Criar aplicações .NET com o Microsoft Graph e a autenticação apenas de aplicações

Artigo
Developer (Iniciante)
19 minutos para concluir

Este tutorial ensina-o a criar uma aplicação de consola .NET que utiliza a Microsoft Graph API para aceder a dados através da autenticação apenas de aplicações. A autenticação apenas de aplicações é uma boa opção para serviços em segundo plano ou aplicações que precisam de aceder aos dados de todos os utilizadores numa organização.

Observação

Para saber como utilizar o Microsoft Graph para aceder a dados em nome de um utilizador, veja este tutorial de autenticação de utilizador (delegado).

Neste tutorial, você vai:

Listar usuários

Dica

Como alternativa a seguir este tutorial, pode transferir ou clonar o repositório do GitHub e seguir as instruções no README para registar uma aplicação e configurar o projeto.

Pré-requisitos

Antes de iniciar este tutorial, deve ter o SDK .NET instalado no seu computador de desenvolvimento.

Também deve ter uma conta escolar ou profissional da Microsoft com a função de Administrador global. Se não tiver um inquilino do Microsoft 365, poderá qualificar-se para um através do Programa para Programadores do Microsoft 365; para obter detalhes, veja as FAQ. Em alternativa, pode inscrever-se numa avaliação gratuita de um mês ou comprar um plano do Microsoft 365.

Observação

Este tutorial foi escrito com a versão 7.0.102 do SDK .NET. Os passos neste guia podem funcionar com outras versões, mas isso não foi testado.

Registrar o aplicativo no portal

18 minutos restantes

Neste exercício, irá registar uma nova aplicação no Azure Active Directory para ativar a autenticação apenas de aplicações. Pode registar uma aplicação através do centro de administração do Microsoft Entra ou através do SDK do PowerShell do Microsoft Graph.

Registar aplicação para autenticação apenas de aplicação

Nesta secção, irá registar uma aplicação que suporta a autenticação apenas da aplicação através do fluxo de credenciais de cliente.

Centro de administração do Microsoft Entra
PowerShell

Abra um browser e navegue para o centro de administração do Microsoft Entra e inicie sessão com uma conta de Administrador global.
Selecione Microsoft Entra ID no painel de navegação esquerdo, expanda Identidade, expanda Aplicações e, em seguida, selecione Registos de aplicações.
Selecione Novo registro. Introduza um nome para a sua aplicação, por exemplo, Graph App-Only Auth Tutorial.
Defina Tipos de conta suportados como Contas apenas neste diretório organizacional.
Deixe o URI de Redirecionamento vazio.
Selecione Registrar. Na página Descrição Geral da aplicação, copie o valor do ID da Aplicação (cliente) e do ID do Diretório (inquilino) e guarde-os, irá precisar destes valores no próximo passo.
Selecione Permissões de API em Gerenciar.
Remova a permissão User.Read predefinida em Permissões configuradas ao selecionar as reticências (...) na respetiva linha e selecionar Remover permissão.
Selecione Adicionar uma permissão e, em seguida, Microsoft Graph.
Selecione Permissões de aplicativos.
Selecione User.Read.All e, em seguida, selecione Adicionar permissões.
Selecione Conceder consentimento do administrador para...e, em seguida, selecione Sim para dar consentimento do administrador para a permissão selecionada.
Selecione Certificados e segredos em Gerir e, em seguida, selecione Novo segredo do cliente.
Introduza uma descrição, escolha uma duração e selecione Adicionar.
Copie o segredo da coluna Valor . Irá precisar dele nos próximos passos.

Importante

Este segredo do cliente nunca é mostrado novamente, portanto, certifique-se de copiá-lo agora.

Para utilizar o PowerShell, precisará do SDK do PowerShell do Microsoft Graph. Se não o tiver, veja Instalar o SDK do PowerShell do Microsoft Graph para obter instruções de instalação.

