Escolher um fornecedor de autenticação do Microsoft Graph com base no cenário

Artigo
10/03/2024

Os fornecedores de autenticação implementam o código necessário para adquirir um token com a Biblioteca de Autenticação da Microsoft (MSAL), processam alguns potenciais erros para casos como consentimento incremental, palavras-passe expiradas e acesso condicional e, em seguida, definem o cabeçalho de autorização do pedido HTTP. A tabela seguinte lista os fornecedores que correspondem aos cenários de diferentes tipos de aplicações.

Cenário	Fluxo/Concessão	Espectadores	Provedor
Aplicação de Página Única	Código de Autorização com PKCE	Consumidor/Organização Delegado	Fornecedor de código de autorização
Aplicação Web que chama APIs Web
	Código de Autorização	Consumidor/Organização Delegado	Fornecedor de código de autorização
	Credenciais de Cliente	Apenas aplicação	Fornecedor de credenciais de cliente
API Web que chama APIs Web
	Em Nome de	Consumidor/Organização Delegado	Fornecedor em nome de
	Credenciais de Cliente	Apenas aplicação	Fornecedor de credenciais de cliente
Aplicação de ambiente de trabalho que chama APIs Web
	Interativo	Consumidor/Organização Delegado	Fornecedor interativo
	Windows integrado	Organização Delegada	Fornecedor integrado do Windows
	Proprietário do Recurso	Organização Delegada	Fornecedor de nome de utilizador/palavra-passe
	Código do Dispositivo	Organização Delegada	Fornecedor de código do dispositivo
Aplicação Daemon
	Credenciais de Cliente	Apenas aplicação	Fornecedor de credenciais de cliente
Aplicação móvel que chama APIs Web
	Interativo	Consumidor/Organização Delegado	Fornecedor interativo

Observação

Os fragmentos de código seguintes foram escritos com as versões mais recentes dos respetivos SDKs. Se encontrar erros de compilador com estes fragmentos, certifique-se de que tem as versões mais recentes. As seguintes bibliotecas de Identidade do Azure fornecem os fornecedores de autenticação utilizados:

Os programadores de .NET têm de adicionar o pacote Azure.Identity .
Os programadores de TypeScript e JavaScript têm de adicionar a biblioteca de @azure/identidade .
Os programadores de Java e Android têm de adicionar a biblioteca de identidades do azure .

Fornecedor de código de autorização

O fluxo de código de autorização permite que as aplicações Nativas e Web obtenham tokens no nome do utilizador de forma segura. Para saber mais, veja fluxo de código de autorização plataforma de identidade da Microsoft e OAuth 2.0.

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var clientSecret = "YOUR_CLIENT_SECRET";

// For authorization code flow, the user signs into the Microsoft
// identity platform, and the browser is redirected back to your app
// with an authorization code in the query parameters
var authorizationCode = "AUTH_CODE_FROM_REDIRECT";

// using Azure.Identity;
var options = new AuthorizationCodeCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
};

// https://learn.microsoft.com/dotnet/api/azure.identity.authorizationcodecredential
var authCodeCredential = new AuthorizationCodeCredential(
    tenantId, clientId, clientSecret, authorizationCode, options);

var graphClient = new GraphServiceClient(authCodeCredential, scopes);

final String clientId = "YOUR_CLIENT_ID";
final String tenantId = "YOUR_TENANT_ID"; // or "common" for multi-tenant apps
final String clientSecret = "YOUR_CLIENT_SECRET";
final String authorizationCode = "AUTH_CODE_FROM_REDIRECT";
final String redirectUrl = "YOUR_REDIRECT_URI";
final String[] scopes = new String[] { "User.Read" };

final AuthorizationCodeCredential credential = new AuthorizationCodeCredentialBuilder()
    .clientId(clientId).tenantId(tenantId).clientSecret(clientSecret)
    .authorizationCode(authorizationCode).redirectUrl(redirectUrl).build();

if (null == scopes || null == credential) {
    throw new Exception("Unexpected error");
}

final GraphServiceClient graphClient = new GraphServiceClient(credential, scopes);

O SDK PHP do Microsoft Graph não utiliza bibliotecas MSAL, mas sim a autenticação personalizada. Neste caso, AuthorizationCodeContext().

