Guia de início rápido: adquira um token e chame a API do Microsoft Graph de um aplicativo de console Python usando a identidade do aplicativo
Bem-vindo! Esta provavelmente não é a página que você estava esperando. Enquanto trabalhamos em uma correção, este link deve levá-lo ao artigo certo:
Guia de início rápido: adquira um token e chame o Microsoft Graph de um aplicativo daemon Python
Pedimos desculpas pelo inconveniente e agradecemos a sua paciência enquanto trabalhamos para resolver este problema.
Neste início rápido, você baixa e executa um exemplo de código que demonstra como um aplicativo Python pode obter um token de acesso usando a identidade do aplicativo para chamar a API do Microsoft Graph e exibir uma lista de usuários no diretório. O exemplo de código demonstra como um trabalho autônomo ou serviço do Windows pode ser executado com uma identidade de aplicativo, em vez da identidade de um usuário.
Pré-requisitos
Para executar este exemplo, você precisa:
Transferir e configurar a aplicação de início rápido
Passo 1: Configurar a aplicação no portal do Azure
Para que o exemplo de código neste início rápido funcione, crie um segredo do cliente e adicione a permissão de aplicativo User.Read.All da Graph API.
Seu aplicativo está configurado com esses atributos.
Etapa 2: Baixe o projeto Python
Nota
Enter_the_Supported_Account_Info_Here
Etapa 3: consentimento do administrador
Se você tentar executar o aplicativo neste ponto, você receberá HTTP 403 - Erro proibido : Insufficient privileges to complete the operation. Este erro acontece porque qualquer permissão apenas para aplicações requer o consentimento do administrador: um Administrador Global do seu diretório tem de dar o seu consentimento para a sua aplicação. Selecione uma das opções abaixo, dependendo da sua função:
Administrador de locatário global
Se você for um Administrador Global, vá para a página Permissões da API, selecione Conceder consentimento de administrador para Enter_the_Tenant_Name_Here.
Usuário padrão
Se for um utilizador padrão do seu inquilino, peça a um Administrador Global que conceda consentimento de administrador para a sua aplicação. Para fazer isso, forneça a seguinte URL ao administrador:
https://login.microsoftonline.com/Enter_the_Tenant_Id_Here/adminconsent?client_id=Enter_the_Application_Id_Here
Etapa 4: Executar o aplicativo
Você precisará instalar as dependências deste exemplo uma vez.
pip install -r requirements.txt
Em seguida, execute o aplicativo via prompt de comando ou console:
python confidential_client_secret_sample.py parameters.json
Você deve ver na saída do console algum fragmento Json representando uma lista de usuários no diretório do Microsoft Entra.
Importante
Este aplicativo de início rápido usa um segredo do cliente para se identificar como cliente confidencial. Como o segredo do cliente é adicionado como um texto sem formatação aos arquivos do projeto, por motivos de segurança, é recomendável usar um certificado em vez de um segredo do cliente antes de considerar o aplicativo como aplicativo de produção. Para obter mais informações sobre como usar um certificado, consulte estas instruções no mesmo repositório GitHub para este exemplo, mas na segunda pasta 2-Call-MsGraph-WithCertificate.
Mais informações
MSAL Python
MSAL Python é a biblioteca usada para entrar usuários e solicitar tokens usados para acessar uma API protegida pela plataforma de identidade da Microsoft. Conforme descrito, esse guia de início rápido solicita tokens usando a própria identidade do aplicativo em vez de permissões delegadas. O fluxo de autenticação usado neste caso é conhecido como fluxo oauth de credenciais de cliente. Para obter mais informações sobre como usar o MSAL Python com aplicativos daemon, consulte este artigo.
Você pode instalar o MSAL Python executando o seguinte comando pip.
pip install msal
Inicialização da MSAL
Pode adicionar a referência para MSAL, adicionando o código seguinte:
import msal
Em seguida, inicialize a MSAL com o código seguinte:
app = msal.ConfidentialClientApplication(
config["client_id"], authority=config["authority"],
client_credential=config["secret"])
Em que: Description config["secret"]É o segredo do cliente criado para o aplicativo no portal do Azure. config["client_id"]É o ID de Aplicação (cliente) da aplicação registada no portal do Azure. Pode encontrar este valor na página Descrição geral da aplicação no portal do Azure. config["authority"]O ponto final STS para o utilizador autenticar. Normalmente https://login.microsoftonline.com/{tenant}para nuvem pública, onde {tenant} é o nome do seu inquilino ou do seu ID de inquilino.
Para obter mais informações, consulte a documentação de referência do ConfidentialClientApplication.
Solicitar tokens
Para solicitar um token usando a identidade do aplicativo, use AcquireTokenForClient o método:
result = None
result = app.acquire_token_silent(config["scope"], account=None)
if not result:
logging.info("No suitable token exists in cache. Let's get a new one from Azure AD.")
result = app.acquire_token_for_client(scopes=config["scope"])
Em que: Description config["scope"]Contém os escopos solicitados. Para clientes confidenciais, isso deve usar o formato semelhante para {Application ID URI}/.defaultindicar que os escopos que estão sendo solicitados são os definidos estaticamente no objeto de aplicativo definido no portal do Azure (para o Microsoft Graph,{Application ID URI}aponta parahttps://graph.microsoft.com). Para APIs Web personalizadas,{Application ID URI}é definido na seção Expor uma API em Registros de aplicativos no portal do Azure.
Para obter mais informações, consulte a documentação de referência do AcquireTokenForClient.
Ajuda e suporte
Se precisar de ajuda, quiser comunicar um problema ou quiser saber mais sobre as suas opções de suporte, consulte Ajuda e suporte para programadores.
Próximos passos
Para saber mais sobre aplicativos daemon, consulte a página inicial do cenário.