Chroniony internetowy interfejs API: konfiguracja kodu

Dotyczy: Dzierżawcy pracowników (dowiedz się więcej)

Aby skonfigurować kod dla chronionego internetowego interfejsu API, zapoznaj się z tematem:

• To, co definiuje interfejsy API jako chronione.
• Jak skonfigurować token elementu nośnego.
• Jak zweryfikować token.

Zaakceptowana wersja tokenu

Platforma tożsamości Microsoft może wystawiać tokeny w wersji 1.0 i tokeny w wersji 2.0. Aby uzyskać więcej informacji na temat tych tokenów, zapoznaj się z tematem Tokeny dostępu.

Wersja tokenu, którą może zaakceptować interfejs API, zależy od wyboru obsługiwanych typów kont podczas tworzenia rejestracji aplikacji internetowego interfejsu API w witrynie Azure Portal.

• Jeśli wartość Obsługiwanych typów kont to Konta w dowolnym katalogu organizacyjnym i osobistych kontach Microsoft (takich jak Skype, Xbox, Outlook.com), zaakceptowana wersja tokenu musi być w wersji 2.0.
• W przeciwnym razie zaakceptowana wersja tokenu może być w wersji 1.0.

Po utworzeniu aplikacji można określić lub zmienić zaakceptowaną wersję tokenu, wykonując następujące kroki:

1. W centrum administracyjnym firmy Microsoft Entra wybierz aplikację, a następnie wybierz pozycję Manifest.
2. Znajdź właściwość accessTokenAcceptedVersion w manifeście.
3. Wartość określa dla Microsoft Entra, którą wersję tokenu akceptuje web API.
   • Jeśli wartość to 2, internetowy interfejs API akceptuje tokeny w wersji 2.0.
   • Jeśli wartość to null, internetowy interfejs API akceptuje tokeny w wersji 1.0.
4. Jeśli zmieniono wersję tokenu, wybierz pozycję Zapisz.

Internetowy interfejs API określa wersję tokenu, którą akceptuje. Gdy klient żąda tokenu dla interfejsu API z platformy tożsamości Microsoft, otrzymuje on token wskazujący, którą wersję tokenu akceptuje interfejs API.

Co definiuje interfejsy API ASP.NET i ASP.NET Core jako chronione?

Podobnie jak w przypadku aplikacji internetowych, ASP.NET i ASP.NET Core internetowe interfejsy API są chronione, ponieważ ich akcje kontrolera są poprzedzone atrybutem [Autoryzuj]. Akcje kontrolera mogą być wywoływane tylko wtedy, gdy interfejs API jest wywoływany z autoryzowaną tożsamością.

Zastanów się nad następującymi pytaniami:

• Tylko aplikacja może wywoływać internetowy interfejs API. Jak interfejs API zna tożsamość aplikacji, która ją wywołuje?
• Jeśli aplikacja wywołuje interfejs API w imieniu użytkownika, jaka jest tożsamość użytkownika?

Token elementu nośnego

Token elementu nośnego ustawiony w nagłówku, gdy aplikacja jest wywoływana, przechowuje informacje o tożsamości aplikacji. Zawiera również informacje o użytkowniku, chyba że aplikacja internetowa akceptuje wywołania typu service-to-service z aplikacji demona.

Oto przykładowy kod języka C#, który pokazuje klienta wywołującego interfejs API po uzyskaniu tokenu z biblioteką Microsoft Authentication Library for .NET (MSAL.NET):

var scopes = new[] {$"api://.../access_as_user"};
var result = await app.AcquireToken(scopes)
                      .ExecuteAsync();

httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);

// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);

Ważne

Aplikacja kliencka żąda tokenu elementu nośnego do Platforma tożsamości Microsoft dla internetowego interfejsu API. Interfejs API jest jedyną aplikacją, która powinna zweryfikować token i wyświetlić zawarte w nim oświadczenia. Aplikacje klienckie nigdy nie powinny próbować sprawdzać oświadczeń w tokenach.

W przyszłości internetowy interfejs API może wymagać szyfrowania tokenu. To wymaganie uniemożliwiłoby dostęp do aplikacji klienckich, które mogą wyświetlać tokeny dostępu.

Konfiguracja JwtBearer

W tej sekcji opisano sposób konfigurowania tokenu elementu nośnego.

Plik konfiguracji

Należy określić TenantId tylko wtedy, gdy chcesz akceptować tokeny dostępu z jednej dzierżawy (aplikacji biznesowej). W przeciwnym razie może być pozostawiony jako common. Różne wartości mogą być następujące:

• Identyfikator GUID (identyfikator dzierżawy = identyfikator katalogu)
• common może być dowolnymi kontami organizacji i kontami osobistymi
• organizations może być dowolną organizacją
• consumers to konta osobiste Microsoft

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "Enter_the_Application_(client)_ID_here",
    "TenantId": "common"
  },
  "Logging": {
    "LogLevel": {
      "Default": "Warning"
    }
  },
  "AllowedHosts": "*"
}

Używanie niestandardowego identyfikatora URI identyfikatora aplikacji dla internetowego interfejsu API

