API Web protetta: configurazione del codice

Si applica a: Tenant della forza lavoro (altre informazioni)

Per configurare il codice per l'API Web protetta, comprendere:

• Cosa definisce le API come protette.
• Come configurare un token portatore.
• Come convalidare il token.

Versione accettata del token

Microsoft Identity Platform può emettere token v1.0 e token v2.0. Per altre informazioni su questi tipi di token, vedere Token di accesso.

La versione del token che l'API può accettare dipende dalla selezione di Tipi di account supportati quando si crea la registrazione dell'applicazione API Web nel portale di Azure.

• Il valore dei Tipi di account supportati è impostato su Account in qualsiasi directory organizzativa e account Microsoft personali (ad esempio Skype, Xbox, Outlook.com), la versione del token accettata deve essere impostata su v2.0.
• In caso contrario, la versione del token accettata può essere v1.0.

Dopo aver creato l'applicazione, è possibile determinare o modificare la versione del token accettata seguendo questa procedura:

1. Nell'interfaccia di amministrazione di Microsoft Entra, selezionare l'app e quindi selezionare Manifesto.
2. Trovare la proprietà accessTokenAcceptedVersion nel manifesto.
3. Il valore specifica a Microsoft Entra quale versione del token accetta l'API Web.
   • Se il valore è 2, l'API Web accetta i token v2.0.
   • Se il valore è null, l’API Web accetta token v1.0.
4. Se è stata modificata la versione del token, selezionare Salva.

L'API Web specifica la versione del token accettata. Quando un client richiede un token per l'API Web da Microsoft Identity Platform, il client ottiene un token che indica quale versione del token accetta l'API Web.

Cosa definisce le API di ASP.NET e ASP.NET Core come protette?

Come le app Web, le API Web di ASP.NET e ASP.NET Core sono protette perché le azioni del controller sono precedute dall'attributo [Authorize]. Le azioni del controller possono essere chiamate solo se l'API viene chiamata con un'identità autorizzata.

Prendere in considerazione le domande seguenti:

• Solo un'app può chiamare un'API Web. In che modo l'API conosce l'identità dell'app che la chiama?
• Se l'app chiama l'API per conto di un utente, qual è l'identità dell'utente?

Token di accesso

Il bearer token impostato nell'intestazione quando l'app viene chiamata contiene informazioni sull'identità dell'app. Contiene anche informazioni sull'utente, a meno che l'app Web non accetti chiamate da un servizio all'altro da un'applicazione daemon.

Ecco un esempio di codice C# che mostra un client che chiama l'API dopo aver acquisito un token con Microsoft Authentication Library per .NET (MSAL.NET):

var scopes = new[] {$"api://.../access_as_user"};
var result = await app.AcquireToken(scopes)
                      .ExecuteAsync();

httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);

// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);

Importante

Un'applicazione client richiede un token di accesso alla piattaforma di identità Microsoft per l’API web. L'API è l'unica applicazione che deve verificare il token e visualizzare le attestazioni contenute. Le app client non devono mai provare a esaminare le attestazioni nei token.

In futuro, l'API Web potrebbe richiedere che il token sia crittografato. Questo requisito impedisce l'accesso alle app client in grado di visualizzare i token di accesso.

Configurazione di JwtBearer

In questa sezione viene descritto come configurare un token di connessione.

File di configurazione

È necessario specificare il TenantId solo se si desidera accettare i token di accesso da un singolo tenant (applicazione line-of-business). In caso contrario, può essere lasciato come common. I diversi valori possono essere:

• Un GUID (ID tenant = ID directory)
• common possono essere qualsiasi organizzazione e account personali
• organizations può essere qualsiasi organizzazione
• consumers sono gli account Microsoft personali

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "Enter_the_Application_(client)_ID_here",
    "TenantId": "common"
  },
  "Logging": {
    "LogLevel": {
      "Default": "Warning"
    }
  },
  "AllowedHosts": "*"
}

Uso di un URI ID app personalizzato per un'API Web

Se è stato accettato l'URI ID app predefinito proposto dal portale di Azure, non è necessario specificare il gruppo di destinatari. In caso contrario, aggiungere una proprietà Audience il cui valore è l'URI ID app per l'API Web. In genere inizia con api://.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "Enter_the_Application_(client)_ID_here",
    "TenantId": "common",
    "Audience": "Enter_the_Application_ID_URI_here"
  },
}

Inizializzazione del codice

Quando un'app viene chiamata su un'azione controller che contiene un attributo [Authorize], ASP.NET e ASP.NET Core estraggono il token di accesso dal token portatore dell'intestazione Authorization. Il token di accesso viene quindi inoltrato al middleware JwtBearer, che chiama le estensioni Microsoft IdentityModel per .NET.