Crie um novo ficheiro com o nomeRegisterAppForAppOnlyAuth.ps1 e adicione o seguinte código.

param(
  [Parameter(Mandatory=$true,
  HelpMessage="The friendly name of the app registration")]
  [String]
  $AppName,

  [Parameter(Mandatory=$true,
  HelpMessage="The application permission scopes to configure on the app registration")]
  [String[]]
  $GraphScopes,

  [Parameter(Mandatory=$false)]
  [Switch]
  $StayConnected = $false
)

$graphAppId = "00000003-0000-0000-c000-000000000000"

# Requires an admin
Connect-MgGraph -Scopes "Application.ReadWrite.All AppRoleAssignment.ReadWrite.All User.Read" -UseDeviceAuthentication -ErrorAction Stop

# Get context for access to tenant ID
$context = Get-MgContext -ErrorAction Stop
$authTenant = $context.TenantId

# Create app registration
$appRegistration = New-MgApplication -DisplayName $AppName -SignInAudience "AzureADMyOrg" -ErrorAction Stop
Write-Host -ForegroundColor Cyan "App registration created with app ID" $appRegistration.AppId

# Create corresponding service principal
$appServicePrincipal = New-MgServicePrincipal -AppId $appRegistration.AppId -ErrorAction SilentlyContinue `
  -ErrorVariable SPError
if ($SPError)
{
  Write-Host -ForegroundColor Red "A service principal for the app could not be created."
  Write-Host -ForegroundColor Red $SPError
  Exit
}

Write-Host -ForegroundColor Cyan "Service principal created"

# Lookup available Graph application permissions
$graphServicePrincipal = Get-MgServicePrincipal -Filter ("appId eq '" + $graphAppId + "'") -ErrorAction Stop
$graphAppPermissions = $graphServicePrincipal.AppRoles

$resourceAccess = @()

foreach($scope in $GraphScopes)
{
  $permission = $graphAppPermissions | Where-Object { $_.Value -eq $scope }
  if ($permission)
  {
    $resourceAccess += @{ Id =  $permission.Id; Type = "Role"}
  }
  else
  {
    Write-Host -ForegroundColor Red "Invalid scope:" $scope
    Exit
  }
}

# Add the permissions to required resource access
Update-MgApplication -ApplicationId $appRegistration.Id -RequiredResourceAccess `
 @{ ResourceAppId = $graphAppId; ResourceAccess = $resourceAccess } -ErrorAction Stop
Write-Host -ForegroundColor Cyan "Added application permissions to app registration"

# Add admin consent
foreach ($appRole in $resourceAccess)
{
  New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $appServicePrincipal.Id `
   -PrincipalId $appServicePrincipal.Id -ResourceId $graphServicePrincipal.Id `
   -AppRoleId $appRole.Id -ErrorAction SilentlyContinue -ErrorVariable SPError | Out-Null
  if ($SPError)
  {
    Write-Host -ForegroundColor Red "Admin consent for one of the requested scopes could not be added."
    Write-Host -ForegroundColor Red $SPError
    Exit
  }
}
Write-Host -ForegroundColor Cyan "Added admin consent"

# Add a client secret
$clientSecret = Add-MgApplicationPassword -ApplicationId $appRegistration.Id -PasswordCredential `
 @{ DisplayName = "Added by PowerShell" } -ErrorAction Stop

Write-Host
Write-Host -ForegroundColor Green "SUCCESS"
Write-Host -ForegroundColor Cyan -NoNewline "Client ID: "
Write-Host -ForegroundColor Yellow $appRegistration.AppId
Write-Host -ForegroundColor Cyan -NoNewline "Tenant ID: "
Write-Host -ForegroundColor Yellow $authTenant
Write-Host -ForegroundColor Cyan -NoNewline "Client secret: "
Write-Host -ForegroundColor Yellow $clientSecret.SecretText
Write-Host -ForegroundColor Cyan -NoNewline "Secret expires: "
Write-Host -ForegroundColor Yellow $clientSecret.EndDateTime

if ($StayConnected -eq $false)
{
  Disconnect-MgGraph | Out-Null
  Write-Host "Disconnected from Microsoft Graph"
}
else
{
  Write-Host
  Write-Host -ForegroundColor Yellow `
   "The connection to Microsoft Graph is still active. To disconnect, use Disconnect-MgGraph"
}

Salve o arquivo.
Abra o PowerShell e altere o diretório atual para a localização de RegisterAppForAppOnlyAuth.ps1.

