Snabbstart: Anropa ett webb-API i en daemon-exempelapp

Gäller för: arbetskraftshyresgäster externa hyresgäster (läs mer)

I den här snabbstarten använder du ett exempel daemonprogram för att hämta en åtkomsttoken och anropa ett skyddat webb-API med hjälp av Microsoft Authentication Library (MSAL).

Innan du börjar använder du Välj en klienttyp väljare överst på den här sidan för att välja klienttyp. Microsoft Entra ID tillhandahåller två klientkonfigurationer, personal och externa. En klientkonfiguration för personal är avsedd för dina anställda, interna appar och andra organisationsresurser. En extern användare är för dina kundinriktade appar.

Exempelappen som du använder i den här snabbstarten hämtar en åtkomsttoken för att anropa Microsoft Graph API.

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Om du inte redan har ett Skapa ett konto kostnadsfritt.
• Det här Azure-kontot måste ha behörighet att hantera program. Någon av följande Microsoft Entra-roller innehåller de behörigheter som krävs:
  • Appadministratör
  • Programutvecklare
  • Molnprogramadministratör
• En hyresgäst för arbetskraft. Du kan använda din standardkatalog eller konfigurera en ny klientorganisation.
• Registrera en ny app i administrationscentret för Microsoft Entra, som endast konfigurerats för konton i den här organisationskatalogen. Mer information finns i Registrera ett program . Registrera följande värden från programöversiktssidan för senare användning:
  • App-ID (klient-ID)
  • Katalog-ID (hyresgäst)
• Lägg till en klienthemlighet i din appregistrering. Använd inte klienthemligheter i produktionsappar. Använd certifikat eller federerade autentiseringsuppgifter i stället. Mer information finns i lägga till autentiseringsuppgifter i ditt program.

.NÄT

• Ett minimikrav för .NET 6.0 SDK.
• Visual Studio 2022 eller Visual Studio Code.

Nod

• Node.js.
• Visual Studio Code eller någon annan kodredigerare.

Python

• Python 3+.
• Visual Studio Code eller någon annan kodredigerare.

Java

• Java Development Kit (JDK) 8 eller senare.
• Maven.
• En lämplig kodredigerare.

Bevilja API-behörigheter till daemonappen

För att daemonappen ska få åtkomst till data i Microsoft Graph API ger du den de behörigheter den behöver. Daemonappen behöver behörigheter för programtyp. Användarna kan inte interagera med ett daemonprogram, så innehavaradministratören måste godkänna dessa behörigheter. Använd följande steg för att bevilja och samtycka till behörigheterna:

.NÄT

För .NET-daemonappen behöver du inte bevilja och samtycka till någon behörighet. Den här daemonappen läser sin egen appregistreringsinformation så att den kan göra det utan att beviljas några programbehörigheter.

Nod

1. På sidan Appregistreringar väljer du det program som du skapade, till exempel ciam-client-app.

2. Under Hanteraväljer du API-behörigheter.

3. Under Konfigurerade behörigheterväljer du Lägg till en behörighet.

4. Under fliken Microsoft-API:er väljer du Microsoft Graph >> Programbehörigheter. Vi väljer alternativet Programbehörigheter när appen loggar in som sig själv, men inte för en användares räkning.

5. I listan Välj behörigheter söker du efter och väljer sedan User.Read.All. Vi beviljar den här behörigheten så att appen vill kunna läsa alla användares fullständiga profiler.

6. Välj knappen Lägg till behörigheter.

7. Nu har du tilldelat behörigheterna korrekt. Men eftersom daemon-appen inte tillåter användare att interagera med den, kan användarna själva inte samtycka till dessa behörigheter. Du som klientadministratör måste godkänna dessa behörigheter för alla användare i klientorganisationen:

   1. Välj Bevilja administratörsmedgivande för <ditt klientnamn>och välj sedan Ja.
   2. Välj Uppdateraoch kontrollera sedan att Beviljas för <ditt klientnamn> visas under Status för båda behörigheterna.