$scopes = ['User.Read'];

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
$tenantId = 'common';

// Values from app registration
$clientId = 'YOUR_CLIENT_ID';
$clientSecret = 'YOUR_CLIENT_SECRET';
$redirectUri = 'YOUR_REDIRECT_URI';

// For authorization code flow, the user signs into the Microsoft
// identity platform, and the browser is redirected back to your app
// with an authorization code in the query parameters
$authorizationCode = 'AUTH_CODE_FROM_REDIRECT';

// Microsoft\Kiota\Authentication\Oauth\AuthorizationCodeContext
$tokenContext = new AuthorizationCodeContext(
    $tenantId,
    $clientId,
    $clientSecret,
    $authorizationCode,
    $redirectUri);

$graphClient = new GraphServiceClient($tokenContext, $scopes);

No exemplo seguinte, estamos a utilizar o assíncrono AuthorizationCodeCredential. Em alternativa, pode utilizar a versão síncrona desta credencial.

scopes = ['User.Read']

# Multi-tenant apps can use "common",
# single-tenant apps must use the tenant ID from the Azure portal
tenant_id = 'common'

# Values from app registration
client_id = 'YOUR_CLIENT_ID'
client_secret = 'YOUR_CLIENT_SECRET'
redirect_uri = 'YOUR_REDIRECT_URI'

# For authorization code flow, the user signs into the Microsoft
# identity platform, and the browser is redirected back to your app
# with an authorization code in the query parameters
authorization_code = 'AUTH_CODE_FROM_REDIRECT'

# azure.identity.aio
credential = AuthorizationCodeCredential(
    tenant_id=tenant_id,
    client_id=client_id,
    authorization_code=authorization_code,
    redirect_uri=redirect_uri,
    client_secret=client_secret)

graph_client = GraphServiceClient(credential, scopes) # type: ignore

Utilizar @azure/MSAL-browser para aplicações de browser

// @azure/msal-browser
const pca = new PublicClientApplication({
  auth: {
    clientId: 'YOUR_CLIENT_ID',
    authority: `https://login.microsoft.online/${'YOUR_TENANT_ID'}`,
    redirectUri: 'YOUR_REDIRECT_URI',
  },
});

// Authenticate to get the user's account
const authResult = await pca.acquireTokenPopup({
  scopes: ['User.Read'],
});

if (!authResult.account) {
  throw new Error('Could not authenticate');
}

// @microsoft/microsoft-graph-client/authProviders/authCodeMsalBrowser
const authProvider = new AuthCodeMSALBrowserAuthenticationProvider(pca, {
  account: authResult.account,
  interactionType: InteractionType.Popup,
  scopes: ['User.Read'],
});

const graphClient = Client.initWithMiddleware({ authProvider: authProvider });

Utilizar @azure/identity para aplicações do lado do servidor

// @azure/identity
const credential = new AuthorizationCodeCredential(
  'YOUR_TENANT_ID',
  'YOUR_CLIENT_ID',
  'YOUR_CLIENT_SECRET',
  'AUTHORIZATION_CODE',
  'REDIRECT_URL',
);

// @microsoft/microsoft-graph-client/authProviders/azureTokenCredentials
const authProvider = new TokenCredentialAuthenticationProvider(credential, {
  scopes: ['User.Read'],
});

const graphClient = Client.initWithMiddleware({ authProvider: authProvider });

Fornecedor de credenciais de cliente

O fluxo de credenciais do cliente permite que as aplicações de serviço seja executadas sem interação do utilizador. O Access baseia-se na identidade da aplicação. Para obter mais informações, veja plataforma de identidade da Microsoft e o fluxo de credenciais de cliente OAuth 2.0.