Execute o seguinte comando:

.\RegisterAppForAppOnlyAuth.ps1 -AppName "Graph App-Only Auth Tutorial" -GraphScopes "User.Read.All"

Siga o pedido para abrir https://microsoft.com/devicelogin num browser, introduza o código fornecido e conclua o processo de autenticação.

Copie os valores ID de Cliente, ID do Inquilino e Segredo do cliente do resultado do script. Irá precisar destes valores no próximo passo.

SUCCESS
Client ID: ae2386e6-799e-4f75-b191-855d7e691c75
Tenant ID: 5927c10a-91bd-4408-9c70-c50bce922b71
Client secret: ...
Secret expires: 10/28/2024 5:01:45 PM

Observação

Repare que, ao contrário dos passos ao registar para autenticação de utilizador, nesta secção, configurou as permissões do Microsoft Graph no registo de aplicações. Isto deve-se ao facto de a autenticação apenas da aplicação utilizar o fluxo de credenciais do cliente, o que requer que as permissões sejam configuradas no registo de aplicações. Veja O âmbito .default para obter detalhes.

Criar uma aplicação de consola .NET

15 minutos restantes

Comece por criar um novo projeto de consola .NET com a CLI de .NET.

Abra a interface de linha de comandos (CLI) num diretório onde pretende criar o projeto. Execute o seguinte comando:
```
dotnet new console -o GraphAppOnlyTutorial
```
Assim que o projeto for criado, verifique se funciona ao alterar o diretório atual para o diretório GraphTutorial e ao executar o seguinte comando na CLI.
```
dotnet run
```
Se funcionar, a aplicação deverá produzir Hello, World!.

Instalar dependências

Antes de continuar, adicione algumas dependências adicionais que irá utilizar mais tarde.

Pacotes de configuração .NET para ler a configuração da aplicação a partir de appsettings.json.
Biblioteca de cliente da Identidade do Azure para .NET para autenticar o utilizador e adquirir tokens de acesso.
Biblioteca de cliente .NET do Microsoft Graph para fazer chamadas para o Microsoft Graph.

Execute os seguintes comandos na CLI para instalar as dependências.

dotnet add package Microsoft.Extensions.Configuration.Binder
dotnet add package Microsoft.Extensions.Configuration.Json
dotnet add package Microsoft.Extensions.Configuration.UserSecrets
dotnet add package Azure.Identity
dotnet add package Microsoft.Graph

Carregar as definições da aplicação

Nesta secção, irá adicionar os detalhes do registo da aplicação ao projeto.

Crie um ficheiro no diretório GraphAppOnlyTutorial com o nome appsettings.json e adicione o seguinte código.
```
{
  "settings": {
    "clientId": "YOUR_CLIENT_ID_HERE",
    "tenantId": "YOUR_TENANT_ID_HERE"
  }
}
```
Atualize os valores de acordo com a tabela seguinte.

Configuração Valor

clientId O ID de cliente do registo de aplicações

tenantId O ID de inquilino da sua organização.

Dica

Opcionalmente, pode definir estes valores num ficheiro separado com o nome appsettings. Development.json.
Adicione o segredo do cliente ao Gestor de Segredos do .NET. Na interface da linha de comandos, altere o diretório para a localização de GraphAppOnlyTutorial.csproj e execute os seguintes comandos, substituindo <client-secret> pelo segredo do cliente.
```
dotnet user-secrets init
dotnet user-secrets set settings:clientSecret <client-secret>
```
Atualize GraphAppOnlyTutorial.csproj para copiar appsettings.json para o diretório de saída. Adicione o seguinte código entre as <Project> linhas e </Project> .
```
<ItemGroup>
  <None Include="appsettings*.json">
    <CopyToOutputDirectory>Always</CopyToOutputDirectory>
  </None>
</ItemGroup>
```

Configuração	Valor
`clientId`	O ID de cliente do registo de aplicações
`tenantId`	O ID de inquilino da sua organização.