Python

1. På sidan Appregistreringar väljer du det program som du skapade, till exempel ciam-client-app.

2. Under Hanteraväljer du API-behörigheter.

3. Under Konfigurerade behörigheterväljer du Lägg till en behörighet.

4. Under fliken Microsoft-API:er väljer du Microsoft Graph >> Programbehörigheter. Vi väljer alternativet Programbehörigheter när appen loggar in som sig själv, men inte för en användares räkning.

5. I listan Välj behörigheter söker du efter och väljer sedan User.Read.All. Vi beviljar den här behörigheten så att appen vill kunna läsa alla användares fullständiga profiler.

6. Välj knappen Lägg till behörigheter.

7. Nu har du tilldelat behörigheterna korrekt. Men eftersom daemon-appen inte tillåter användare att interagera med den, kan användarna själva inte samtycka till dessa behörigheter. Du som klientadministratör måste godkänna dessa behörigheter för alla användare i klientorganisationen:

   1. Välj Bevilja administratörsmedgivande för <ditt klientnamn>och välj sedan Ja.
   2. Välj Uppdateraoch kontrollera sedan att Beviljas för <ditt klientnamn> visas under Status för båda behörigheterna.

Java

1. På sidan Appregistreringar väljer du det program som du skapade, till exempel ciam-client-app.

2. Under Hanteraväljer du API-behörigheter.

3. Under Konfigurerade behörigheterväljer du Lägg till en behörighet.

4. Under fliken Microsoft-API:er väljer du Microsoft Graph >> Programbehörigheter. Vi väljer alternativet Programbehörigheter när appen loggar in som sig själv, men inte för en användares räkning.

5. I listan Välj behörigheter söker du efter och väljer sedan User.Read.All. Vi beviljar den här behörigheten så att appen vill kunna läsa alla användares fullständiga profiler.

6. Välj knappen Lägg till behörigheter.

7. Nu har du tilldelat behörigheterna korrekt. Men eftersom daemon-appen inte tillåter användare att interagera med den, kan användarna själva inte samtycka till dessa behörigheter. Du som klientadministratör måste godkänna dessa behörigheter för alla användare i klientorganisationen:

   1. Välj Bevilja administratörsmedgivande för <ditt klientnamn>och välj sedan Ja.
   2. Välj Uppdateraoch kontrollera sedan att Beviljas för <ditt klientnamn> visas under Status för båda behörigheterna.

Klona eller ladda ned exempelprogrammet

Om du vill hämta exempelprogrammet kan du antingen klona det från GitHub eller ladda ned det som en .zip fil.

• Om du vill klona exemplet öppnar du en kommandotolk och navigerar till den platsen där du vill skapa projektet och anger följande kommando:

.NÄT

git clone https://github.com/Azure-Samples/ms-identity-docs-code-dotnet.git

• Ladda ned filen .zip. Extrahera den till en filsökväg där filnamnets längd är kortare än 260 tecken.

Nod

git clone https://github.com/azure-samples/ms-identity-javascript-nodejs-console.git 

• Ladda ned filen .zip. Extrahera den till en filsökväg där filnamnets längd är kortare än 260 tecken.

Python

git clone https://github.com/Azure-Samples/ms-identity-python-daemon.git 

• Ladda ned filen .zip. Extrahera den till en filsökväg där filnamnets längd är kortare än 260 tecken.

Java

git clone https://github.com/Azure-Samples/ms-identity-java-daemon.git

• Ladda ned filen .zip. Extrahera den till en filsökväg där filnamnets längd är kortare än 260 tecken.

Konfigurera projektet

Använd följande steg för att använda din appregistreringsinformation i exempelprogrammet för klientdaemon:

.NÄT

1. Öppna ett konsolfönster och navigera sedan till katalogen ms-identity-docs-code-dotnet/console-daemon:

   cd ms-identity-docs-code-dotnet/console-daemon
   

2. Öppna Program.cs och ersätt filinnehållet med följande kodfragment.

