Guia de início rápido: adquira um token e chame o Microsoft Graph de um aplicativo daemon Python
Neste início rápido, você baixa e executa um exemplo de código que demonstra como um aplicativo Python pode obter um token de acesso usando a identidade do aplicativo para chamar a API do Microsoft Graph e exibir uma lista de usuários no diretório. O exemplo de código demonstra como um trabalho autônomo ou serviço do Windows pode ser executado com uma identidade de aplicativo, em vez da identidade de um usuário.
Pré-requisitos
Para executar este exemplo, você precisa:
Registar e transferir a aplicação do início rápido
Passo 1: Registar a aplicação
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Para registar a sua aplicação e adicionar as informações de registo da aplicação à sua solução manualmente, siga os passos a seguir:
- Inicie sessão no centro de administração do Microsoft Entra.
- Se você tiver acesso a vários locatários, use o ícone
Configurações no menu superior para alternar para o locatário no qual deseja registrar o aplicativo no menu Diretórios + assinaturas. - Navegue até Registros do aplicativo Aplicativos de identidade>>, selecione Novo registro.
- Introduza um Nome para a sua aplicação, por exemplo
Daemon-console. Os usuários do seu aplicativo podem ver esse nome e você pode alterá-lo mais tarde. - Selecione Registar.
- Em Gerenciar, selecione Certificados & segredos.
- Em Segredos do cliente, selecione Novo segredo do cliente, insira um nome e selecione Adicionar. Registre o valor secreto em um local seguro para uso em uma etapa posterior.
- Em Gerenciar, selecione Permissões>de API Adicionar uma permissão. Selecione Microsoft Graph.
- Selecione Permissões de aplicação.
- Em Nó Usuário, selecione User.Read.All e, em seguida, selecione Adicionar permissões.
Etapa 2: Baixe o projeto Python
Etapa 3: Configurar o projeto Python
Extraia o ficheiro zip para uma pasta local próxima da raiz do disco, por exemplo, C:\Azure-Samples.
Navegue até a subpasta 1-Call-MsGraph-WithSecret.
Edite parameters.json e substitua os valores dos campos
authority,client_idesecretcom o seguinte trecho:"authority": "https://login.microsoftonline.com/Enter_the_Tenant_Id_Here", "client_id": "Enter_the_Application_Id_Here", "secret": "Enter_the_Client_Secret_Here"Em que:
Enter_the_Application_Id_Here- é o ID da Aplicação (cliente) que registou.Enter_the_Tenant_Id_Here- substitua esse valor pelo ID do Locatário ou Nome do Locatário (por exemplo, contoso.microsoft.com)Enter_the_Client_Secret_Here- Substitua este valor pelo segredo do cliente criado no passo 1.
Gorjeta
Para encontrar os valores de ID do aplicativo (cliente), ID do diretório (locatário), vá para a página Visão geral do aplicativo no centro de administração do Microsoft Entra. Para gerar uma nova chave, vá para a página Certificados & segredos .
Etapa 4: Consentimento do administrador
Se você tentar executar o aplicativo neste ponto, você receberá HTTP 403 - Erro proibido : Insufficient privileges to complete the operation. Este erro acontece porque qualquer permissão apenas para aplicações requer o consentimento do administrador: um Administrador Global do seu diretório tem de dar o seu consentimento para a sua aplicação. Selecione uma das opções abaixo, dependendo da sua função:
Administrador de locatário global
Se for um administrador de inquilino global, aceda à página Permissões da API em Registos de aplicações no centro de administração do Microsoft Entra e selecione Conceder consentimento de administrador para {Nome do Inquilino} (Onde {Nome do Inquilino} é o nome do seu diretório).
Usuário padrão
Se você for um usuário padrão do seu locatário, peça a um administrador global para conceder consentimento de administrador para seu aplicativo. Para fazer isso, forneça a seguinte URL ao administrador:
https://login.microsoftonline.com/Enter_the_Tenant_Id_Here/adminconsent?client_id=Enter_the_Application_Id_Here
Em que:
Enter_the_Tenant_Id_Here- substitua esse valor pelo ID do Locatário ou Nome do Locatário (por exemplo, contoso.microsoft.com)Enter_the_Application_Id_Here- é o ID do aplicativo (cliente) para o aplicativo que você registrou anteriormente.