Usando um certificado de cliente

var scopes = new[] { "https://graph.microsoft.com/.default" };

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var tenantId = "YOUR_TENANT_ID";
var clientCertificate = new X509Certificate2("MyCertificate.pfx");

// using Azure.Identity;
var options = new ClientCertificateCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
};

// https://learn.microsoft.com/dotnet/api/azure.identity.clientcertificatecredential
var clientCertCredential = new ClientCertificateCredential(
    tenantId, clientId, clientCertificate, options);

var graphClient = new GraphServiceClient(clientCertCredential, scopes);

Utilizar um segredo do cliente

// The client credentials flow requires that you request the
// /.default scope, and pre-configure your permissions on the
// app registration in Azure. An administrator must grant consent
// to those permissions beforehand.
var scopes = new[] { "https://graph.microsoft.com/.default" };

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var tenantId = "YOUR_TENANT_ID";
var clientSecret = "YOUR_CLIENT_SECRET";

// using Azure.Identity;
var options = new ClientSecretCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
};

// https://learn.microsoft.com/dotnet/api/azure.identity.clientsecretcredential
var clientSecretCredential = new ClientSecretCredential(
    tenantId, clientId, clientSecret, options);

var graphClient = new GraphServiceClient(clientSecretCredential, scopes);

Usando um certificado de cliente

// Load certificate
certFile, _ := os.Open("certificate.pem")
info, _ := certFile.Stat()
certBytes := make([]byte, info.Size())
certFile.Read(certBytes)
certFile.Close()

certs, key, _ := azidentity.ParseCertificates(certBytes, nil)

cred, _ := azidentity.NewClientCertificateCredential(
    "TENANT_ID",
    "CLIENT_ID",
    certs,
    key,
    nil,
)

graphClient, _ := graph.NewGraphServiceClientWithCredentials(
    cred, []string{"https://graph.microsoft.com/.default"})

Utilizar um segredo do cliente

cred, _ := azidentity.NewClientSecretCredential(
    "TENANT_ID",
    "CLIENT_ID",
    "CLIENT_SECRET",
    nil,
)

graphClient, _ := graph.NewGraphServiceClientWithCredentials(
    cred, []string{"https://graph.microsoft.com/.default"})

Usando um certificado de cliente

final String clientId = "YOUR_CLIENT_ID";
final String tenantId = "YOUR_TENANT_ID";
final String clientCertificatePath = "MyCertificate.pem";

// The client credentials flow requires that you request the
// /.default scope, and pre-configure your permissions on the
// app registration in Azure. An administrator must grant consent
// to those permissions beforehand.
final String[] scopes = new String[] {"https://graph.microsoft.com/.default"};

final ClientCertificateCredential credential = new ClientCertificateCredentialBuilder()
    .clientId(clientId).tenantId(tenantId).pemCertificate(clientCertificatePath)
    .build();

if (null == scopes || null == credential) {
    throw new Exception("Unexpected error");
}

final GraphServiceClient graphClient = new GraphServiceClient(credential, scopes);

Utilizar um segredo do cliente

final String clientId = "YOUR_CLIENT_ID";
final String tenantId = "YOUR_TENANT_ID";
final String clientSecret = "YOUR_CLIENT_SECRET";

// The client credentials flow requires that you request the
// /.default scope, and pre-configure your permissions on the
// app registration in Azure. An administrator must grant consent
// to those permissions beforehand.
final String[] scopes = new String[] { "https://graph.microsoft.com/.default" };

final ClientSecretCredential credential = new ClientSecretCredentialBuilder()
    .clientId(clientId).tenantId(tenantId).clientSecret(clientSecret).build();

if (null == scopes || null == credential) {
    throw new Exception("Unexpected error");
}

final GraphServiceClient graphClient = new GraphServiceClient(credential, scopes);

O SDK PHP do Microsoft Graph não utiliza bibliotecas MSAL, mas sim a autenticação personalizada. Neste caso, ClientCredentialContext().