    // Full directory URL, in the form of https://login.microsoftonline.com/<tenant_id>
    Authority = " https://login.microsoftonline.com/Enter_the_tenant_ID_obtained_from_the_Microsoft_Entra_admin_center",
    // 'Enter the client ID obtained from the Microsoft Entra admin center
    ClientId = "Enter the client ID obtained from the Microsoft Entra admin center",
    // Client secret 'Value' (not its ID) from 'Client secrets' in the Microsoft Entra admin center
    ClientSecret = "Enter the client secret value obtained from the Microsoft Entra admin center",
    // Client 'Object ID' of app registration in Microsoft Entra admin center - this value is a GUID
    ClientObjectId = "Enter the client Object ID obtained from the Microsoft Entra admin center"
   

   • Authority – Auktoriteten är en URL som anger en mapp som MSAL kan begära tokens från. Ersätt Enter_the_tenant_ID_obtained_from_the_Microsoft_Entra_admin_center med det Directory-ID (klientorganisationens) tidigare registrerade värde.
   • ClientId – Programmets identifierare, även kallad klienten. Ersätt texten med citattecken med det Application (client) ID värde som registrerades tidigare från översiktssidan för det registrerade programmet.
   • ClientSecret – Klienthemligheten som skapats för programmet i administrationscentret för Microsoft Entra. Ange värdet för klienthemligheten.
   • ClientObjectId – objekt-ID för klientprogrammet. Ersätt texten med citattecken med det Object ID värde som du registrerade tidigare från översiktssidan för det registrerade programmet.

Nod

Öppna filen .env i redigeringsprogrammet och ersätt platshållarna:

• Enter_the_Application_Id_Here med programmets (klient)-ID för programmet som du registrerade tidigare.
• Enter_the_Tenant_Id_Here med klientorganisations-ID:t för din arbetsstyrkas klientorganisation.
• Enter_the_Client_Secret_Here med klienthemligheten som du skapade tidigare.
• Enter_the_Cloud_Instance_Id_Here med https://login.microsoftonline.com.
• Enter_the_Graph_Endpoint_Here med https://graph.microsoft.com/.

Python

1. Gå till katalogen 1-Call-MsGraph-WithSecret.

2. Öppna filen parameters.json i redigeringsprogrammet och ersätt platshållarna:

   • Enter_the_Application_Id_Here med programmets (klient)-ID för programmet som du registrerade tidigare.
   • Enter_the_Tenant_Id_Here med klientorganisations-ID:t för din arbetsstyrkas klientorganisation.
   • Enter_the_Client_Secret_Here med klienthemligheten som du skapade tidigare.

Java

1. Gå till katalogen msal-client-credential-secret.

2. Öppna filen src\main\resources\application.properties i redigeringsprogrammet och ersätt platshållarna:

   • Enter_the_Application_Id_Here med programmets (klient)-ID för programmet som du registrerade tidigare.
   • Enter_the_Tenant_Id_Here med klientorganisations-ID:t för din arbetsstyrkas klientorganisation.
   • Enter_the_Client_Secret_Here med klienthemligheten som du skapade tidigare.

Köra och testa programmet

Du har konfigurerat exempelappen. Du kan fortsätta att köra och testa den.

.NÄT

Kör följande kommando från konsolfönstret för att skapa och köra programmet:

dotnet run

När programmet har körts visas ett svar som liknar följande kodfragment (förkortat för korthet):

{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#applications/$entity",
"id": "00001111-aaaa-2222-bbbb-3333cccc4444",
"deletedDateTime": null,
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"applicationTemplateId": null,
"disabledByMicrosoftStatus": null,
"createdDateTime": "2021-01-17T15:30:55Z",
"displayName": "identity-dotnet-console-app",
"description": null,
"groupMembershipClaims": null,
...
}

Så här fungerar det

Ett daemonprogram hämtar en token för sig själv (inte för en användares räkning). Användare kan inte interagera med ett daemonprogram eftersom det kräver en egen identitet. Den här typen av program begär en åtkomsttoken med hjälp av dess programidentitet genom att presentera dess program-ID, autentiseringsuppgifter (hemlighet eller certifikat) och en program-ID-URI. Daemon-programmet använder standard-OAuth 2.0-klientreferensflöde för att hämta en åtkomsttoken.

