Compartir vía

Escenario: API Web de llamada (en nombre de escenario)

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, AD FS 2019 y versiones posteriores

Obtenga información sobre cómo crear una API web que llame a otra API web en nombre del usuario.

Antes de leer este artículo, debe estar familiarizado con los conceptos de AD FS y el flujo Behalf_Of

Información general

  • Un cliente (aplicación web), no se representa en el diagrama siguiente, llama a una API web protegida y proporciona un token de portador JWT en el encabezado HTTP "Autorización".

  • La API web protegida valida el token y usa el método MSAL AcquireTokenOnBehalfOf para solicitar (a AD FS) otro token para poder, por sí, llamar a una segunda API web (denominada la API web de bajada) en nombre del usuario.

  • La API web protegida usa este token para llamar a una API de bajada. También puede llamar a AcquireTokenSilentlater para solicitar tokens para otras API de bajada (pero todavía en nombre del mismo usuario). AcquireTokenSilent actualiza el token cuando sea necesario.

    overview

Para comprender mejor cómo configurar el escenario de autenticación "en nombre de" en AD FS, vamos a usar un ejemplo disponible aquí y seguiremos un tutorial sobre los pasos de configuración de código y registro de aplicaciones.

Requisitos previos

  • Herramientas de cliente de GitHub
  • AD FS 2019 o posterior configurado y en ejecución
  • Visual Studio 2013 o posterior.

Registro de aplicaciones en AD FS

En esta sección se muestra cómo registrar la aplicación nativa como un cliente público y las API web como usuarios de confianza (RP) en AD FS

  1. En Administración de AD FS, haga clic con el botón derecho en Grupos de aplicaciones y seleccione Agregar grupo de aplicaciones.

  2. En el Asistente para grupos de aplicaciones, en Nombre, escriba WebApiToWebApi y, en Aplicaciones cliente-Servidor, seleccione la Aplicación nativa que accede a una plantilla de API web. Haga clic en Siguiente.

    Screenshot of the Welcome page of the Add Application Group Wizard showing the Native application accessing a Web API template highlighted.

  3. Copie el valor de Identificador de cliente. Se usará más adelante como valor de ClientId en el archivo App.config de la aplicación. Escriba lo siguiente para URI de redirección: - https://ToDoListClient. Haga clic en Agregar. Haga clic en Siguiente.

    Screenshot of the Native application page of the Add Application Group Wizard showing the redirect U R I .

  4. En la pantalla Configurar la API Web, escriba el Identificador:https://localhost:44321/. Haga clic en Agregar. Haga clic en Next. Este valor se usará más adelante en los archivos App.config y Web.Config de la aplicación.

    Screenshot of the Configure Web API page of the Add Application Group Wizard showing the correct identifier.

  5. En la pantalla Aplicar la directiva de Control de acceso, seleccione Permitir a todos y haga clic en Siguiente.

    Screenshot of the Choose Access Control Policy page of the Add Application Group Wizard showing the Permit everyone option highlighted.

  6. En la pantalla Configurar permisos de aplicación, seleccione openid y user_impersonation. Haga clic en Siguiente.

    Screenshot of the Configure Application Permissions page of the Add Application Group Wizard showing open I D selected.

  7. En la pantalla Resumen, haga clic en Siguiente.

  8. En la pantalla Completa, haga clic en Cerrar.

  9. En Administración de AD FS, haga clic en Grupos de aplicaciones y seleccione el grupo de aplicaciones WebApiToWebApi. Haga clic con el botón secundario y seleccione Propiedades.

    Screenshot of the A D F S Management dialog box showing the WebApiToWebApi group highlighted and the Properties option in the dropdown list.

  10. En la pantalla de propiedades WebApiToWebApi, haga clic en Agregar aplicación....

    Screenshot of the WebApiToWebApi Properties dialog box showing the WebApiToWebApi - Web A P I application listed.

  11. En Aplicaciones independientes, seleccione Aplicación de servidor.

    Screenshot of the Welcome page of the Add a new application to WebApiToWebApi wizard showing the Server application option highlighted.

  12. En la pantalla Aplicación de servidor, agregue https://localhost:44321/ como Identificador de cliente y URI de redirección.

    Screenshot of the Server application page of the Add a new application to WebApiToWebApi wizard showing the correct client identifier and redirect U R I.