Usando um certificado de cliente

// The client credentials flow requires that you request the
// /.default scope, and pre-configure your permissions on the
// app registration in Azure. An administrator must grant consent
// to those permissions beforehand.
$scopes = ['https://graph.microsoft.com/.default'];

// Values from app registration
$clientId = 'YOUR_CLIENT_ID';
$tenantId = 'YOUR_TENANT_ID';

// Certificate details
$certificatePath = 'PATH_TO_CERTIFICATE';
$privateKeyPath = 'PATH_TO_PRIVATE_KEY';
$privateKeyPassphrase = 'PASSPHRASE';

// Microsoft\Kiota\Authentication\Oauth\ClientCredentialCertificateContext
$tokenContext = new ClientCredentialCertificateContext(
    $tenantId,
    $clientId,
    $certificatePath,
    $privateKeyPath,
    $privateKeyPassphrase);

$graphClient = new GraphServiceClient($tokenContext, $scopes);

Utilizar um segredo do cliente

// The client credentials flow requires that you request the
// /.default scope, and pre-configure your permissions on the
// app registration in Azure. An administrator must grant consent
// to those permissions beforehand.
$scopes = ['https://graph.microsoft.com/.default'];

// Values from app registration
$clientId = 'YOUR_CLIENT_ID';
$tenantId = 'YOUR_TENANT_ID';
$clientSecret = 'YOUR_CLIENT_SECRET';

// Microsoft\Kiota\Authentication\Oauth\ClientCredentialContext
$tokenContext = new ClientCredentialContext(
    $tenantId,
    $clientId,
    $clientSecret);

$graphClient = new GraphServiceClient($tokenContext, $scopes);

Usando um certificado de cliente

No exemplo seguinte, estamos a utilizar o Asynchronous CertificateCredential. Em alternativa, pode utilizar a versão síncrona desta credencial.

# The client credentials flow requires that you request the
# /.default scope, and pre-configure your permissions on the
# app registration in Azure. An administrator must grant consent
# to those permissions beforehand.
scopes = ['https://graph.microsoft.com/.default']

# Values from app registration
tenant_id = 'YOUR_TENANT_ID'
client_id = 'YOUR_CLIENT_ID'
certificate_path = 'YOUR_CERTIFICATE_PATH'

# azure.identity.aio
credential = CertificateCredential(
    tenant_id=tenant_id,
    client_id=client_id,
    certificate_path=certificate_path)

graph_client = GraphServiceClient(credential, scopes) # type: ignore

Utilizar um segredo do cliente

No exemplo seguinte, estamos a utilizar o assíncrono ClientSecretCredential. Em alternativa, pode utilizar a versão síncrona desta credencial.

# The client credentials flow requires that you request the
# /.default scope, and pre-configure your permissions on the
# app registration in Azure. An administrator must grant consent
# to those permissions beforehand.
scopes = ['https://graph.microsoft.com/.default']

# Values from app registration
tenant_id = 'YOUR_TENANT_ID'
client_id = 'YOUR_CLIENT_ID'
client_secret = 'YOUR_CLIENT_SECRET'

# azure.identity.aio
credential = ClientSecretCredential(
    tenant_id=tenant_id,
    client_id=client_id,
    client_secret=client_secret)

graph_client = GraphServiceClient(credential, scopes) # type: ignore

Usando um certificado de cliente

// @azure/identity
const credential = new ClientCertificateCredential(
  'YOUR_TENANT_ID',
  'YOUR_CLIENT_ID',
  'YOUR_CERTIFICATE_PATH',
);

// @microsoft/microsoft-graph-client/authProviders/azureTokenCredentials
const authProvider = new TokenCredentialAuthenticationProvider(credential, {
  // The client credentials flow requires that you request the
  // /.default scope, and pre-configure your permissions on the
  // app registration in Azure. An administrator must grant consent
  // to those permissions beforehand.
  scopes: ['https://graph.microsoft.com/.default'],
});

const graphClient = Client.initWithMiddleware({ authProvider: authProvider });

Utilizar o segredo de um cliente

// @azure/identity
const credential = new ClientSecretCredential(
  'YOUR_TENANT_ID',
  'YOUR_CLIENT_ID',
  'YOUR_CLIENT_SECRET',
);