Appen hämtar en åtkomsttoken från Microsofts identitetsplattform. Åtkomsttoken är begränsad till Microsoft Graph API. Appen använder sedan åtkomsttoken för att begära sin egen programregistreringsinformation från Microsoft Graph API. Appen kan begära valfri resurs från Microsoft Graph API så länge åtkomsttoken har rätt behörigheter.

Exemplet visar hur ett obevakat jobb eller En Windows-tjänst kan köras med en programidentitet i stället för en användares identitet.

Nod

1. Kör följande kommando för att installera beroenden:

   npm install
   

2. Använd följande kommando för att köra programmet:

   node . --op getUsers
   

Om appen körs korrekt bör du se en JSON-formaterad utmatning som representerar en lista över alla användare från din arbetsstyrkas hyresgäst. Det ser ut ungefär som följande kodfragment:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Så här fungerar det

Ett daemonprogram hämtar en token för sig själv (inte för en användares räkning). Användare kan inte interagera med ett daemonprogram eftersom det kräver en egen identitet. Den här typen av program begär en åtkomsttoken med hjälp av dess programidentitet genom att presentera dess program-ID, autentiseringsuppgifter (hemlighet eller certifikat) och en program-ID-URI. Daemon-programmet använder standard-OAuth 2.0-klientreferensflöde för att hämta en åtkomsttoken.

Appen hämtar en åtkomsttoken från Microsofts identitetsplattform. Åtkomsttoken är begränsad till Microsoft Graph API. Appen använder sedan åtkomsttoken för att läsa alla användare i klientorganisationen från Microsoft Graph API. Appen kan begära valfri resurs från Microsoft Graph API så länge åtkomsttoken har rätt behörigheter. I det här fallet gav vi appen User.Read.All appbehörighet så att den läser alla användares fullständiga profiler.

Exemplet visar hur ett obevakat jobb eller En Windows-tjänst kan köras med en programidentitet i stället för en användares identitet.

Python

1. Kör följande kommando för att installera beroenden:

   pip install -r requirements.txt
   

2. Om du vill köra programmet använder du följande kommando:

   python confidential_client_secret_sample.py parameters.json
   

Om appen körs korrekt bör du se en JSON-formaterad utmatning som representerar en lista över alla användare från din arbetsstyrkas hyresgäst. Det ser ut ungefär som följande kodfragment:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Så här fungerar det

Ett daemonprogram hämtar en token för sig själv (inte för en användares räkning). Användare kan inte interagera med ett daemonprogram eftersom det kräver en egen identitet. Den här typen av program begär en åtkomsttoken med hjälp av dess programidentitet genom att presentera dess program-ID, autentiseringsuppgifter (hemlighet eller certifikat) och en program-ID-URI. Daemon-programmet använder standard-OAuth 2.0-klientreferensflöde för att hämta en åtkomsttoken.

Appen hämtar en åtkomsttoken från Microsofts identitetsplattform. Åtkomsttoken är begränsad till Microsoft Graph API. Appen använder sedan åtkomsttoken för att läsa alla användare i klientorganisationen från Microsoft Graph API. Appen kan begära valfri resurs från Microsoft Graph API så länge åtkomsttoken har rätt behörigheter. I det här fallet gav vi appen User.Read.All appbehörighet så att den läser alla användares fullständiga profiler.

Exemplet visar hur ett obevakat jobb eller En Windows-tjänst kan köras med en programidentitet i stället för en användares identitet.

Java

Du kan testa exempelappen genom att köra huvudmetoden för ClientCredentialGrant.java från din IDE eller

1. Kör följande kommando från konsolen:

   $ mvn clean compile assembly:single
   

   Det här kommandot genererar en msal-client-credential-secret-1.0.0.jar fil i katalogen /targets.