Crie um ficheiro no diretório GraphAppOnlyTutorial com o nome Settings.cs e adicione o seguinte código.

using Microsoft.Extensions.Configuration;

public class Settings
{
    public string? ClientId { get; set; }
    public string? ClientSecret { get; set; }
    public string? TenantId { get; set; }

    public static Settings LoadSettings()
    {
        // Load settings
        IConfiguration config = new ConfigurationBuilder()
            // appsettings.json is required
            .AddJsonFile("appsettings.json", optional: false)
            // appsettings.Development.json" is optional, values override appsettings.json
            .AddJsonFile($"appsettings.Development.json", optional: true)
            // User secrets are optional, values override both JSON files
            .AddUserSecrets<Program>()
            .Build();

        return config.GetRequiredSection("Settings").Get<Settings>() ??
            throw new Exception("Could not load app settings. See README for configuration instructions.");
    }
}

Design do aplicativo

Nesta secção, irá criar um menu simples baseado na consola.

Abra ./Program.cs e substitua todo o respetivo conteúdo pelo seguinte código.

Console.WriteLine(".NET Graph App-only Tutorial\n");

var settings = Settings.LoadSettings();

// Initialize Graph
InitializeGraph(settings);

int choice = -1;

while (choice != 0)
{
    Console.WriteLine("Please choose one of the following options:");
    Console.WriteLine("0. Exit");
    Console.WriteLine("1. Display access token");
    Console.WriteLine("2. List users");
    Console.WriteLine("3. Make a Graph call");

    try
    {
        choice = int.Parse(Console.ReadLine() ?? string.Empty);
    }
    catch (System.FormatException)
    {
        // Set to invalid value
        choice = -1;
    }

    switch(choice)
    {
        case 0:
            // Exit the program
            Console.WriteLine("Goodbye...");
            break;
        case 1:
            // Display access token
            await DisplayAccessTokenAsync();
            break;
        case 2:
            // List users
            await ListUsersAsync();
            break;
        case 3:
            // Run any Graph code
            await MakeGraphCallAsync();
            break;
        default:
            Console.WriteLine("Invalid choice! Please try again.");
            break;
    }
}

Adicione os seguintes métodos de marcador de posição no final do ficheiro. Irá implementá-los em passos posteriores.

void InitializeGraph(Settings settings)
{
    // TODO
}

async Task DisplayAccessTokenAsync()
{
    // TODO
}

async Task ListUsersAsync()
{
    // TODO
}

async Task MakeGraphCallAsync()
{
    // TODO
}

Esta ação implementa um menu básico e lê a escolha do utilizador a partir da linha de comandos.

Adicionar autenticação apenas de aplicação

9 minutos restantes

Nesta secção, irá adicionar a autenticação apenas de aplicação à aplicação. Isto é necessário para obter o token de acesso OAuth necessário para chamar o Microsoft Graph. Neste passo, irá integrar a biblioteca de cliente da Identidade do Azure para .NET na aplicação e configurar a autenticação para a biblioteca de cliente .NET do Microsoft Graph.

A biblioteca de Identidade do Azure fornece várias classes que implementam fluxos de TokenCredential tokens OAuth2. A biblioteca de cliente do Microsoft Graph utiliza essas classes para autenticar chamadas para o Microsoft Graph.

Configurar o cliente do Graph para autenticação apenas de aplicações

Nesta secção, irá utilizar a ClientSecretCredential classe para pedir um token de acesso com o fluxo de credenciais de cliente.

Crie um novo ficheiro no diretório GraphTutorial com o nome GraphHelper.cs e adicione o seguinte código a esse ficheiro.
```
using Azure.Core;
using Azure.Identity;
using Microsoft.Graph;
using Microsoft.Graph.Models;

class GraphHelper
{
}
```

Adicione o seguinte código à classe GraphHelper.