// @microsoft/microsoft-graph-client/authProviders/azureTokenCredentials
const authProvider = new TokenCredentialAuthenticationProvider(credential, {
  // The client credentials flow requires that you request the
  // /.default scope, and pre-configure your permissions on the
  // app registration in Azure. An administrator must grant consent
  // to those permissions beforehand.
  scopes: ['https://graph.microsoft.com/.default'],
});

const graphClient = Client.initWithMiddleware({ authProvider: authProvider });

Fornecedor em nome de

O fluxo em nome de é aplicável quando a sua aplicação chama uma API de serviço/Web, que chama o microsoft API do Graph. Saiba mais ao ler plataforma de identidade da Microsoft e fluxo OAuth 2.0 On-Behalf-Of

var scopes = new[] { "https://graph.microsoft.com/.default" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var clientSecret = "YOUR_CLIENT_SECRET";

// using Azure.Identity;
var options = new OnBehalfOfCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
};

// This is the incoming token to exchange using on-behalf-of flow
var oboToken = "JWT_TOKEN_TO_EXCHANGE";

var onBehalfOfCredential = new OnBehalfOfCredential(
    tenantId, clientId, clientSecret, oboToken, options);

var graphClient = new GraphServiceClient(onBehalfOfCredential, scopes);

cred, _ := azidentity.NewOnBehalfOfCredentialWithSecret(
    "TENANT_ID",
    "CLIENT_ID",
    "USER_ASSERTION_STRING",
    "CLIENT_SECRET",
    nil,
)

graphClient, _ := graph.NewGraphServiceClientWithCredentials(
    cred, []string{"https://graph.microsoft.com/.default"})

final String clientId = "YOUR_CLIENT_ID";
final String tenantId = "YOUR_TENANT_ID"; // or "common" for multi-tenant apps
final String clientSecret = "YOUR_CLIENT_SECRET";
final String[] scopes = new String[] {"https://graph.microsoft.com/.default"};

// This is the incoming token to exchange using on-behalf-of flow
final String oboToken = "JWT_TOKEN_TO_EXCHANGE";

final OnBehalfOfCredential credential = new OnBehalfOfCredentialBuilder()
    .clientId(clientId).tenantId(tenantId).clientSecret(clientSecret)
    .userAssertion(oboToken).build();

if (null == scopes || null == credential) {
    throw new Exception("Unexpected error");
}

final GraphServiceClient graphClient = new GraphServiceClient(credential, scopes);

O SDK PHP do Microsoft Graph não utiliza bibliotecas MSAL, mas sim a autenticação personalizada. Neste caso, OnBehalfOfContext().

$scopes = ['https://graph.microsoft.com/.default'];

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
$tenantId = 'common';

// Values from app registration
$clientId = 'YOUR_CLIENT_ID';
$clientSecret = 'YOUR_CLIENT_SECRET';

// This is the incoming token to exchange using on-behalf-of flow
$oboToken = 'JWT_TOKEN_TO_EXCHANGE';

// Microsoft\Kiota\Authentication\Oauth\OnBehalfOfContext
$tokenContext = new OnBehalfOfContext(
    $tenantId,
    $clientId,
    $clientSecret,
    $oboToken);

$graphClient = new GraphServiceClient($tokenContext, $scopes);

No exemplo seguinte, estamos a utilizar o assíncrono OnBehalfOfCredential. Em alternativa, pode utilizar a versão síncrona desta credencial.

scopes = ['https://graph.microsoft.com/.default']

# Multi-tenant apps can use "common",
# single-tenant apps must use the tenant ID from the Azure portal
tenant_id = 'common'

# Values from app registration
client_id = 'YOUR_CLIENT_ID'
client_secret = 'YOUR_CLIENT_SECRET'

# This is the incoming token to exchange using on-behalf-of flow
obo_token = 'JWT_TOKEN_TO_EXCHANGE'

# azure.identity.aio
credential = OnBehalfOfCredential(
    tenant_id=tenant_id,
    client_id=client_id,
    client_secret=client_secret,
    user_assertion=obo_token)

graph_client = GraphServiceClient(credential, scopes) # type: ignore

// @azure/identity
const credential = new OnBehalfOfCredential({
  tenantId: 'YOUR_TENANT_ID',
  clientId: 'YOUR_CLIENT_ID',
  clientSecret: 'YOUR_CLIENT_SECRET',
  userAssertionToken: 'JWT_TOKEN_TO_EXCHANGE',
});