  13. En la pantalla Configurar credenciales de aplicación, seleccione Generar un secreto compartido. Copie el secreto para su uso posterior.

    Screenshot of the Configure Application Credentials application page of the Add a new application to WebApiToWebApi wizard showing the Generate a shared secret option selected and the generated shared secret highlighted.

  14. En la pantalla Resumen, haga clic en Siguiente.

  15. En la pantalla Completa, haga clic en Cerrar.

  16. En Administración de AD FS, haga clic en Grupos de aplicaciones y seleccione el grupo de aplicaciones WebApiToWebApi. Haga clic con el botón secundario y seleccione Propiedades.

    Second screenshot of the A D F S Management dialog box showing the WebApiToWebApi group highlighted and the Properties option in the dropdown list.

  17. En la pantalla de propiedades WebApiToWebApi, haga clic en Agregar aplicación....

    Second screenshot of the WebApiToWebApi Properties dialog box showing the WebApiToWebApi - Web A P I application listed.

  18. En Aplicaciones independientes, seleccione API web.

    Screenshot of the Welcome page of the Add a new application to WebApiToWebApi wizard showing the Web A P I option highlighted.

  19. En Configurar API web, agregue https://localhost:44300 como Identificador.

    Screenshot of the Configure Web A P I page of the Add a new application to WebApiToWebApi wizard showing the correct redirect U R I.

  20. En la pantalla Aplicar la directiva de Control de acceso, seleccione Permitir a todos y haga clic en Siguiente.

    Screenshot of the Choose Access Control Policy page of the Add a new application to WebApiToWebApi wizard showing the Permit everyone option highlighted.

  21. En la pantalla Configurar permisos de aplicación, haga clic en Siguiente.

    Screenshot of the Configure Application Permissions page of the Add a new application to WebApiToWebApi wizard showing the Next option called out.

  22. En la pantalla Resumen, haga clic en Siguiente.

  23. En la pantalla Completa, haga clic en Cerrar.

  24. Haga clic en Aceptar en la pantalla de WebApiToWebApi – Propiedades de API web 2

  25. En la pantalla Propiedades de WebApiToWebApi, seleccione WebApiToWebApi – API web y haga clic en Editar....

    Screenshot of the WebApiToWebApi Properties dialog box showing the WebApiToWebApi - Web A P I application highlighted.

  26. En la pantalla WebApiToWebApi – Propiedades de API web, seleccione la pestaña Reglas de transformación de emisión y haga clic en Agregar regla....

    Screenshot of the WebApiToWebApi - Web A P I Properties dialog box showing the Issuance Transform Rules tab.

  27. En el Asistente para agregar regla de notificaciones de transformación, seleccione Enviar notificaciones mediante regla personalizada en la lista desplegable y haga clic en Siguiente.

    Screenshot of the Select Rule Template page of the Add Transform Claim Rule Wizard showing the Send Claims Using a Custom Rule option selected.

  28. Escriba PassAllClaims en el campo de Nombre de regla de notificación: y la regla de notificación x:[] => issue(claim=x); en el campo Regla personalizada: y haga clic en Finalizar.

    Screenshot of the Configure Rule page of the Add Transform Claim Rule Wizard showing the configuration explained above.

  29. Haga clic en Aceptar en la pantalla WebApiToWebApi – Propiedades de la API web.

  30. En la pantalla Propiedades de WebApiToWebApi, seleccione WebApiToWebApi – API web 2 y haga clic en Editar...
    Screenshot of the WebApiToWebApi Properties dialog box showing the WebApiToWebApi - Web A P I 2 application highlighted.

  31. En la pantalla WebApiToWebApi – Propiedades de API web 2, seleccione la pestaña Reglas de transformación de emisión y haga clic en Agregar regla…

  32. En el Asistente para agregar regla de notificaciones de transformación, seleccione Enviar notificaciones mediante regla personalizada en la lista desplegable y haga clic en Siguiente Second screenshot of the Select Rule Template page of the Add Transform Claim Rule Wizard showing the Send Claims Using a Custom Rule option selected.

  33. Escriba PassAllClaims en el campo de Nombre de regla de notificación: y la regla de notificación x:[] => issue(claim=x); en el campo Regla personalizada: y haga clic en Finalizar.

    Second screenshot of the Configure Rule page of the Add Transform Claim Rule Wizard showing the configuration explained above.