Etapa 5: Executar o aplicativo
Você precisará instalar as dependências deste exemplo uma vez.
pip install -r requirements.txt
Em seguida, execute o aplicativo via prompt de comando ou console:
python confidential_client_secret_sample.py parameters.json
Você deve ver na saída do console algum fragmento JSON representando uma lista de usuários no diretório do Microsoft Entra.
Importante
Este aplicativo de início rápido usa um segredo do cliente para se identificar como cliente confidencial. Como o segredo do cliente é adicionado como um texto sem formatação aos arquivos do projeto, por motivos de segurança, é recomendável usar um certificado em vez de um segredo do cliente antes de considerar o aplicativo como aplicativo de produção. Para obter mais informações sobre como usar um certificado, consulte estas instruções no mesmo repositório GitHub para este exemplo, mas na segunda pasta 2-Call-MsGraph-WithCertificate.
Mais informações
MSAL Python
MSAL Python é a biblioteca usada para entrar usuários e solicitar tokens usados para acessar uma API protegida pela plataforma de identidade da Microsoft. Conforme descrito, esse guia de início rápido solicita tokens usando a própria identidade do aplicativo em vez de permissões delegadas. O fluxo de autenticação usado neste caso é conhecido como fluxo oauth de credenciais de cliente. Para obter mais informações sobre como usar o MSAL Python com aplicativos daemon, consulte este artigo.
Você pode instalar o MSAL Python executando o seguinte comando pip.
pip install msal
Inicialização da MSAL
Pode adicionar a referência para MSAL, adicionando o código seguinte:
import msal
Em seguida, inicialize a MSAL com o código seguinte:
app = msal.ConfidentialClientApplication(
config["client_id"], authority=config["authority"],
client_credential=config["secret"])
| Em que: | Description |
|---|---|
config["secret"] |
É o segredo do cliente criado para o aplicativo no centro de administração do Microsoft Entra. |
config["client_id"] |
É a ID do aplicativo (cliente) para o aplicativo registrado no centro de administração do Microsoft Entra. Você pode encontrar esse valor na página Visão geral do aplicativo no centro de administração do Microsoft Entra. |
config["authority"] |
O ponto final STS para o utilizador autenticar. Geralmente https://login.microsoftonline.com/{tenant} para nuvem pública, onde {tenant} é o nome do seu locatário ou seu ID de locatário. |
Para obter mais informações, consulte a documentação de referência do ConfidentialClientApplication.
Solicitar tokens
Para solicitar um token usando a identidade do aplicativo, use AcquireTokenForClient o método:
result = None
result = app.acquire_token_silent(config["scope"], account=None)
if not result:
logging.info("No suitable token exists in cache. Let's get a new one from AAD.")
result = app.acquire_token_for_client(scopes=config["scope"])
| Em que: | Description |
|---|---|
config["scope"] |
Contém os escopos solicitados. Para clientes confidenciais, isso deve usar o formato semelhante para {Application ID URI}/.default indicar que os escopos solicitados são os definidos estaticamente no objeto do aplicativo definido no centro de administração do Microsoft Entra (para o Microsoft Graph, {Application ID URI} aponta para https://graph.microsoft.com). Para APIs da Web personalizadas, {Application ID URI} é definido na seção Expor uma API em Registros de aplicativos no centro de administração do Microsoft Entra. |
Para obter mais informações, consulte a documentação de referência do AcquireTokenForClient.
Ajuda e suporte
Se precisar de ajuda, quiser comunicar um problema ou quiser saber mais sobre as suas opções de suporte, consulte Ajuda e suporte para programadores.
Próximos passos
Para saber mais sobre aplicativos daemon, consulte a página inicial do cenário.