Jeśli zaakceptowano domyślny URI id. aplikacji proponowany przez Portal Azure, nie musisz określać odbiorcy. W przeciwnym razie dodaj właściwość, której wartością Audience jest identyfikator URI identyfikatora aplikacji dla internetowego interfejsu API. Zazwyczaj zaczyna się to od api://.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "Enter_the_Application_(client)_ID_here",
    "TenantId": "common",
    "Audience": "Enter_the_Application_ID_URI_here"
  },
}

Inicjowanie kodu

Gdy aplikacja jest wywoływana w akcji kontrolera, która zawiera atrybut [Autoryzuj], ASP.NET i ASP.NET Core wyodrębnić token dostępu z tokenu elementu nośnego nagłówka autoryzacji. Token dostępu jest następnie przekazywany do oprogramowania pośredniczącego JwtBearer, który wywołuje rozszerzenia Microsoft IdentityModel dla platformy .NET.

Microsoft.Identity.Web

ASP.NET Rdzeń

Firma Microsoft zaleca użycie pakietu NuGet Microsoft.Identity.Web podczas tworzenia internetowego interfejsu API za pomocą platformy ASP.NET Core.

Microsoft.Identity.Web zapewnia klej między platformą ASP.NET Core, oprogramowaniem pośredniczącym uwierzytelniania i biblioteką Microsoft Authentication Library (MSAL) dla platformy .NET. Umożliwia to jaśniejsze, bardziej niezawodne środowisko deweloperskie i wykorzystuje możliwości Platforma tożsamości Microsoft i Azure AD B2C.

ASP.NET dla platformy .NET 6.0

Aby utworzyć nowy projekt internetowego interfejsu API, który używa biblioteki Microsoft.Identity.Web, użyj szablonu projektu w interfejsie wiersza polecenia platformy .NET 6.0 lub programie Visual Studio.

Interfejs wiersza polecenia platformy Dotnet Core

# Create new web API that uses Microsoft.Identity.Web
dotnet new webapi --auth SingleOrg

Visual Studio — aby utworzyć projekt internetowego interfejsu API w programie Visual Studio, wybierz pozycję >

Zarówno interfejs wiersza polecenia platformy .NET, jak i szablony projektów programu Visual Studio tworzą plik Program.cs , który wygląda podobnie do tego fragmentu kodu. Zwróć uwagę Microsoft.Identity.Web na użycie dyrektywy i wierszy zawierających uwierzytelnianie i autoryzację.

using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.Identity.Web;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddMicrosoftIdentityWebApi(builder.Configuration.GetSection("AzureAd"));

builder.Services.AddControllers();
// Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle
builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();

var app = builder.Build();

// Configure the HTTP request pipeline.
if (app.Environment.IsDevelopment())
{
    app.UseSwagger();
    app.UseSwaggerUI();
}

app.UseHttpsRedirection();

app.UseAuthentication();
app.UseAuthorization();

app.MapControllers();

app.Run();

ASP.NET

Firma Microsoft zaleca użycie pakietu NuGet Microsoft.Identity.Web.OWIN podczas tworzenia internetowego interfejsu API za pomocą ASP.NET.

Microsoft.Identity.Web.OWIN zapewnia klej między ASP.NET, oprogramowaniem pośredniczącym uwierzytelniania ASP.NET a biblioteką Microsoft Authentication Library (MSAL) dla platformy .NET. Umożliwia to jaśniejsze, bardziej niezawodne środowisko deweloperskie i wykorzystuje możliwości Platforma tożsamości Microsoft i Azure AD B2C.

Używa on tego samego pliku konfiguracji co ASP.NET Core (appsettings.json) i należy się upewnić, że ten plik jest kopiowany z danymi wyjściowymi projektu (kopiowanie właściwości zawsze we właściwościach pliku w programie Visual Studio lub w pliku csproj)

Microsoft.Identity.Web.OWIN dodaje metody rozszerzenia do aplikacji IAppBuilder o nazwie AddMicrosoftIdentityWebApi. Ta metoda przyjmuje jako parametr wystąpienie OwinTokenAcquirerFactory , które otrzymujesz wywołanie OwinTokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>() i które przedstawia wystąpienie IServiceCollection , do którego można dodać wiele usług w celu wywoływania podrzędnych interfejsów API lub konfigurowania pamięci podręcznej tokenów.

Oto przykładowy kod dla Startup.Auth.cs. Pełny kod jest dostępny z poziomu aplikacji tests/DevApps/aspnet-mvc/OwinWebApp

using Microsoft.Owin.Security;
using Microsoft.Owin.Security.Cookies;
using Owin;
using Microsoft.Identity.Web;
using Microsoft.Identity.Web.TokenCacheProviders.InMemory;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.Identity.Client;
using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web.OWIN;
using System.Web.Services.Description;

namespace OwinWebApp
{
    public partial class Startup
    {
        public void ConfigureAuth(IAppBuilder app)
        {
            app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);
            app.UseCookieAuthentication(new CookieAuthenticationOptions());