Microsoft.Identity.Web

ASP.NET Core

Microsoft consiglia di usare il pacchetto NuGet Microsoft.Identity.Web durante lo sviluppo di un'API Web con ASP.NET Core.

Microsoft.Identity.Web fornisce l'associazione tra ASP.NET Core, il middleware di autenticazione e Microsoft Authentication Library (MSAL) per .NET. Consente un'esperienza di sviluppo più chiara e affidabile e sfrutta la potenza di Microsoft Identity Platform e Azure AD B2C.

ASP.NET per .NET 6.0

Per creare un nuovo progetto API Web che usa Microsoft.Identity.Web, usare un modello di progetto nell'interfaccia della riga di comando di .NET 6.0 o in Visual Studio.

Interfaccia della riga di comando di dotnet core

# Create new web API that uses Microsoft.Identity.Web
dotnet new webapi --auth SingleOrg

Visual Studio: per creare un progetto API Web in Visual Studio, selezionare File>Nuovo>Progetto>ASP.NET Core.

Sia l'interfaccia della riga di comando di .NET che i modelli di progetto di Visual Studio creano un file Program.cs simile a questo frammento di codice. Osserva l'utilizzo della direttiva Microsoft.Identity.Web e le righe contenenti l'autenticazione e l'autorizzazione.

using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.Identity.Web;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddMicrosoftIdentityWebApi(builder.Configuration.GetSection("AzureAd"));

builder.Services.AddControllers();
// Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle
builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();

var app = builder.Build();

// Configure the HTTP request pipeline.
if (app.Environment.IsDevelopment())
{
    app.UseSwagger();
    app.UseSwaggerUI();
}

app.UseHttpsRedirection();

app.UseAuthentication();
app.UseAuthorization();

app.MapControllers();

app.Run();

ASP.NET

Microsoft consiglia di usare il pacchetto NuGet Microsoft.Identity.Web.OWIN durante lo sviluppo di un'API Web con ASP.NET.

Microsoft.Identity.Web.OWIN fornisce l'associazione tra ASP.NET, il middleware di autenticazione ASP.NET e Microsoft Authentication Library (MSAL) per .NET. Consente un'esperienza di sviluppo più chiara e affidabile e sfrutta la potenza di Microsoft Identity Platform e Azure AD B2C.

Usa lo stesso file di configurazione di ASP.NET Core (appsettings.json) ed è necessario assicurarsi che questo file venga copiato con l'output del progetto (impostazione "Copia sempre" nelle proprietà del file in Visual Studio o nel file .csproj)

Microsoft.Identity.Web.OWIN aggiunge un metodo di estensione a IAppBuilder denominato AddMicrosoftIdentityWebApi. Questo metodo accetta come parametro un'istanza di OwinTokenAcquirerFactory che si ottiene chiamando OwinTokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>() e che espone un'istanza di IServiceCollection a cui è possibile aggiungere molti servizi per chiamare le API downstream o configurare la cache dei token.

Di seguito è riportato un esempio di codice per Startup.Auth.cs. Il codice completo è disponibile in tests/DevApps/aspnet-mvc/OwinWebApp

using Microsoft.Owin.Security;
using Microsoft.Owin.Security.Cookies;
using Owin;
using Microsoft.Identity.Web;
using Microsoft.Identity.Web.TokenCacheProviders.InMemory;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.Identity.Client;
using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web.OWIN;
using System.Web.Services.Description;

namespace OwinWebApp
{
    public partial class Startup
    {
        public void ConfigureAuth(IAppBuilder app)
        {
            app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);
            app.UseCookieAuthentication(new CookieAuthenticationOptions());

