Acquisire i token per chiamare un'API Web usando un'applicazione daemon

Dopo aver creato un'applicazione client riservata, è possibile acquisire un token per l'app chiamando AcquireTokenForClient, passando l'ambito e, facoltativamente, forzando un aggiornamento del token.

Ambiti da richiedere

L'ambito da richiedere per un flusso di credenziali client è il nome della risorsa seguita da /.default. Questa notazione indica a Microsoft Entra ID di usare le autorizzazioni a livello di applicazione dichiarate in modo statico durante la registrazione dell'applicazione. Inoltre, queste autorizzazioni API devono essere concesse da un amministratore tenant.

.NET

Ecco un esempio di definizione degli ambiti per l'API Web come parte della configurazione in un file di appsettings.json . Questo esempio è tratto dall'esempio di codice del daemon della console .NET in GitHub.

{
    "AzureAd": {
        // Same AzureAd section as before.
    },

    "MyWebApi": {
        "BaseUrl": "https://localhost:44372/",
        "RelativePath": "api/TodoList",
        "RequestAppToken": true,
        "Scopes": [ "[Enter here the scopes for your web API]" ]
    }
}

Java

final static String GRAPH_DEFAULT_SCOPE = "https://graph.microsoft.com/.default";

Node.js

const tokenRequest = {
    scopes: [process.env.GRAPH_ENDPOINT + '.default'], // e.g. 'https://graph.microsoft.com/.default'
};

Python

In MSAL Python il file di configurazione è simile al frammento di codice seguente:

{
    "scope": ["https://graph.microsoft.com/.default"],
}

.NET (basso livello)

ResourceId = "someAppIDURI";
var scopes = new [] {  ResourceId+"/.default"};

Risorse di Azure AD (v1.0)

L'ambito usato per le credenziali client deve essere sempre l'ID risorsa seguito da /.default.

Importante

Quando MSAL richiede un token di accesso per una risorsa che accetta un token di accesso versione 1.0, Microsoft Entra ID analizza il gruppo di destinatari desiderato dall'ambito richiesto prendendo tutto prima dell'ultima barra e usandolo come identificatore di risorsa. Pertanto, se, come database SQL di Azure (https://database.windows.net), la risorsa prevede un gruppo di destinatari che termina con una barra (per database SQL di Azure, https://database.windows.net/), è necessario richiedere un ambito di https://database.windows.net//.default. Si noti la doppia barra. Vedere anche MSAL.NET problema 747: Resource url's trailing slash is omitted, which caused sql auth failure.

AcquireTokenForClient API

Per acquisire un token per l'app, usare AcquireTokenForClient o il relativo equivalente, a seconda della piattaforma.

.NET

Con Microsoft.Identity.Web non è necessario acquisire un token. È possibile usare API di livello superiore, come illustrato in Chiamata di un'API Web da un'applicazione daemon. Se tuttavia si usa un SDK che richiede un token, il frammento di codice seguente mostra come ottenere questo token.

using Microsoft.Extensions.DependencyInjection;
using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web;

// In the Program.cs, acquire a token for your downstream API

var tokenAcquirerFactory = TokenAcquirerFactory.GetDefaultInstance();
ITokenAcquirer acquirer = tokenAcquirerFactory.GetTokenAcquirer();
AcquireTokenResult tokenResult = await acquirer.GetTokenForUserAsync(new[] { "https://graph.microsoft.com/.default" });
string accessToken = tokenResult.AccessToken;

Java

Questo codice viene estratto dagli esempi di sviluppo Java MSAL.

private static IAuthenticationResult acquireToken() throws Exception {

     // Load token cache from file and initialize token cache aspect. The token cache will have
     // dummy data, so the acquireTokenSilently call will fail.
     TokenCacheAspect tokenCacheAspect = new TokenCacheAspect("sample_cache.json");

     IClientCredential credential = ClientCredentialFactory.createFromSecret(CLIENT_SECRET);
     ConfidentialClientApplication cca =
             ConfidentialClientApplication
                     .builder(CLIENT_ID, credential)
                     .authority(AUTHORITY)
                     .setTokenCacheAccessAspect(tokenCacheAspect)
                     .build();

     IAuthenticationResult result;
     try {
         SilentParameters silentParameters =
                 SilentParameters
                         .builder(SCOPE)
                         .build();

         // try to acquire token silently. This call will fail since the token cache does not
         // have a token for the application you are requesting an access token for
         result = cca.acquireTokenSilently(silentParameters).join();
     } catch (Exception ex) {
         if (ex.getCause() instanceof MsalException) {

             ClientCredentialParameters parameters =
                     ClientCredentialParameters
                             .builder(SCOPE)
                             .build();

             // Try to acquire a token. If successful, you should see
             // the token information printed out to console
             result = cca.acquireToken(parameters).join();
         } else {
             // Handle other exceptions accordingly
             throw ex;
         }
     }
     return result;
 }

Node.js

Il frammento di codice seguente illustra l'acquisizione di token in un'applicazione client riservata del nodo MSAL:

try {
    const authResponse = await cca.acquireTokenByClientCredential(tokenRequest);
    console.log(authResponse.accessToken) // display access token
} catch (error) {
    console.log(error);
}

Python

# The pattern to acquire a token looks like this.
result = None

# First, the code looks up a token from the cache.
# Because we're looking for a token for the current app, not for a user,
# use None for the account parameter.
result = app.acquire_token_silent(config["scope"], account=None)

if not result:
    logging.info("No suitable token exists in cache. Let's get a new one from Azure AD.")
    result = app.acquire_token_for_client(scopes=config["scope"])

if "access_token" in result:
    # Call a protected API with the access token.
    print(result["token_type"])
else:
    print(result.get("error"))
    print(result.get("error_description"))
    print(result.get("correlation_id"))  # You might need this when reporting a bug.