// @microsoft/microsoft-graph-client/authProviders/azureTokenCredentials
const authProvider = new TokenCredentialAuthenticationProvider(credential, {
  scopes: ['https://graph.microsoft.com/.default'],
});

const graphClient = Client.initWithMiddleware({ authProvider: authProvider });

Fornecedor implícito

O fluxo de Autenticação Implícita não é recomendado devido às desvantagens. Os clientes públicos, como aplicações nativas e aplicações de página única, devem agora utilizar o fluxo de código de autorização com a extensão PKCE. Referência.

Fornecedor de código do dispositivo

O fluxo de código do dispositivo permite o início de sessão nos dispositivos através de outro dispositivo. Para obter detalhes, veja plataforma de identidade da Microsoft e o fluxo de código do dispositivo OAuth 2.0.

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

// using Azure.Identity;
var options = new DeviceCodeCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
    ClientId = clientId,
    TenantId = tenantId,
    // Callback function that receives the user prompt
    // Prompt contains the generated device code that user must
    // enter during the auth process in the browser
    DeviceCodeCallback = (code, cancellation) =>
    {
        Console.WriteLine(code.Message);
        return Task.FromResult(0);
    },
};

// https://learn.microsoft.com/dotnet/api/azure.identity.devicecodecredential
var deviceCodeCredential = new DeviceCodeCredential(options);

var graphClient = new GraphServiceClient(deviceCodeCredential, scopes);

cred, _ := azidentity.NewDeviceCodeCredential(&azidentity.DeviceCodeCredentialOptions{
    TenantID: "TENANT_ID",
    ClientID: "CLIENT_ID",
    UserPrompt: func(ctx context.Context, message azidentity.DeviceCodeMessage) error {
        fmt.Println(message.Message)
        return nil
    },
})

graphClient, _ := graph.NewGraphServiceClientWithCredentials(
    cred, []string{"User.Read"})

final String clientId = "YOUR_CLIENT_ID";
final String tenantId = "YOUR_TENANT_ID"; // or "common" for multi-tenant apps
final String[] scopes = new String[] {"User.Read"};

final DeviceCodeCredential credential = new DeviceCodeCredentialBuilder()
    .clientId(clientId).tenantId(tenantId).challengeConsumer(challenge -> {
        // Display challenge to the user
        System.out.println(challenge.getMessage());
    }).build();

if (null == scopes || null == credential) {
    throw new Exception("Unexpected error");
}

final GraphServiceClient graphClient = new GraphServiceClient(credential, scopes);

scopes = ['User.Read']

# Multi-tenant apps can use "common",
# single-tenant apps must use the tenant ID from the Azure portal
tenant_id = 'common'

# Values from app registration
client_id = 'YOUR_CLIENT_ID'

# azure.identity
credential = DeviceCodeCredential(
    tenant_id=tenant_id,
    client_id=client_id)

graph_client = GraphServiceClient(credential, scopes)

// @azure/identity
const credential = new DeviceCodeCredential({
  tenantId: 'YOUR_TENANT_ID',
  clientId: 'YOUR_CLIENT_ID',
  userPromptCallback: (info) => {
    console.log(info.message);
  },
});

// @microsoft/microsoft-graph-client/authProviders/azureTokenCredentials
const authProvider = new TokenCredentialAuthenticationProvider(credential, {
  scopes: ['User.Read'],
});

const graphClient = Client.initWithMiddleware({ authProvider: authProvider });

Fornecedor integrado do Windows

O fluxo integrado do Windows permite que os computadores Windows utilizem o Gestor de Conta Web (WAM) para adquirir um token de acesso quando associados a um domínio silenciosamente.

