根据方案选择 Microsoft Graph 身份验证提供程序

  • 项目

身份验证提供程序使用 Microsoft 身份验证库 (MSAL) 实现获取令牌所需的代码;处理增量许可、密码过期和条件访问等情况的一些潜在错误;然后设置 HTTP 请求授权标头。 下表列出了与不同 应用程序类型的方案匹配的提供程序集。

应用场景 Flow/Grant 受众 提供程序
单页应用 使用 PKCE 授权代码 委托的使用者/组织 授权代码提供程序
调用 Web API 的 Web 应用
授权代码 委托的使用者/组织 授权代码提供程序
客户端凭据 仅限应用 客户端凭据提供程序
调用 Web API 的 Web API
代表 委托的使用者/组织 代表提供程序
客户端凭据 仅限应用 客户端凭据提供程序
调用 Web API 的桌面应用
互动 委托的使用者/组织 交互式提供程序
集成 Windows 委托组织 集成的 Windows 提供程序
资源所有者 委托组织 用户名/密码提供程序
设备代码 委托组织 设备代码提供程序
守护程序应用
客户端凭据 仅限应用 客户端凭据提供程序
调用 Web API 的移动应用
互动 委托的使用者/组织 交互式提供程序

注意

以下代码片段是使用各自 SDK 的最新版本编写的。 如果遇到这些代码片段的编译器错误,请确保具有最新版本。 使用的身份验证提供程序由以下 Azure 标识库提供:

授权代码提供程序

授权代码流使本机应用和 Web 应用能够安全地获取用户名中的令牌。 若要了解详细信息,请参阅 Microsoft 标识平台 和 OAuth 2.0 授权代码流

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var clientSecret = "YOUR_CLIENT_SECRET";

// For authorization code flow, the user signs into the Microsoft
// identity platform, and the browser is redirected back to your app
// with an authorization code in the query parameters
var authorizationCode = "AUTH_CODE_FROM_REDIRECT";

// using Azure.Identity;
var options = new TokenCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud
};

// https://learn.microsoft.com/dotnet/api/azure.identity.authorizationcodecredential
var authCodeCredential = new AuthorizationCodeCredential(
    tenantId, clientId, clientSecret, authorizationCode, options);

var graphClient = new GraphServiceClient(authCodeCredential, scopes);

客户端凭据提供程序

客户端凭据流使服务应用程序无需用户交互即可运行。 访问基于应用程序的标识。 有关详细信息,请参阅 Microsoft 标识平台 和 OAuth 2.0 客户端凭据流

使用客户端密码

// The client credentials flow requires that you request the
// /.default scope, and preconfigure your permissions on the
// app registration in Azure. An administrator must grant consent
// to those permissions beforehand.
var scopes = new[] { "https://graph.microsoft.com/.default" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var clientSecret = "YOUR_CLIENT_SECRET";

// using Azure.Identity;
var options = new TokenCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud
};

// https://learn.microsoft.com/dotnet/api/azure.identity.clientsecretcredential
var clientSecretCredential = new ClientSecretCredential(
    tenantId, clientId, clientSecret, options);

var graphClient = new GraphServiceClient(clientSecretCredential, scopes);

使用客户端证书

var scopes = new[] { "https://graph.microsoft.com/.default" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var clientCertificate = new X509Certificate2("MyCertificate.pfx");

// using Azure.Identity;
var options = new TokenCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud
};

// https://learn.microsoft.com/dotnet/api/azure.identity.clientcertificatecredential
var clientCertCredential = new ClientCertificateCredential(
    tenantId, clientId, clientCertificate, options);

var graphClient = new GraphServiceClient(clientCertCredential, scopes);

代表提供程序

当应用程序调用服务/Web API 时,代理流适用,该 API 会轮流调用 Microsoft 图形 API。 有关详细信息,请阅读 Microsoft 标识平台 和 OAuth 2.0 代理流

自版本 1.4.0 起,包 Azure.Identity 不支持代理流。 而是使用 MSAL 创建自定义身份验证提供程序。

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Values from app registration
var clientId = "YOUR_CLIENT_ID";
var clientSecret = "YOUR_CLIENT_SECRET";

// using Azure.Identity;
var options = new TokenCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud
};

// This is the incoming token to exchange using on-behalf-of flow
var oboToken = "JWT_TOKEN_TO_EXCHANGE";

var cca = ConfidentialClientApplicationBuilder
    .Create(clientId)
    .WithTenantId(tenantId)
    .WithClientSecret(clientSecret)
    .Build();