            OwinTokenAcquirerFactory factory = TokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>();

            app.AddMicrosoftIdentityWebApp(factory);
            factory.Services
                .Configure<ConfidentialClientApplicationOptions>(options => { options.RedirectUri = "https://localhost:44386/"; })
                .AddMicrosoftGraph()
                .AddDownstreamApi("DownstreamAPI1", factory.Configuration.GetSection("DownstreamAPI"))
                .AddInMemoryTokenCaches();
            factory.Build();
        }
    }
}

--

Convalida dei token

Nel frammento di codice precedente, il middleware JwtBearer, ad esempio il middleware OpenID Connect nelle app Web, convalida il token in base al valore di TokenValidationParameters. Il token viene decrittografato in base alle esigenze, le attestazioni vengono estratte e la firma viene verificata. Il middleware convalida quindi il token controllando i dati seguenti:

• Destinatari: il token è destinato all'API Web.
• Sub: è stato rilasciato per un'app autorizzata a chiamare l'API Web.
• Emittente: è stata emessa da un servizio token di sicurezza attendibile.
• Scadenza: La sua durata è entro l'intervallo.
• Firma: non è stata manomessa.

Possono essere presenti anche convalide speciali. Ad esempio, è possibile verificare che le chiavi di firma, incorporate in un token, siano attendibili e che il token non venga riprodotto. Infine, alcuni protocolli richiedono convalide specifiche.

Validatori

I passaggi di convalida vengono acquisiti nei validator, forniti dalla libreria open source Estensioni Microsoft IdentityModel per .NET. I validator sono definiti nel file di origine della libreria Microsoft.IdentityModel.Tokens/Validators.cs.

Nella tabella seguente vengono descritti i validatori:

Validatore	Descrizione
ValidateAudience	Garantisce che il token sia per l'applicazione che convalida il token per te.
ValidateIssuer	Garantisce che il token sia stato emesso da un servizio token di sicurezza attendibile (STS), ovvero da una fonte attendibile.
ConvalidaChiaveDiFirmaEmittente	Garantisce che l'applicazione che convalida il token consideri attendibile la chiave usata per firmare il token. Esiste un caso speciale in cui la chiave è incorporata nel token. Ma questo caso di solito non si verifica.
ValidateLifetime	Garantisce che il token sia ancora o già valido. Il validatore controlla se la durata del token si trova all’interno dell'intervallo specificato dalle attestazioni notbefore ed expires.
ValidateSignature	Garantisce che il token non sia stato manomesso.
ValidateTokenReplay	Garantisce che il token non venga riutilizzato. Vi è un caso speciale per alcuni protocolli monouso.

Personalizzazione della convalida dei token

I validator sono associati alle proprietà della classe TokenValidationParameters. Le proprietà vengono inizializzate dalla configurazione di ASP.NET e ASP.NET Core.

Nella maggior parte dei casi, non è necessario modificare i parametri. Le app che non sono tenant singoli fanno eccezione. Queste app Web accettano utenti di qualsiasi organizzazione o da account Microsoft personali. In questo caso, è necessario convalidare le autorità emettenti. Microsoft.Identity.Web si occupa anche della convalida dell'autorità emittente.

In ASP.NET Core, se si vogliono personalizzare i parametri di convalida del token, usare il frammento di codice seguente nel Startup.cs:

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddMicrosoftIdentityWebApi(Configuration);
services.Configure<JwtBearerOptions>(JwtBearerDefaults.AuthenticationScheme, options =>
{
  options.TokenValidationParameters.ValidAudiences = new[] { /* list of valid audiences */};
});

Per ASP.NET MVC, il seguente esempio di codice illustra come eseguire la convalida del token personalizzata:

https://github.com/azure-samples/active-directory-dotnet-webapi-manual-jwt-validation

Convalida dei token in Funzioni di Azure

È anche possibile convalidare i token di accesso in ingresso in Funzioni di Azure. È possibile trovare esempi di tale convalida negli esempi di codice seguenti in GitHub:

• .NET: Azure-Samples/ms-identity-dotnet-webapi-azurefunctions
• Node.js: Azure-Samples/ms-identity-nodejs-webapi-azurefunctions
• Python: Azure-Samples/ms-identity-python-webapi-azurefunctions)

Passaggi successivi

Passare all'articolo successivo in questo scenario, Verificare gli ambiti e i ruoli dell'app nel codice.