Observação

A autenticação através do WAM tem requisitos específicos. Veja Azure Identity Brokered Authentication client library (Biblioteca de cliente de Autenticação Mediada de Identidades do Azure) para obter detalhes.

[DllImport("user32.dll")]
static extern IntPtr GetForegroundWindow();

// Get parent window handle
var parentWindowHandle = GetForegroundWindow();

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

// using Azure.Identity.Broker;
// This will use the Web Account Manager in Windows
var options = new InteractiveBrowserCredentialBrokerOptions(parentWindowHandle)
{
    ClientId = clientId,
    TenantId = tenantId,
};

// https://learn.microsoft.com/dotnet/api/azure.identity.interactivebrowsercredential
var credential = new InteractiveBrowserCredential(options);

var graphClient = new GraphServiceClient(credential, scopes);

return graphClient;

Fornecedor interativo

O fluxo interativo é utilizado por aplicações móveis (Xamarin e UWP) e aplicações de ambiente de trabalho para chamar o Microsoft Graph em nome de um utilizador. Para obter detalhes, veja Adquirir tokens interativamente.

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

// using Azure.Identity;
var options = new InteractiveBrowserCredentialOptions
{
    TenantId = tenantId,
    ClientId = clientId,
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
    // MUST be http://localhost or http://localhost:PORT
    // See https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/wiki/System-Browser-on-.Net-Core
    RedirectUri = new Uri("http://localhost"),
};

// https://learn.microsoft.com/dotnet/api/azure.identity.interactivebrowsercredential
var interactiveCredential = new InteractiveBrowserCredential(options);

var graphClient = new GraphServiceClient(interactiveCredential, scopes);

cred, _ := azidentity.NewInteractiveBrowserCredential(&azidentity.InteractiveBrowserCredentialOptions{
    TenantID:    "TENANT_ID",
    ClientID:    "CLIENT_ID",
    RedirectURL: "REDIRECT_URL",
})

graphClient, _ := graph.NewGraphServiceClientWithCredentials(
    cred, []string{"User.Read"})

final String clientId = "YOUR_CLIENT_ID";
final String tenantId = "YOUR_TENANT_ID"; // or "common" for multi-tenant apps
final String redirectUrl = "YOUR_REDIRECT_URI";
final String[] scopes = new String[] {"User.Read"};

final InteractiveBrowserCredential credential = new InteractiveBrowserCredentialBuilder()
    .clientId(clientId).tenantId(tenantId).redirectUrl(redirectUrl).build();

if (null == scopes || null == credential) {
    throw new Exception("Unexpected error");
}

final GraphServiceClient graphClient = new GraphServiceClient(credential, scopes);

scopes = ['User.Read']

# Multi-tenant apps can use "common",
# single-tenant apps must use the tenant ID from the Azure portal
tenant_id = 'common'

# Values from app registration
client_id = 'YOUR_CLIENT_ID'
redirect_uri = 'http://localhost:8000'

# azure.identity
credential = InteractiveBrowserCredential(
    tenant_id=tenant_id,
    client_id=client_id,
    redirect_uri=redirect_uri)

graph_client = GraphServiceClient(credential, scopes)

// @azure/identity
const credential = new InteractiveBrowserCredential({
  tenantId: 'YOUR_TENANT_ID',
  clientId: 'YOUR_CLIENT_ID',
  redirectUri: 'http://localhost',
});

// @microsoft/microsoft-graph-client/authProviders/azureTokenCredentials
const authProvider = new TokenCredentialAuthenticationProvider(credential, {
  scopes: ['User.Read'],
});

const graphClient = Client.initWithMiddleware({ authProvider: authProvider });

Fornecedor de nome de utilizador/palavra-passe

O fornecedor de nome de utilizador/palavra-passe permite que uma aplicação inicie sessão num utilizador com o respetivo nome de utilizador e palavra-passe.

Observação

A Microsoft recomenda que utilize o fluxo de autenticação mais seguro disponível. O fluxo de autenticação descrito neste procedimento requer um grau muito elevado de confiança na aplicação e acarreta riscos que não estão presentes noutros fluxos. Só deve utilizar este fluxo quando outros fluxos mais seguros, como identidades geridas, não forem viáveis. Para obter mais informações, veja plataforma de identidade da Microsoft e a credencial de palavra-passe do proprietário do recurso OAuth 2.0.

