Поделиться через


Выбор поставщика проверки подлинности Microsoft Graph в зависимости от сценария

Поставщики проверки подлинности реализуют код, необходимый для получения маркера с помощью библиотеки проверки подлинности Майкрософт (MSAL), обрабатывают некоторые потенциальные ошибки в таких случаях, как добавочное согласие, пароли с истекшим сроком действия и условный доступ, а затем задают заголовок авторизации HTTP-запроса. В следующей таблице перечислены поставщики, которые соответствуют сценариям для различных типов приложений.

Сценарий Поток или предоставление Аудитория Поставщик
Одностраничное приложение Код авторизации с помощью PKCE Делегированный потребитель или организация Поставщик кода авторизации
Веб-приложение, которое вызывает веб-API
Authorization Code Делегированный потребитель или организация Поставщик кода авторизации
Учетные данные клиента Только приложение Поставщик учетных данных клиента
Веб-API, который вызывает веб-API
От имени Делегированный потребитель или организация Поставщик от имени
Учетные данные клиента Только приложение Поставщик учетных данных клиента
Классическое приложение, которое вызывает веб-API
Интерактивны Делегированный потребитель или организация Интерактивный поставщик
Встроенная оси Windows Делегированная организация Интегрированный поставщик Windows
Владелец ресурса Делегированная организация Поставщик имени пользователя и пароля
Код устройства Делегированная организация Поставщик кода устройства
Управляющая программа
Учетные данные клиента Только приложение Поставщик учетных данных клиента
Мобильное приложение, которое вызывает веб-API
Интерактивны Делегированный потребитель или организация Интерактивный поставщик

Примечание.

Следующие фрагменты кода были написаны с использованием последних версий соответствующих пакетов SDK. Если при работе с этими фрагментами кода возникают ошибки компилятора, убедитесь, что у вас установлены последние версии. Следующие библиотеки удостоверений Azure предоставляют используемые поставщики проверки подлинности:

  • Разработчикам .NET необходимо добавить пакет Azure.Identity .
  • Разработчикам TypeScript и JavaScript необходимо добавить библиотеку @azure и удостоверений .
  • Разработчикам Java и Android необходимо добавить библиотеку azure-identity .

Поставщик кода авторизации

Поток кода авторизации позволяет собственным и веб-приложениям безопасно получать маркеры в имени пользователя. Дополнительные сведения см. в статье Поток кода авторизации платформа удостоверений Майкрософт и OAuth 2.0.

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var clientSecret = "YOUR_CLIENT_SECRET";

// For authorization code flow, the user signs into the Microsoft
// identity platform, and the browser is redirected back to your app
// with an authorization code in the query parameters
var authorizationCode = "AUTH_CODE_FROM_REDIRECT";

// using Azure.Identity;
var options = new AuthorizationCodeCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
};

// https://learn.microsoft.com/dotnet/api/azure.identity.authorizationcodecredential
var authCodeCredential = new AuthorizationCodeCredential(
    tenantId, clientId, clientSecret, authorizationCode, options);

var graphClient = new GraphServiceClient(authCodeCredential, scopes);

Поставщик учетных данных клиента

Поток учетных данных клиента позволяет приложениям-службам работать без взаимодействия с пользователем. Доступ основан на идентификаторе приложения. Дополнительные сведения см. в разделе платформа удостоверений Майкрософт и поток учетных данных клиента OAuth 2.0.

С использованием сертификата клиента

var scopes = new[] { "https://graph.microsoft.com/.default" };

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var tenantId = "YOUR_TENANT_ID";
var clientCertificate = new X509Certificate2("MyCertificate.pfx");

// using Azure.Identity;
var options = new ClientCertificateCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
};

// https://learn.microsoft.com/dotnet/api/azure.identity.clientcertificatecredential
var clientCertCredential = new ClientCertificateCredential(
    tenantId, clientId, clientCertificate, options);

var graphClient = new GraphServiceClient(clientCertCredential, scopes);

Использование секрета клиента

// The client credentials flow requires that you request the
// /.default scope, and pre-configure your permissions on the
// app registration in Azure. An administrator must grant consent
// to those permissions beforehand.
var scopes = new[] { "https://graph.microsoft.com/.default" };

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var tenantId = "YOUR_TENANT_ID";
var clientSecret = "YOUR_CLIENT_SECRET";

// using Azure.Identity;
var options = new ClientSecretCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
};

// https://learn.microsoft.com/dotnet/api/azure.identity.clientsecretcredential
var clientSecretCredential = new ClientSecretCredential(
    tenantId, clientId, clientSecret, options);

var graphClient = new GraphServiceClient(clientSecretCredential, scopes);