.NET (basso livello)

using Microsoft.Identity.Client;

// With client credentials flows, the scope is always of the shape "resource/.default" because the
// application permissions need to be set statically (in the portal or by PowerShell), and then granted by
// a tenant administrator.
string[] scopes = new string[] { "https://graph.microsoft.com/.default" };

AuthenticationResult result = null;
try
{
 result = await app.AcquireTokenForClient(scopes)
                  .ExecuteAsync();
}
catch (MsalUiRequiredException ex)
{
    // The application doesn't have sufficient permissions.
    // - Did you declare enough app permissions during app creation?
    // - Did the tenant admin grant permissions to the application?
}
catch (MsalServiceException ex) when (ex.Message.Contains("AADSTS70011"))
{
    // Invalid scope. The scope has to be in the form "https://resourceurl/.default"
    // Mitigation: Change the scope to be as expected.
}

AcquireTokenForClient usa la cache dei token dell'applicazione

In MSAL.NET AcquireTokenForClient usa la cache dei token dell'applicazione. (Tutti gli altri AcquireTokenI metodi XX usano la cache dei token utente. Non chiamare prima di chiamare AcquireTokenSilentAcquireTokenForClient, perché AcquireTokenSilent usa la cache dei token utente . AcquireTokenForClient controlla la cache del token dell'applicazione stessa e la aggiorna.

Protocollo

Se non si dispone ancora di una libreria per la lingua scelta, è possibile usare direttamente il protocollo:

Primo caso: accedere alla richiesta di token usando un segreto condiviso

POST /{tenant}/oauth2/v2.0/token HTTP/1.1           //Line breaks for clarity.
Host: login.microsoftonline.com
Content-Type: application/x-www-form-urlencoded

client_id=00001111-aaaa-2222-bbbb-3333cccc4444
&scope=https%3A%2F%2Fgraph.microsoft.com%2F.default
&client_secret=A1b-C2d_E3f.H4i,J5k?L6m!N7o-P8q_R9s.T0u
&grant_type=client_credentials

Secondo caso: accedere alla richiesta di token usando un certificato

POST /{tenant}/oauth2/v2.0/token HTTP/1.1               // Line breaks for clarity.
Host: login.microsoftonline.com
Content-Type: application/x-www-form-urlencoded

scope=https%3A%2F%2Fgraph.microsoft.com%2F.default
&client_id=11112222-bbbb-3333-cccc-4444dddd5555
&client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3Ajwt-bearer
&client_assertion=aaaaaaaa-0b0b-...
&grant_type=client_credentials

Per altre informazioni, vedere la documentazione del protocollo: Microsoft Identity Platform e il flusso di credenziali client OAuth 2.0.

Risoluzione dei problemi

È stato usato l'ambito resource/.default?

Se viene visualizzato un messaggio di errore che indica che è stato usato un ambito non valido, probabilmente non è stato usato l'ambito resource/.default .

Hai dimenticato di fornire il consenso dell'amministratore? Le app daemon ne hanno bisogno.

Se si ottengono privilegi insufficienti per completare l'errore di operazione quando si chiama l'API , l'amministratore tenant deve concedere le autorizzazioni all'applicazione.

Se non si concede il consenso amministratore all'applicazione, si verifica l'errore seguente:

Failed to call the web API: Forbidden
Content: {
  "error": {
    "code": "Authorization_RequestDenied",
    "message": "Insufficient privileges to complete the operation.",
    "innerError": {
      "request-id": "<guid>",
      "date": "<date>"
    }
  }
}

Selezionare una delle opzioni seguenti, a seconda del ruolo.

Amministratore del tenant globale

Per un amministratore tenant globale, passare a Applicazioni aziendali nell'interfaccia di amministrazione di Microsoft Entra. Selezionare la registrazione dell'app e selezionare Autorizzazioni nella sezione Sicurezza del riquadro sinistro. Selezionare quindi il pulsante grande Concedi il consenso amministratore per {Nome tenant} (dove {Nome tenant} è il nome della directory).

Utente standard

Per un utente standard del tenant, chiedere a un Amministrazione istrator globale di concedere il consenso amministratore all'applicazione. A tale scopo, specificare l'URL seguente all'amministratore:

https://login.microsoftonline.com/Enter_the_Tenant_Id_Here/adminconsent?client_id=Enter_the_Application_Id_Here

Nell'URL:

• Sostituire Enter_the_Tenant_Id_Here con l'ID tenant o il nome del tenant , ad esempio contoso.microsoft.com.
• Enter_the_Application_Id_Here è l'ID applicazione (client) per l'applicazione registrata.

L'errore AADSTS50011: No reply address is registered for the application può essere visualizzato dopo aver concesso il consenso all'app usando l'URL precedente. Questo errore si verifica perché l'applicazione e l'URL non hanno un URI di reindirizzamento. Questo messaggio può essere ignorato.

Si chiama la propria API?

Se l'app daemon chiama la propria API Web e non è stata possibile aggiungere un'autorizzazione dell'app alla registrazione dell'app del daemon, è necessario aggiungere ruoli dell'app alla registrazione dell'app dell'API Web.

Passaggi successivi

.NET

Passare all'articolo successivo in questo scenario, Chiamata di un'API Web.

Java

Passare all'articolo successivo in questo scenario, Chiamata di un'API Web.

Node.js

Passare all'articolo successivo in questo scenario, Chiamata di un'API Web.

Python

Passare all'articolo successivo in questo scenario, Chiamata di un'API Web.

Livello basso di .NET

Passare all'articolo successivo in questo scenario, Chiamata di un'API Web.