// Settings object
private static Settings? _settings;
// App-ony auth token credential
private static ClientSecretCredential? _clientSecretCredential;
// Client configured with app-only authentication
private static GraphServiceClient? _appClient;

public static void InitializeGraphForAppOnlyAuth(Settings settings)
{
    _settings = settings;

    // Ensure settings isn't null
    _ = settings ??
        throw new System.NullReferenceException("Settings cannot be null");

    _settings = settings;

    if (_clientSecretCredential == null)
    {
        _clientSecretCredential = new ClientSecretCredential(
            _settings.TenantId, _settings.ClientId, _settings.ClientSecret);
    }

    if (_appClient == null)
    {
        _appClient = new GraphServiceClient(_clientSecretCredential,
            // Use the default scope, which will request the scopes
            // configured on the app registration
            new[] {"https://graph.microsoft.com/.default"});
    }
}

Substitua a função empty InitializeGraph no Program.cs pelo seguinte.

void InitializeGraph(Settings settings)
{
    GraphHelper.InitializeGraphForAppOnlyAuth(settings);
}

Este código declara duas propriedades privadas, um ClientSecretCredential objeto e um GraphServiceClient objeto. A InitializeGraphForAppOnlyAuth função cria uma nova instância de ClientSecretCredentiale, em seguida, utiliza essa instância para criar uma nova instância de GraphServiceClient. Sempre que é efetuada uma chamada à API ao Microsoft Graph através do _appClient, utiliza a credencial fornecida para obter um token de acesso.

Testar o ClientSecretCredential

Em seguida, adicione código para obter um token de acesso a ClientSecretCredentialpartir do .

Adicione a função a seguir à classe GraphHelper.

public static async Task<string> GetAppOnlyTokenAsync()
{
    // Ensure credential isn't null
    _ = _clientSecretCredential ??
        throw new System.NullReferenceException("Graph has not been initialized for app-only auth");

    // Request token with given scopes
    var context = new TokenRequestContext(new[] {"https://graph.microsoft.com/.default"});
    var response = await _clientSecretCredential.GetTokenAsync(context);
    return response.Token;
}

Substitua a função empty DisplayAccessTokenAsync no Program.cs pelo seguinte.

async Task DisplayAccessTokenAsync()
{
    try
    {
        var appOnlyToken = await GraphHelper.GetAppOnlyTokenAsync();
        Console.WriteLine($"App-only token: {appOnlyToken}");
    }
    catch (Exception ex)
    {
        Console.WriteLine($"Error getting app-only access token: {ex.Message}");
    }
}

Crie e execute a aplicação. Introduza 1 quando lhe for pedida uma opção. A aplicação apresenta um token de acesso.
```
.NET Graph Tutorial

Please choose one of the following options:
0. Exit
1. Display access token
2. List users
3. Make a Graph call
1
App-only token: eyJ0eXAiOiJKV1QiLCJub25jZSI6IlVDTzRYOWtKYlNLVjVkRzJGenJqd2xvVUcwWS...
```
Dica

Apenas para fins de validação e depuração, pode descodificar tokens de acesso apenas de aplicações com o analisador de tokens online da Microsoft em https://jwt.ms. Isto pode ser útil se encontrar erros de token ao chamar o Microsoft Graph. Por exemplo, verificar se a role afirmação no token contém os âmbitos de permissão esperados do Microsoft Graph.

Listar usuários

6 minutos restantes

Nesta secção, irá adicionar a capacidade de listar todos os utilizadores no Azure Active Directory através da autenticação apenas de aplicações.

Abra ./GraphHelper.cs e adicione a seguinte função à classe GraphHelper .

public static Task<UserCollectionResponse?> GetUsersAsync()
{
    // Ensure client isn't null
    _ = _appClient ??
        throw new System.NullReferenceException("Graph has not been initialized for app-only auth");

    return _appClient.Users.GetAsync((config) =>
    {
        // Only request specific properties
        config.QueryParameters.Select = new[] { "displayName", "id", "mail" };
        // Get at most 25 results
        config.QueryParameters.Top = 25;
        // Sort by display name
        config.QueryParameters.Orderby = new[] { "displayName" };
    });
}

Substitua a função empty ListUsersAsync no Program.cs pelo seguinte.

async Task ListUsersAsync()
{
    try
    {
        var userPage = await GraphHelper.GetUsersAsync();

        if (userPage?.Value == null)
        {
            Console.WriteLine("No results returned.");
            return;
        }

        // Output each users's details
        foreach (var user in userPage.Value)
        {
            Console.WriteLine($"User: {user.DisplayName ?? "NO NAME"}");
            Console.WriteLine($"  ID: {user.Id}");
            Console.WriteLine($"  Email: {user.Mail ?? "NO EMAIL"}");
        }