// DelegateAuthenticationProvider is a simple auth provider implementation
// that allows you to define an async function to retrieve a token
// Alternatively, you can create a class that implements IAuthenticationProvider
// for more complex scenarios
var authProvider = new DelegateAuthenticationProvider(async (request) => {
    // Use Microsoft.Identity.Client to retrieve token
    var assertion = new UserAssertion(oboToken);
    var result = await cca.AcquireTokenOnBehalfOf(scopes, assertion).ExecuteAsync();

    request.Headers.Authorization =
        new System.Net.Http.Headers.AuthenticationHeaderValue("Bearer", result.AccessToken);
});

var graphClient = new GraphServiceClient(authProvider);

隐式提供程序

由于隐式身份验证流 存在缺点,因此不建议使用隐式身份验证流。 公共客户端(例如本机应用和 JavaScript 应用)现在应改为将授权代码流与 PKCE 扩展一起使用。 引用

设备代码提供程序

设备代码流允许通过其他设备登录到设备。 有关详细信息,请参阅 Microsoft 标识平台 和 OAuth 2.0 设备代码流

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

// using Azure.Identity;
var options = new TokenCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud
};

// Callback function that receives the user prompt
// Prompt contains the generated device code that use must
// enter during the auth process in the browser
Func<DeviceCodeInfo, CancellationToken, Task> callback = (code, cancellation) => {
    Console.WriteLine(code.Message);
    return Task.FromResult(0);
};

// https://learn.microsoft.com/dotnet/api/azure.identity.devicecodecredential
var deviceCodeCredential = new DeviceCodeCredential(
    callback, tenantId, clientId, options);

var graphClient = new GraphServiceClient(deviceCodeCredential, scopes);

集成的 Windows 提供程序

集成的 Windows 流提供了一种让 Windows 计算机在加入域时以无提示方式获取访问令牌的方法。 有关详细信息,请参阅集成Windows 身份验证

Azure.Identity 当前不支持 Windows 集成身份验证。 而是使用 MSAL 创建自定义身份验证提供程序。

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

var pca = PublicClientApplicationBuilder
    .Create(clientId)
    .WithTenantId(tenantId)
    .Build();

// DelegateAuthenticationProvider is a simple auth provider implementation
// that allows you to define an async function to retrieve a token
// Alternatively, you can create a class that implements IAuthenticationProvider
// for more complex scenarios
var authProvider = new DelegateAuthenticationProvider(async (request) => {
    // Use Microsoft.Identity.Client to retrieve token
    var result = await pca.AcquireTokenByIntegratedWindowsAuth(scopes).ExecuteAsync();

    request.Headers.Authorization =
        new System.Net.Http.Headers.AuthenticationHeaderValue("Bearer", result.AccessToken);
});

var graphClient = new GraphServiceClient(authProvider);

交互式提供程序

交互式流由移动应用程序 (Xamarin 和 UWP) 和桌面应用程序使用,以用户的名义调用 Microsoft Graph。 有关详细信息,请参阅 以交互方式获取令牌

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

// using Azure.Identity;
var options = new InteractiveBrowserCredentialOptions
{
    TenantId = tenantId,
    ClientId = clientId,
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud,
    // MUST be http://localhost or http://localhost:PORT
    // See https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/wiki/System-Browser-on-.Net-Core
    RedirectUri = new Uri("http://localhost"),
};

// https://learn.microsoft.com/dotnet/api/azure.identity.interactivebrowsercredential
var interactiveCredential = new InteractiveBrowserCredential(options);

var graphClient = new GraphServiceClient(interactiveCredential, scopes);

用户名/密码提供程序

用户名/密码提供程序允许应用程序使用用户的用户名和密码登录用户。 仅当不能使用任何其他 OAuth 流时,才使用此流。 有关详细信息,请参阅 Microsoft 标识平台 和 OAuth 2.0 资源所有者密码凭据

var scopes = new[] { "User.Read" };

// Multi-tenant apps can use "common",
// single-tenant apps must use the tenant ID from the Azure portal
var tenantId = "common";

// Value from app registration
var clientId = "YOUR_CLIENT_ID";

// using Azure.Identity;
var options = new TokenCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud
};

var userName = "adelev@contoso.com";
var password = "P@ssword1!";

// https://learn.microsoft.com/dotnet/api/azure.identity.usernamepasswordcredential
var userNamePasswordCredential = new UsernamePasswordCredential(
    userName, password, tenantId, clientId, options);

var graphClient = new GraphServiceClient(userNamePasswordCredential, scopes);

后续步骤