2. Gå till katalogen /targets och kör sedan den körbara Java-filen med följande kommando:

   $ java -jar msal-client-credential-secret-1.0.0.jar
   

Om appen körs korrekt bör du se en JSON-formaterad utmatning som representerar en lista över alla användare från din arbetsstyrkas hyresgäst. Det ser ut ungefär som följande kodfragment:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Så här fungerar det

Ett daemonprogram hämtar en token för sig själv (inte för en användares räkning). Användare kan inte interagera med ett daemonprogram eftersom det kräver en egen identitet. Den här typen av program begär en åtkomsttoken med hjälp av dess programidentitet genom att presentera dess program-ID, autentiseringsuppgifter (hemlighet eller certifikat) och en program-ID-URI. Daemon-programmet använder standard-OAuth 2.0-klientreferensflöde för att hämta en åtkomsttoken.

Appen hämtar en åtkomsttoken från Microsofts identitetsplattform. Åtkomsttoken är begränsad till Microsoft Graph API. Appen använder sedan åtkomsttoken för att läsa alla användare i klientorganisationen från Microsoft Graph API. Appen kan begära valfri resurs från Microsoft Graph API så länge åtkomsttoken har rätt behörigheter. I det här fallet gav vi appen User.Read.All appbehörighet så att den läser alla användares fullständiga profiler.

Exemplet visar hur ett obevakat jobb eller En Windows-tjänst kan köras med en programidentitet i stället för en användares identitet.

Relaterat innehåll

.NÄT

• Lär dig genom att skapa den här ASP.NET webbappen med serien Självstudie: Registrera ett program med Microsofts identitetsplattform.

• snabbstart: Distribuera en ASP.NET webbapp till Azure App Service

Nod

• Lär dig hur du skapar ditt Node.js daemon-program som anropar webb-API:n.

Python

• Lär dig hur du skapa ett Python-daemonprogram som anropar webb-API:er

Java

• Lär dig hur du skapa ett Java-daemonprogram som anropar webb-API:er

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Om du inte redan har ett Skapa ett konto kostnadsfritt.
• Det här Azure-kontot måste ha behörighet att hantera program. Någon av följande Microsoft Entra-roller innehåller de behörigheter som krävs:
  • Appadministratör
  • Programutvecklare
  • Molnprogramadministratör
• En extern hyresgäst. Om du vill skapa en väljer du mellan följande metoder:
  • (Rekommenderas) Använd Externt ID-tillägg för Microsoft Entra för att konfigurera ett externt hyresgästkonto direkt i Visual Studio Code.
  • Skapa en ny extern hyresgäst i administrationscentret för Microsoft Entra.
• Registrera en ny app i administrationscentret för Microsoft Entra med följande konfiguration. Mer information finns i Registrera ett program.
  • Namn: ciam-daemon-app
  • kontotyper som stöds: endast konton i den här organisationskatalogen (enskild klientorganisation)
• Visual Studio Code eller någon annan kodredigerare.
• .NET 7.0 eller senare.
• Node.js (endast för nodimplementering)

Skapa en klienthemlighet

Skapa en klienthemlighet för det registrerade programmet. Programmet använder klienthemligheten för att bevisa sin identitet när den begär token:

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel webbappens klienthemlighet) för att öppna sidan Översikt.
2. Under Hanteraväljer du Certifikat & hemligheter>Klienthemligheter>Ny klienthemlighet.
3. I rutan Beskrivning anger du en beskrivning av klienthemligheten (till exempel webbappens klienthemlighet).
4. Under Upphörväljer du en varaktighet för vilken hemligheten är giltig (enligt organisationens säkerhetsregler) och väljer sedan Lägg till.
5. Registrera hemlighetens värde. Du använder det här värdet för konfiguration i ett senare steg. Det hemliga värdet visas inte igen och kan inte hämtas på något sätt när du har navigerat bort från -certifikat och hemligheter. Se till att du registrerar den.

När du skapar autentiseringsuppgifter för ett konfidentiellt klientprogram:

• Microsoft rekommenderar att du använder ett certifikat i stället för en klienthemlighet innan du flyttar programmet till en produktionsmiljö. För mer information om hur du använder ett certifikat, se anvisningarna i autentiseringscertifikatsuppgifter för Microsoft identity platform-applikationen.