        // If NextPageRequest is not null, there are more users
        // available on the server
        // Access the next page like:
        // var nextPageRequest = new UsersRequestBuilder(userPage.OdataNextLink, _appClient.RequestAdapter);
        // var nextPage = await nextPageRequest.GetAsync();
        var moreAvailable = !string.IsNullOrEmpty(userPage.OdataNextLink);

        Console.WriteLine($"\nMore users available? {moreAvailable}");
    }
    catch (Exception ex)
    {
        Console.WriteLine($"Error getting users: {ex.Message}");
    }
}

Execute a aplicação e escolha a opção 2 para listar os utilizadores.

Please choose one of the following options:
0. Exit
1. Display access token
2. List users
3. Make a Graph call
2
User: Adele Vance
  ID: 05fb57bf-2653-4396-846d-2f210a91d9cf
  Email: AdeleV@contoso.com
User: Alex Wilber
  ID: a36fe267-a437-4d24-b39e-7344774d606c
  Email: AlexW@contoso.com
User: Allan Deyoung
  ID: 54cebbaa-2c56-47ec-b878-c8ff309746b0
  Email: AllanD@contoso.com
User: Bianca Pisani
  ID: 9a7dcbd0-72f0-48a9-a9fa-03cd46641d49
  Email: NO EMAIL
User: Brian Johnson (TAILSPIN)
  ID: a8989e40-be57-4c2e-bf0b-7cdc471e9cc4
  Email: BrianJ@contoso.com

...

More users available? True

Código explicado

Considere o código na GetUsersAsync função .

Obtém uma coleção de utilizadores
Select Utiliza para pedir propriedades específicas
Top Utiliza para limitar o número de utilizadores devolvidos
OrderBy Utiliza para ordenar a resposta

Opcional: adicionar o seu próprio código

4 minutos restantes

Nesta secção, irá adicionar as suas próprias capacidades do Microsoft Graph à aplicação. Pode ser um fragmento de código da documentação do Microsoft Graph ou do Graph Explorer ou código que criou. Esta secção é opcional.

Atualizar o aplicativo

Abra ./GraphHelper.cs e adicione a seguinte função à classe GraphHelper .

// This function serves as a playground for testing Graph snippets
// or other code
public async static Task MakeGraphCallAsync()
{
    // INSERT YOUR CODE HERE
}

Substitua a função empty MakeGraphCallAsync no Program.cs pelo seguinte.

async Task MakeGraphCallAsync()
{
    await GraphHelper.MakeGraphCallAsync();
}

Escolher uma API

Localize uma API no Microsoft Graph que gostaria de experimentar. Por exemplo, a API Criar evento . Pode utilizar um dos exemplos na documentação da API ou personalizar um exemplo.

Configurar as permissões

Verifique a secção Permissões da documentação de referência da API escolhida para ver que métodos de autenticação são suportados. Algumas APIs não suportam apenas aplicações ou contas Microsoft pessoais, por exemplo.

Para chamar uma API com autenticação de utilizador (se a API suportar a autenticação de utilizador (delegado), veja o tutorial de autenticação do utilizador (delegado ).
Para chamar uma API com autenticação apenas de aplicação (se a API a suportar), adicione o âmbito de permissão necessário no centro de administração do Azure AD.

Adicionar o código

Copie o código para a MakeGraphCallAsync função no GraphHelper.cs. Se estiver a copiar um fragmento da documentação ou do Graph Explorer, certifique-se de que muda o GraphServiceClient nome para _appClient.

Compartilhar via

Criar aplicações .NET com o Microsoft Graph e a autenticação apenas de aplicações

Pré-requisitos

Registrar o aplicativo no portal

Registar aplicação para autenticação apenas de aplicação

Criar uma aplicação de consola .NET

Instalar dependências

Carregar as definições da aplicação

Design do aplicativo

Adicionar autenticação apenas de aplicação

Configurar o cliente do Graph para autenticação apenas de aplicações

Testar o ClientSecretCredential

Listar usuários

Código explicado

Opcional: adicionar o seu próprio código

Atualizar o aplicativo

Escolher uma API

Configurar as permissões

Adicionar o código

Parabéns!

Exemplos de .NET