  34. Haga clic en Aceptar en la pantalla de WebApiToWebApi – Propiedades de API web 2 y, a continuación, en la pantalla Propiedades de WebApiToWebApi.

Configuración del código

En esta sección se muestra cómo configurar una API web para llamar a otra API web.

  1. Descargue el ejemplo desde aquí.

  2. Abra el ejemplo con Visual Studio.

  3. Abra el archivo App.config. Modifique lo siguiente:

    • ida:Authority: escriba https://[su nombre de host de AD FS]/adfs/

    • ida:ClientId: escriba el valor del paso 3 de la sección anterior "Registro de la aplicación en AD FS".

    • ida:RedirectUri: escriba el valor del paso 3 de la sección anterior "Registro de la aplicación en AD FS".

    • todo:TodoListResourceId: escriba el valor de Identificador del paso 4 de la sección anterior "Registro de la aplicación en AD FS"

    • ida: todo:TodoListBaseAddress: escriba el valor de Identificador del paso 4 de la sección anterior "Registro de la aplicación en AD FS".

      Screenshot of the App config file showing the modified values.

  4. Abra el archivo Web.config en ToDoListService. Modifique lo siguiente:

    • ida:Audience: escriba el valor de Identificador de cliente de #12 en el Registro de aplicaciones en la sección anterior de AD FS.

    • ida:ClientId: escriba el valor de Identificador de cliente del paso 12 de la sección anterior "Registro de la aplicación en AD FS".

    • ida:ClientSecret: escriba secreto compartido copiado del paso 13 de la sección anterior "Registro de la aplicación en AD FS".

    • ida:RedirectUri: escriba el valor de URI de redirección del paso 12 de la sección anterior "Registro de la aplicación en AD FS".

    • ida: AdfsMetadataEndpoint: escriba https://[nombre de host de AD FS]/federationmetadata/2007-06/federationmetadata.xml

    • ida:OBOWebAPIBase: escriba el valor de Identificador del paso 19 de la sección anterior "Registro de la aplicación en AD FS".

    • ida:Authority: escriba https://[su nombre de host de AD FS]/adfs

      Screenshot of the web config file under ToDoListService showing the modified values.

  5. Abra el archivo Web.config en WebAPIOBO. Modifique lo siguiente:

    • ida: AdfsMetadataEndpoint: escriba https://[nombre de host de AD FS]/federationmetadata/2007-06/federationmetadata.xml

    • ida:Audience: escriba el valor de Identificador de cliente de #12 en el Registro de aplicaciones en la sección anterior de AD FS.

      Screenshot of the web config file under WebAPIOBO showing the modified values.

Pruebe el ejemplo

En esta sección, se muestra cómo probar el ejemplo configurado anteriormente.

Una vez que haya realizado los cambios en el código, vuelva a compilar la solución.

  1. En Visual Studio, haga clic con el botón derecho en la solución y seleccione Establecer proyectos de inicio....

    Screenshot of the list that appears when you right-click the solution with the Set Start Up Projects option highlighted.

  2. En las páginas Propiedades, asegúrese de que Acción está establecida en Inicio para cada uno de los proyectos, excepto TodoListSPA.

    Screenshot of the Solution Property Pages dialog box showing the Multiple startup project option selected and all of the projects' actions set to Start.

  3. En la parte superior de Visual Studio, haga clic en la flecha verde.

    Screenshot of the Visual Studio UI with the Start option called out.

  4. En la pantalla principal de la aplicación nativa, haga clic en Iniciar sesión.

    Screenshot of the To Do List Client dialog box.

    Si no ve la pantalla de la aplicación nativa, busque y quite los archivos *msalcache.bin de la carpeta donde se guarda el repositorio del proyecto en el sistema.

  5. Se le redirigirá a la página de inicio de sesión de AD FS. Continúe e inicie sesión.

    Screenshot of the Sign In page.

  6. Una vez que haya iniciado sesión, escriba el texto Llamar a Web Api to Web Api en Crear un elemento To Do. Haga clic en Agregar elemento. Esto llamará a la API web (Servicio To Do List) que, a continuación, llamará a API web 2 (WebAPIOBO) y agregará el elemento en la memoria caché.

    Screenshot of the To Do List Client dialog box with the new to do item populating the To Do Items section.

Pasos a seguir

Flujos de AD FS OpenID Connect/OAuth y escenarios de aplicación