• I testsyfte kan du skapa ett självsignerat certifikat och konfigurera dina appar så att de autentiserar med det. Men i produktionsmiljönbör du köpa ett certifikat som signerats av en välkänd certifikatutfärdare och sedan använda Azure Key Vault- för att hantera certifikatåtkomst och livslängd.

Bevilja API-behörigheter till daemonappen

1. På sidan Appregistreringar väljer du det program som du skapade, till exempel ciam-client-app.

2. Under Hanteraväljer du API-behörigheter.

3. Under Konfigurerade behörigheterväljer du Lägg till en behörighet.

4. Välj de API:er som min organisation använder på-fliken.

5. I listan över API:er väljer du API:et, till exempel ciam-ToDoList-api.

6. Välj alternativet Programbehörigheter. Vi väljer det här alternativet eftersom appen loggar in som sig själv, men inte för en användares räkning.

7. I behörighetslistan väljer du TodoList.Read.All, ToDoList.ReadWrite.All (använd sökrutan om det behövs).

8. Välj knappen Lägg till behörigheter.

9. Nu har du tilldelat behörigheterna korrekt. Men eftersom daemon-appen inte tillåter användare att interagera med den, kan användarna själva inte samtycka till dessa behörigheter. För att lösa det här problemet måste du som administratör samtycka till dessa behörigheter för alla användare i klientorganisationen:

   1. Välj Bevilja administratörsmedgivande för <ditt klientnamn>och välj sedan Ja.
   2. Välj Uppdateraoch kontrollera sedan att Beviljas för <ditt klientnamn> visas under Status för båda behörigheterna.

Konfigurera app-roller

Ett API måste publicera minst en apputvecklarroll för applikationer, även kallat Programbehörighet, för att klientapparna ska få en åtkomsttoken i sin egen rätt. Programbehörigheter är den typ av behörigheter som API:er bör publicera när de vill att klientprogram ska kunna autentiseras som sig själva och inte behöver logga in användare. Följ dessa steg för att publicera ett programtillstånd:

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-ToDoList-api) för att öppna sidan Översikt.

2. Under Hanteraväljer du Applikationsroller.

3. Välj Skapa approlloch ange sedan följande värden och välj sedan Använd för att spara ändringarna:

   Egenskap	Värde
   Visningsnamn	ToDoList.Read.All
   Tillåtna medlemstyper	Applikationer
   Värde	ToDoList.Read.All
   Beskrivning	Tillåt att appen läser alla användares ToDo-lista med hjälp av "TodoListApi"
   Vill du aktivera den här rollen för appen?	Låt det vara ikryssat

4. Välj Skapa approll igen och ange sedan följande värden för den andra approllen och välj sedan Använd för att spara ändringarna:

   Egenskap	Värde
   Visningsnamn	AttGöraLista.LäsSkriv.Allt
   Tillåtna medlemstyper	Applikationer
   Värde	AttGöraLista.LäsSkriv.Allt
   Beskrivning	Tillåt att appen läser och skriver alla användares ToDo-lista med hjälp av "ToDoListApi"
   Vill du aktivera den här rollen för appen?	Låt det vara ikryssat

Konfigurera valfria anspråk

Du kan lägga till det valfria idtyp-anspråket för att hjälpa webb-API att avgöra om en token är en app-token eller en app-och-användar-token . Även om du kan använda en kombination av scp-- och -roller anspråk för samma ändamål, är det enklaste sättet att skilja en apptoken och en app + användartoken åt med hjälp av idtyp anspråk. Värdet för det här anspråket är till exempel app när token är en app-endast token.

Klona eller ladda ned exempel på daemonprogram och webb-API

Om du vill hämta exempelprogrammet kan du antingen klona det från GitHub eller ladda ned det som en .zip fil.

Nod

• Om du vill klona exemplet öppnar du en kommandotolk och navigerar till den platsen där du vill skapa projektet och anger följande kommando:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-javascript-tutorial.git
  

• Du kan också ladda ned exemplet .zip filoch sedan extrahera det till en filsökväg där namnlängden är färre än 260 tecken.

