma:

    1. En Configuraciones de plataforma, seleccione el botón Agregar una plataforma.
    2. En Mobile and desktop applications (Aplicaciones móviles y de escritorio), seleccione Mobile and desktop applications (Aplicaciones móviles y de escritorio).
    3. En URI de redirección, active la casilla https://login.microsoftonline.com/common/oauth2/nativeclient .
    4. Seleccione Configurar.
  5. Seleccione Permisos de API y, luego, haga lo siguiente para agregar permisos:

    1. Seleccione el botón Agregar un permiso.
    2. Seleccione la pestaña Mis API.
    3. En la lista de API, seleccione AppModelv2-NativeClient-DotNet-TodoListService o el nombre que especificara para la API web.
    4. Seleccione la casilla del permiso access_as_user si aún no lo está. Si es necesario, utilice el cuadro de búsqueda.
    5. Seleccione el botón Agregar permisos.

Configurar el proyecto

Configure el proyecto TodoListClient agregando el identificador de aplicación al archivo app.config.

  1. En el portal Registros de aplicaciones, en la página Overview (Información general), copie el valor de Application (client) ID (Id. de cliente de la aplicación).

  2. En el directorio raíz del proyecto TodoListClient, abra el archivo app.config y pegue el valor del identificador de la aplicación en el parámetro ida:ClientId.

Ejecución del proyecto TodoListClient

Inicie sesión para ejecutar el proyecto TodoListClient.

  1. Presione F5 para abrir el proyecto TodoListClient. Se abre la página del proyecto.

  2. En a parte superior derecha, seleccione Iniciar sesión e inicie sesión con las mismas credenciales del registro de la aplicación o con un usuario del mismo directorio.

    Si es la primera vez que inicia sesión, es posible que se le pida que dé su consentimiento a la API web TodoListService.

    Para ayudarle a acceder a la API web TodoListService y a manipular la lista To-Do, en el inicio de sesión también se solicita un token de acceso al ámbito access_as_user.

Preautorización de la aplicación cliente

Puede permitir que los usuarios de otros directorios accedan a la API web mediante la autorización previa de la aplicación cliente para acceder a la API web. Para ello, agregue el identificador de la aplicación cliente a la lista de aplicaciones previamente autorizadas de la API web. Al agregar un cliente previamente autorizado, permite a los usuarios acceder a la API web sin tener que dar su consentimiento.

  1. En el portal Registros de aplicaciones, abra las propiedades de la aplicación TodoListService.
  2. En la sección Expose an API (Exponer una API), en Authorized client applications (Aplicaciones cliente autorizadas), seleccione Add a client application (Agregar una aplicación cliente).
  3. En el cuadro Client ID (Id. de cliente), pegue el identificador de la aplicación TodoListClient.
  4. En la sección Authorized scopes (Ámbitos autorizados), seleccione el ámbito de esta API web: api://<Application ID>/access_as_user.
  5. Seleccione Agregar una aplicación.

Ejecución del proyecto

  1. Presione F5 para ejecutar el proyecto. Se abre la aplicación TodoListClient.
  2. En la parte superior derecha, seleccione Iniciar sesión e inicie sesión con un cuenta personal de Microsoft (como live.com o hotmail.com) o una cuenta profesional o educativa.

Opcional: limitación del acceso de inicio de sesión a determinados usuarios

De forma predeterminada, cualquier cuenta personal, como outlook.com o live.com, o profesional o educativa de las organizaciones integradas con Azure AD puede solicitar tokens y acceder a la API web.

Para especificar quién puede iniciar sesión en la aplicación, use una de las siguientes opciones:

Opción 1: Limitar el acceso a una sola organización (inquilino único)

Puede limitar el acceso al inicio de sesión de la aplicación para que solo puedan usarlo aquellas cuentas de usuario que forman parte de un solo inquilino de Azure AD, incluidas las cuentas de invitado de ese inquilino. Este es un escenario común para las aplicaciones de línea de negocio.

  1. Abra el archivo App_Start\Startup.Auth y cambie el valor del punto de conexión de metadatos que se pasa al OpenIdConnectSecurityTokenProvider por https://login.microsoftonline.com/{Tenant ID}/v2.0/.well-known/openid-configuration. También puede usar el nombre del inquilino, como contoso.onmicrosoft.com.
  2. En el mismo archivo, establezca la propiedad ValidIssuer de TokenValidationParameters en https://sts.windows.net/{Tenant ID}/, y el argumento ValidateIssuer en true.

Opción 2: Usar un método personalizado para validar emisores

Puede implementar un método personalizado para validar los emisores con el parámetro IssuerValidator. Para más información sobre este parámetro, consulte la clase TokenValidationParameters.

Ayuda y soporte técnico

Si necesita ayuda, desea informar de un problema o desea obtener información sobre las opciones de soporte técnico, consulte Opciones de ayuda y soporte técnico para desarrolladores.

Pasos siguientes

Más información sobre el escenario de API web protegida que admite la plataforma de identidad de Microsoft.