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

// using Azure.Identity;
var options = new UsernamePasswordCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
};

var userName = "adelev@contoso.com";
var password = "Password1!";

// https://learn.microsoft.com/dotnet/api/azure.identity.usernamepasswordcredential
var userNamePasswordCredential = new UsernamePasswordCredential(
    userName, password, tenantId, clientId, options);

var graphClient = new GraphServiceClient(userNamePasswordCredential, scopes);

cred, _ := azidentity.NewUsernamePasswordCredential(
    "TENANT_ID",
    "CLIENT_ID",
    "USER_NAME",
    "PASSWORD",
    nil,
)

graphClient, _ := graph.NewGraphServiceClientWithCredentials(
    cred, []string{"User.Read"})

final String clientId = "YOUR_CLIENT_ID";
final String tenantId = "YOUR_TENANT_ID"; // or "common" for multi-tenant apps
final String userName = "YOUR_USER_NAME";
final String password = "YOUR_PASSWORD";
final String[] scopes = new String[] {"User.Read"};

final UsernamePasswordCredential credential = new UsernamePasswordCredentialBuilder()
    .clientId(clientId).tenantId(tenantId).username(userName).password(password)
    .build();

if (null == scopes || null == credential) {
    throw new Exception("Unexpected error");
}

final GraphServiceClient graphClient = new GraphServiceClient(credential, scopes);

scopes = ['User.Read']

# Multi-tenant apps can use "common",
# single-tenant apps must use the tenant ID from the Azure portal
tenant_id = 'common'

# Values from app registration
client_id = 'YOUR_CLIENT_ID'

# User name and password
username = 'adelev@contoso.com'
password = 'Password1!'

# azure.identity
credential = UsernamePasswordCredential(
    tenant_id=tenant_id,
    client_id=client_id,
    username=username,
    password=password)

graph_client = GraphServiceClient(credential, scopes)

// @azure/identity
const credential = new UsernamePasswordCredential(
  'YOUR_TENANT_ID',
  'YOUR_CLIENT_ID',
  'YOUR_USER_NAME',
  'YOUR_PASSWORD',
);

// @microsoft/microsoft-graph-client/authProviders/azureTokenCredentials
const authProvider = new TokenCredentialAuthenticationProvider(credential, {
  scopes: ['User.Read'],
});

const graphClient = Client.initWithMiddleware({ authProvider: authProvider });

Próximas etapas

Para obter exemplos de código que lhe mostram como utilizar o plataforma de identidade da Microsoft para proteger diferentes tipos de aplicações, veja plataforma de identidade da Microsoft exemplos de código (ponto final v2.0).
Os fornecedores de autenticação necessitam de um ID de cliente. Deverá registar a sua aplicação depois de configurar o seu fornecedor de autenticação.
Informe-nos se um fluxo OAuth necessário não é atualmente suportado ao votar ou abrir um pedido de funcionalidade do Microsoft Graph.

Compartilhar via

Escolher um fornecedor de autenticação do Microsoft Graph com base no cenário

Fornecedor de código de autorização

Utilizar @azure/MSAL-browser para aplicações de browser

Utilizar @azure/identity para aplicações do lado do servidor

Fornecedor de credenciais de cliente

Usando um certificado de cliente

Utilizar um segredo do cliente

Usando um certificado de cliente

Utilizar um segredo do cliente

Usando um certificado de cliente

Utilizar um segredo do cliente

Usando um certificado de cliente

Utilizar um segredo do cliente

Usando um certificado de cliente

Utilizar um segredo do cliente

Usando um certificado de cliente

Utilizar o segredo de um cliente

Fornecedor em nome de

Fornecedor implícito

Fornecedor de código do dispositivo

Fornecedor integrado do Windows

Fornecedor interativo

Fornecedor de nome de utilizador/palavra-passe

Próximas etapas

Comentários

Recursos adicionais