Installera projektberoenden

1. Öppna ett konsolfönster och ändra till katalogen som innehåller Node.js exempelappen:

   cd 2-Authorization\3-call-api-node-daemon\App
   

2. Kör följande kommandon för att installera appberoenden:

   npm install && npm update
   

.NÄT

• Om du vill klona exemplet öppnar du en kommandotolk och navigerar till den platsen där du vill skapa projektet och anger följande kommando:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git
  

• Ladda ned filen .zip. Extrahera den till en filsökväg där filnamnets längd är kortare än 260 tecken.

Konfigurera exempel daemonappen och API:et

Använd följande steg för att använda din appregistreringsinformation i klientwebbappexemplet:

Nod

1. Öppna App\authConfig.js fil i kodredigeraren.

2. Hitta platshållaren:

   • Enter_the_Application_Id_Here och ersätt det med program-ID:t (klient) för den daemonapp som du registrerade tidigare.

   • Ersätt Enter_the_Tenant_Subdomain_Here med subdomänen för katalog (tenant/klientorganisation). Om din primära klientdomän till exempel är contoso.onmicrosoft.comanvänder du contoso. Om du inte har ditt klientnamn kan du lära dig hur du läser klientinformationen.

   • Enter_the_Client_Secret_Here och ersätt det med det daemon-apphemlighetsvärde som du kopierade tidigare.

   • Enter_the_Web_Api_Application_Id_Here och ersätt det med program-ID(klient)-ID:t för webb-API:et som du kopierade tidigare.

Så här använder du din appregistrering i webb-API-exemplet:

1. Öppna API\ToDoListAPI\appsettings.json fil i kodredigeraren.

2. Hitta platshållaren:

   • Enter_the_Application_Id_Here och ersätt det med program-ID:t (klient) för webb-API:et som du kopierade.

   • Enter_the_Tenant_Id_Here och ersätt det med det katalog-ID (klientorganisation) som du kopierade tidigare.

   • Ersätt Enter_the_Tenant_Subdomain_Here med subdomänen för katalog (tenant/klientorganisation). Om din primära klientdomän till exempel är contoso.onmicrosoft.comanvänder du contoso. Om du inte har ditt klientnamn kan du lära dig hur du läser klientinformationen.

.NÄT

1. Öppna filen ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListClient/appsettings.json i din kodredigerare.

2. Hitta platshållaren:

   • Enter_the_Application_Id_Here och ersätt det med program-ID:t (klient) för daemonprogrammet som du registrerade tidigare.
   • Ersätt Enter_the_Tenant_Subdomain_Here med subdomänen för katalog (tenant/klientorganisation). Om din primära klientdomän till exempel är contoso.onmicrosoft.comanvänder du contoso. Om du inte har ditt klientnamn kan du lära dig hur du läser klientinformationen.
   • Enter_the_Client_Secret_Here och ersätt det med det daemonprogramhemlighetsvärde som du kopierade tidigare.
   • Enter_the_Web_Api_Application_Id_Here och ersätt det med program-ID(klient)-ID:t för webb-API:et som du kopierade tidigare.

Så här använder du din appregistrering i webb-API-exemplet:

1. I din kodredigerare öppnar du filen ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListAPI/appsettings.json.

2. Hitta platshållaren:

   • Enter_the_Application_Id_Here och ersätt det med program-ID:t (klient) för webb-API:et som du kopierade.
   • Enter_the_Tenant_Id_Here och ersätt det med det katalog-ID (klientorganisation) som du kopierade tidigare.
   • Ersätt Enter_the_Tenant_Subdomain_Here med subdomänen för katalog (tenant/klientorganisation). Om din primära klientdomän till exempel är contoso.onmicrosoft.comanvänder du contoso. Om du inte har ditt klientnamn kan du lära dig hur du läser klientinformationen.

Kör och testa daemon-exempelappen och API:et

Du har konfigurerat exempelappen. Du kan fortsätta att köra och testa den.