Поставщик от имени

Поток on-behalf-of применим, когда приложение вызывает службу или веб-API, который вызывает API Graph Майкрософт. Дополнительные сведения см. в статье поток платформа удостоверений Майкрософт и OAuth 2.0 On-Behalf-Of

var scopes = new[] { "https://graph.microsoft.com/.default" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var clientSecret = "YOUR_CLIENT_SECRET";

// using Azure.Identity;
var options = new OnBehalfOfCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
};

// This is the incoming token to exchange using on-behalf-of flow
var oboToken = "JWT_TOKEN_TO_EXCHANGE";

var onBehalfOfCredential = new OnBehalfOfCredential(
    tenantId, clientId, clientSecret, oboToken, options);

var graphClient = new GraphServiceClient(onBehalfOfCredential, scopes);

Неявный поставщик

Поток неявной проверки подлинности не рекомендуется из-за его недостатков. Общедоступные клиенты, такие как собственные приложения и одностраничные приложения, теперь должны использовать поток кода авторизации с расширением PKCE. Ссылка.

Поставщик кода устройства

Поток кода устройства позволяет выполнять вход на устройства с другого устройства. Дополнительные сведения см. в разделе платформа удостоверений Майкрософт и поток кода устройства OAuth 2.0.

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

// using Azure.Identity;
var options = new DeviceCodeCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
    ClientId = clientId,
    TenantId = tenantId,
    // Callback function that receives the user prompt
    // Prompt contains the generated device code that user must
    // enter during the auth process in the browser
    DeviceCodeCallback = (code, cancellation) =>
    {
        Console.WriteLine(code.Message);
        return Task.FromResult(0);
    },
};

// https://learn.microsoft.com/dotnet/api/azure.identity.devicecodecredential
var deviceCodeCredential = new DeviceCodeCredential(options);

var graphClient = new GraphServiceClient(deviceCodeCredential, scopes);

Интегрированный поставщик Windows

Интегрированный поток Windows позволяет компьютерам Windows использовать диспетчер веб-учетных записей (WAM) для получения маркера доступа при автоматическом присоединении к домену.

Примечание.

Проверка подлинности через WAM имеет определенные требования. Дополнительные сведения см. в статье Клиентская библиотека проверки подлинности azure identity brokered для .NET .

[DllImport("user32.dll")]
static extern IntPtr GetForegroundWindow();

// Get parent window handle
var parentWindowHandle = GetForegroundWindow();

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

// using Azure.Identity.Broker;
// This will use the Web Account Manager in Windows
var options = new InteractiveBrowserCredentialBrokerOptions(parentWindowHandle)
{
    ClientId = clientId,
    TenantId = tenantId,
};

// https://learn.microsoft.com/dotnet/api/azure.identity.interactivebrowsercredential
var credential = new InteractiveBrowserCredential(options);

var graphClient = new GraphServiceClient(credential, scopes);

return graphClient;

Интерактивный поставщик

Интерактивный поток используется мобильными приложениями (Xamarin и UWP) и классическими приложениями для вызова Microsoft Graph от имени пользователя. Дополнительные сведения см. в статье Получение маркеров в интерактивном режиме.

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

// using Azure.Identity;
var options = new InteractiveBrowserCredentialOptions
{
    TenantId = tenantId,
    ClientId = clientId,
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
    // MUST be http://localhost or http://localhost:PORT
    // See https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/wiki/System-Browser-on-.Net-Core
    RedirectUri = new Uri("http://localhost"),
};

// https://learn.microsoft.com/dotnet/api/azure.identity.interactivebrowsercredential
var interactiveCredential = new InteractiveBrowserCredential(options);

var graphClient = new GraphServiceClient(interactiveCredential, scopes);

Поставщик имени пользователя и пароля

Поставщик имени пользователя или пароля позволяет приложению входить в систему пользователя, используя его имя пользователя и пароль.

Примечание.

Корпорация Майкрософт рекомендует использовать наиболее безопасный поток проверки подлинности. Поток проверки подлинности, описанный в этой процедуре, требует очень высокой степени доверия к приложению и несет риски, которые отсутствуют в других потоках. Этот поток следует использовать только в том случае, если другие более безопасные потоки, такие как управляемые удостоверения, не являются жизнеспособными. Дополнительные сведения см. в разделе платформа удостоверений Майкрософт и учетные данные владельца ресурса OAuth 2.0.

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

// using Azure.Identity;
var options = new UsernamePasswordCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
};

var userName = "adelev@contoso.com";
var password = "Password1!";

// https://learn.microsoft.com/dotnet/api/azure.identity.usernamepasswordcredential
var userNamePasswordCredential = new UsernamePasswordCredential(
    userName, password, tenantId, clientId, options);

var graphClient = new GraphServiceClient(userNamePasswordCredential, scopes);

Дальнейшие действия