Hämta token för att anropa ett webb-API med hjälp av ett daemonprogram

När du har skapat ett konfidentiellt klientprogram kan du hämta en token för appen genom att anropa AcquireTokenForClient, skicka omfånget och eventuellt tvinga fram en uppdatering av token.

Omfattningar som ska begäras

Omfånget för att begära ett flöde för klientautentiseringsuppgifter är namnet på resursen följt av /.default. Den här notationen instruerar Microsoft Entra-ID:t att använda de behörigheter på programnivå som deklareras statiskt under programregistreringen. Dessa API-behörigheter måste också beviljas av en klientadministratör.

.NET

Här är ett exempel på hur du definierar omfången för webb-API:et som en del av konfigurationen i en appsettings.json fil. Det här exemplet är hämtat från daemonkodexemplet för .NET-konsolen på GitHub.

{
    "AzureAd": {
        // Same AzureAd section as before.
    },

    "MyWebApi": {
        "BaseUrl": "https://localhost:44372/",
        "RelativePath": "api/TodoList",
        "RequestAppToken": true,
        "Scopes": [ "[Enter here the scopes for your web API]" ]
    }
}

Java

final static String GRAPH_DEFAULT_SCOPE = "https://graph.microsoft.com/.default";

Node.js

const tokenRequest = {
    scopes: [process.env.GRAPH_ENDPOINT + '.default'], // e.g. 'https://graph.microsoft.com/.default'
};

Python

I MSAL Python ser konfigurationsfilen ut som det här kodfragmentet:

{
    "scope": ["https://graph.microsoft.com/.default"],
}

.NET (låg nivå)

ResourceId = "someAppIDURI";
var scopes = new [] {  ResourceId+"/.default"};

Azure AD-resurser (v1.0)

Omfånget som används för klientautentiseringsuppgifter bör alltid vara resurs-ID följt av /.default.

Viktigt!

När MSAL begär en åtkomsttoken för en resurs som accepterar en version 1.0-åtkomsttoken parsar Microsoft Entra-ID den önskade målgruppen från det begärda omfånget genom att ta allt före det senaste snedstrecket och använda det som resursidentifierare. Så om resursen, som Azure SQL Database (https://database.windows.net), förväntar sig en målgrupp som slutar med ett snedstreck (för Azure SQL Database, https://database.windows.net/), måste du begära ett omfång på https://database.windows.net//.default. (Observera det dubbla snedstrecket.) Se även MSAL.NET problem #747: Resource url's trailing slash is omitted, which caused sql auth failure.

AcquireTokenForClient API

Om du vill hämta en token för appen använder AcquireTokenForClient du eller dess motsvarighet, beroende på plattformen.

.NET

Med Microsoft.Identity.Web behöver du inte hämta en token. Du kan använda API:er på högre nivå, som du ser i Anropa ett webb-API från ett daemonprogram. Om du däremot använder ett SDK som kräver en token visar följande kodfragment hur du hämtar den här token.

using Microsoft.Extensions.DependencyInjection;
using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web;

// In the Program.cs, acquire a token for your downstream API

var tokenAcquirerFactory = TokenAcquirerFactory.GetDefaultInstance();
ITokenAcquirer acquirer = tokenAcquirerFactory.GetTokenAcquirer();
AcquireTokenResult tokenResult = await acquirer.GetTokenForUserAsync(new[] { "https://graph.microsoft.com/.default" });
string accessToken = tokenResult.AccessToken;

Java

Den här koden extraheras från MSAL Java dev-exempel.

private static IAuthenticationResult acquireToken() throws Exception {

     // Load token cache from file and initialize token cache aspect. The token cache will have
     // dummy data, so the acquireTokenSilently call will fail.
     TokenCacheAspect tokenCacheAspect = new TokenCacheAspect("sample_cache.json");

     IClientCredential credential = ClientCredentialFactory.createFromSecret(CLIENT_SECRET);
     ConfidentialClientApplication cca =
             ConfidentialClientApplication
                     .builder(CLIENT_ID, credential)
                     .authority(AUTHORITY)
                     .setTokenCacheAccessAspect(tokenCacheAspect)
                     .build();

     IAuthenticationResult result;
     try {
         SilentParameters silentParameters =
                 SilentParameters
                         .builder(SCOPE)
                         .build();

         // try to acquire token silently. This call will fail since the token cache does not
         // have a token for the application you are requesting an access token for
         result = cca.acquireTokenSilently(silentParameters).join();
     } catch (Exception ex) {
         if (ex.getCause() instanceof MsalException) {

             ClientCredentialParameters parameters =
                     ClientCredentialParameters
                             .builder(SCOPE)
                             .build();

             // Try to acquire a token. If successful, you should see
             // the token information printed out to console
             result = cca.acquireToken(parameters).join();
         } else {
             // Handle other exceptions accordingly
             throw ex;
         }
     }
     return result;
 }

Node.js

Följande kodfragment illustrerar tokenförvärv i ett konfidentiellt klientprogram för MSAL Node:

try {
    const authResponse = await cca.acquireTokenByClientCredential(tokenRequest);
    console.log(authResponse.accessToken) // display access token
} catch (error) {
    console.log(error);
}

Python

# The pattern to acquire a token looks like this.
result = None

# First, the code looks up a token from the cache.
# Because we're looking for a token for the current app, not for a user,
# use None for the account parameter.
result = app.acquire_token_silent(config["scope"], account=None)

if not result:
    logging.info("No suitable token exists in cache. Let's get a new one from Azure AD.")
    result = app.acquire_token_for_client(scopes=config["scope"])

if "access_token" in result:
    # Call a protected API with the access token.
    print(result["token_type"])
else:
    print(result.get("error"))
    print(result.get("error_description"))
    print(result.get("correlation_id"))  # You might need this when reporting a bug.