Nod

1. Öppna ett konsolfönster och kör sedan webb-API:et med hjälp av följande kommandon:

   cd 2-Authorization\3-call-api-node-daemon\API\ToDoListAPI
   dotnet run
   

2. Kör webbappsklienten med hjälp av följande kommandon:

   2-Authorization\3-call-api-node-daemon\App
   node . --op getToDos
   

Om daemonappen och webb-API:et körs bör du se något som liknar följande JSON-matris i konsolfönstret

{
    "id": 1,
    "owner": "3e8....-db63-43a2-a767-5d7db...",
    "description": "Pick up grocery"
},
{
    "id": 2,
    "owner": "c3cc....-c4ec-4531-a197-cb919ed.....",
    "description": "Finish invoice report"
},
{
    "id": 3,
    "owner": "a35e....-3b8a-4632-8c4f-ffb840d.....",
    "description": "Water plants"
}

Så här fungerar det

Node.js-appen använder OAuth 2.0-klientuppgifter beviljandeflöde för att hämta en åtkomsttoken för egen del och inte för användaren. Åtkomsttoken som appen begär innehåller de behörigheter som representeras som roller. Klientautentiseringsflödet använder den här uppsättningen behörigheter i stället för användaromfattningar för programtoken. Du tidigare exponerat dessa programbehörigheter i webb-API:et och sedan beviljat dem till daemonappen.

På API-sidan, ett .NET-exempelwebb-API, måste API:et kontrollera att åtkomsttoken har de behörigheter som krävs (programbehörigheter). Webb-API:et kan inte acceptera en åtkomsttoken som inte har de behörigheter som krävs.

Åtkomst till data

En webb-API-slutpunkt bör vara beredd att acceptera anrop från både användare och program. Därför bör den ha ett sätt att svara på varje begäran i enlighet med detta. Ett anrop från en användare via delegerade behörigheter/omfång tar till exempel emot användarens data to-do lista. Å andra sidan kan ett anrop från ett program via programbehörigheter eller roller få hela att-göra-listan. Men i den här artikeln gör vi bara ett programanrop, så vi behövde inte konfigurera delegerade behörigheter/omfång.

.NÄT

1. Öppna ett konsolfönster och kör sedan webb-API:et med hjälp av följande kommandon:

   cd 2-Authorization\3-call-own-api-dotnet-core-daemon\ToDoListAPI
   dotnet run
   

2. Kör daemonklienten med hjälp av följande kommandon:

   cd 2-Authorization\3-call-own-api-dotnet-core-daemon\ToDoListClient
   dotnet run
   

   Om daemonprogrammet och webb-API:et körs bör du se något som liknar följande JSON-matris i konsolfönstret:

   Posting a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 1
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Bake bread
   Posting a second to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 1
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Bake bread
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Butter bread
   Deleting a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Butter bread
   Editing a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Eat bread
   Deleting remaining to-do...
   Retrieving to-do's from server...
   There are no to-do's in server
   

Så här fungerar det

Daemon-programmet använder flödet för klientautentisering med OAuth 2.0 för att hämta en åtkomsttoken för sig självt och inte för användaren. Åtkomsttoken som appen begär innehåller de behörigheter som representeras som roller. Klientautentiseringsflödet använder den här uppsättningen behörigheter i stället för användaromfattningar för programtoken. Du tidigare exponerat dessa programbehörigheter i webb-API:et och sedan beviljat dem till daemonappen. Daemon-appen i den här artikeln använder Microsoft Authentication Library för .NET för att förenkla processen med att hämta en token.

På API-sidan, ett .NET-exempelwebb-API, måste API:et kontrollera att åtkomsttoken har de behörigheter som krävs (programbehörigheter). Webb-API:et avvisar åtkomsttoken som inte har de behörigheter som krävs.

Relaterat innehåll

Nod

• Hämta en åtkomsttoken, och anropa sedan ett webb-API i din egen Node.js daemon-app.
• Använd ett klientcertifikat i stället för en hemlighet för autentisering i din Node.js konfidentiella app.

.NÄT

• Använd vår självstudieserie i flera delar för att skapa den här .NET-daemonappen från grunden