            OwinTokenAcquirerFactory factory = TokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>();

            app.AddMicrosoftIdentityWebApp(factory);
            factory.Services
                .Configure<ConfidentialClientApplicationOptions>(options => { options.RedirectUri = "https://localhost:44386/"; })
                .AddMicrosoftGraph()
                .AddDownstreamApi("DownstreamAPI1", factory.Configuration.GetSection("DownstreamAPI"))
                .AddInMemoryTokenCaches();
            factory.Build();
        }
    }
}

--

Walidacja tokenu

W poprzednim fragmencie kodu oprogramowanie pośredniczące JwtBearer, takie jak oprogramowanie pośredniczące OpenID Connect w aplikacjach internetowych, weryfikuje token na podstawie wartości TokenValidationParameters. Token jest odszyfrowywane zgodnie z potrzebami, oświadczenia są wyodrębniane, a podpis jest weryfikowany. Następnie oprogramowanie pośredniczące weryfikuje token, sprawdzając, czy są to dane:

• Odbiorcy: token jest przeznaczony dla internetowego interfejsu API.
• Sub: został wystawiony dla aplikacji, która może wywoływać internetowy interfejs API.
• Wystawca: został wystawiony przez zaufaną usługę tokenu zabezpieczającego (STS).
• Wygaśnięcie: jego okres istnienia jest w zakresie.
• Podpis: To nie zostało naruszone.

Mogą również istnieć specjalne weryfikacje. Na przykład można sprawdzić, czy klucze podpisywania, gdy są osadzone w tokenie, są zaufane i że token nie jest odtwarzany. Na koniec niektóre protokoły wymagają określonych weryfikacji.

Moduły sprawdzania poprawności

Kroki weryfikacji są przechwytywane w modułach sprawdzania poprawności, które są udostępniane przez rozszerzenia Microsoft IdentityModel dla biblioteki open source platformy .NET . Moduły sprawdzania poprawności są zdefiniowane w pliku źródłowym biblioteki Microsoft.IdentityModel.Tokens/Validators.cs.

W tej tabeli opisano moduły sprawdzania poprawności:

Moduł sprawdzania poprawności	opis
Weryfikowanie odbiorców	Gwarantuje, że token jest przeznaczony dla aplikacji, która weryfikuje token.
ValidateIssuer (Weryfikuj wystawcę)	Gwarantuje, że token został wystawiony przez zaufaną usługę STS, co oznacza, że pochodzi od zaufanej osoby.
SprawdźKluczPodpisuWydawcy	Gwarantuje, że aplikacja z weryfikacją tokenu ufa kluczowi użytemu do podpisania tokenu. Istnieje specjalny przypadek, w którym klucz jest osadzony w tokenie. Ale ten przypadek zwykle się nie pojawia.
ValidateLifetime (WalidacjaDożywotni)	Gwarantuje, że token jest nadal lub jest już prawidłowy. Moduł sprawdzania poprawności sprawdza, czy okres istnienia tokenu znajduje się w zakresie określonym przez notbefore i wygasa oświadczenia.
ValidateSignature (WalidacjaPodpisu)	Gwarantuje, że token nie został naruszony.
ValidateTokenReplay	Gwarantuje, że token nie jest odtwarzany. Istnieje szczególny przypadek dla niektórych protokołów jednorazowego użycia.

Dostosowywanie weryfikacji tokenu

Moduły sprawdzania poprawności są skojarzone z właściwościami klasy TokenValidationParameters . Właściwości są inicjowane z konfiguracji ASP.NET i ASP.NET Core.

W większości przypadków nie trzeba zmieniać parametrów. Aplikacje, które nie są pojedynczymi dzierżawami, to wyjątki. Te aplikacje internetowe akceptują użytkowników z dowolnej organizacji lub z osobistych kont Microsoft. Wystawcy w tym przypadku muszą zostać zweryfikowani. Microsoft.Identity.Web zajmuje się również weryfikacją wystawcy.

Jeśli chcesz dostosować parametry weryfikacji tokenu w ASP.NET Core, użyj następującego fragmentu kodu w Startup.cs:

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddMicrosoftIdentityWebApi(Configuration);
services.Configure<JwtBearerOptions>(JwtBearerDefaults.AuthenticationScheme, options =>
{
  options.TokenValidationParameters.ValidAudiences = new[] { /* list of valid audiences */};
});

W przypadku ASP.NET MVC poniższy przykładowy kod pokazuje, jak przeprowadzić niestandardową walidację tokenu:

https://github.com/azure-samples/active-directory-dotnet-webapi-manual-jwt-validation

Walidacja tokenu w usłudze Azure Functions

Możesz również zweryfikować przychodzące tokeny dostępu w usłudze Azure Functions. Przykłady takiej weryfikacji można znaleźć w następujących przykładach kodu w witrynie GitHub:

• .NET: Azure-samples/ms-identity-dotnet-webapi-azurefunctions
• Node.js: Azure-samples/ms-identity-nodejs-webapi-azurefunctions
• Python: Azure-Samples/ms-identity-python-webapi-azurefunctions: Azure-samples/ms-identity-python-webapi-azurefunctions)

Następne kroki

Przejdź do następnego artykułu w tym scenariuszu, Sprawdź zakresy i role aplikacji w kodzie.