.NET (låg nivå)

using Microsoft.Identity.Client;

// With client credentials flows, the scope is always of the shape "resource/.default" because the
// application permissions need to be set statically (in the portal or by PowerShell), and then granted by
// a tenant administrator.
string[] scopes = new string[] { "https://graph.microsoft.com/.default" };

AuthenticationResult result = null;
try
{
 result = await app.AcquireTokenForClient(scopes)
                  .ExecuteAsync();
}
catch (MsalUiRequiredException ex)
{
    // The application doesn't have sufficient permissions.
    // - Did you declare enough app permissions during app creation?
    // - Did the tenant admin grant permissions to the application?
}
catch (MsalServiceException ex) when (ex.Message.Contains("AADSTS70011"))
{
    // Invalid scope. The scope has to be in the form "https://resourceurl/.default"
    // Mitigation: Change the scope to be as expected.
}

AcquireTokenForClient använder cacheminnet för programtoken

I MSAL.NET AcquireTokenForClient använder du cacheminnet för programtoken. (Alla andra AcquireTokenXX-metoder använder cacheminnet för användartoken.) Anropa AcquireTokenSilent inte innan du anropar AcquireTokenForClient, eftersom AcquireTokenSilent använder cacheminnet för användartoken . AcquireTokenForClientkontrollerar själva programtokencacheminnet och uppdaterar det.

Protokoll

Om du ännu inte har något bibliotek för det valda språket kanske du vill använda protokollet direkt:

Första fallet: Få åtkomst till tokenbegäran med hjälp av en delad hemlighet

POST /{tenant}/oauth2/v2.0/token HTTP/1.1           //Line breaks for clarity.
Host: login.microsoftonline.com
Content-Type: application/x-www-form-urlencoded

client_id=00001111-aaaa-2222-bbbb-3333cccc4444
&scope=https%3A%2F%2Fgraph.microsoft.com%2F.default
&client_secret=A1b-C2d_E3f.H4i,J5k?L6m!N7o-P8q_R9s.T0u
&grant_type=client_credentials

Andra fallet: Få åtkomst till tokenbegäran med hjälp av ett certifikat

POST /{tenant}/oauth2/v2.0/token HTTP/1.1               // Line breaks for clarity.
Host: login.microsoftonline.com
Content-Type: application/x-www-form-urlencoded

scope=https%3A%2F%2Fgraph.microsoft.com%2F.default
&client_id=11112222-bbbb-3333-cccc-4444dddd5555
&client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3Ajwt-bearer
&client_assertion=aaaaaaaa-0b0b-...
&grant_type=client_credentials

Mer information finns i protokolldokumentationen: Microsofts identitetsplattform och OAuth 2.0-klientens autentiseringsuppgifter.

Felsökning

Använde du omfånget resource/.default?

Om du får ett felmeddelande om att du har använt ett ogiltigt omfång har du förmodligen inte använt omfånget resource/.default .

Har du glömt att ge administratörsmedgivande? Daemon-appar behöver det!

Om du får otillräcklig behörighet för att slutföra åtgärdsfelet när du anropar API:et måste klientadministratören bevilja behörigheter till programmet.

Om du inte beviljar administratörsmedgivande till ditt program får du följande fel:

Failed to call the web API: Forbidden
Content: {
  "error": {
    "code": "Authorization_RequestDenied",
    "message": "Insufficient privileges to complete the operation.",
    "innerError": {
      "request-id": "<guid>",
      "date": "<date>"
    }
  }
}

Välj något av följande alternativ, beroende på roll.

Global innehavaradministratör

För en global klientadministratör går du till Företagsprogram i administrationscentret för Microsoft Entra. Välj appregistreringen och välj Behörigheter i avsnittet Säkerhet i den vänstra rutan. Välj sedan den stora knappen med etiketten Bevilja administratörsmedgivande för {Klientnamn} (där {Klientnamn} är namnet på katalogen).

Standardanvändare

För en standardanvändare av din klientorganisation ber du en global administratör att bevilja administratörsmedgivande till programmet. Det gör du genom att ange följande URL till administratören:

https://login.microsoftonline.com/Enter_the_Tenant_Id_Here/adminconsent?client_id=Enter_the_Application_Id_Here

I URL:en:

• Ersätt Enter_the_Tenant_Id_Here med klient-ID:t eller klientorganisationens namn (till exempel contoso.microsoft.com).
• Enter_the_Application_Id_Here är programmets (klientens) ID för det registrerade programmet.

Felet AADSTS50011: No reply address is registered for the application kan visas när du har beviljat medgivande till appen med hjälp av föregående URL. Det här felet beror på att programmet och URL:en inte har någon omdirigerings-URI. Detta kan ignoreras.

Anropar du ditt eget API?

Om din daemonapp anropar ditt eget webb-API och du inte kunde lägga till en appbehörighet till daemonens appregistrering måste du lägga till approller i webb-API:ets appregistrering.

Nästa steg

.NET

Gå vidare till nästa artikel i det här scenariot, Anropa ett webb-API.

Java

Gå vidare till nästa artikel i det här scenariot, Anropa ett webb-API.

Node.js

Gå vidare till nästa artikel i det här scenariot, Anropa ett webb-API.

Python

Gå vidare till nästa artikel i det här scenariot, Anropa ett webb-API.

Låg .NET-nivå

Gå vidare till nästa artikel i det här scenariot, Anropa ett webb-API.