使用 Microsoft Graph 和仅限应用的身份验证生成 PHP 应用

项目
Developer (初级)
19 分钟可完成

本教程介绍如何生成一个 PHP 控制台应用，该应用使用 Microsoft Graph API 使用仅应用身份验证访问数据。对于需要访问组织中所有用户的数据的后台服务或应用程序，仅应用身份验证是一个不错的选择。

注意

若要了解如何使用 Microsoft Graph 代表用户访问数据，请参阅此用户 (委托) 身份验证教程。

在本教程中，你将：

List users

提示

作为本教程的替代方法，可以下载或克隆 GitHub 存储库，并按照 README 中的说明注册应用程序并配置项目。

先决条件

在开始本教程之前，应在开发计算机上安装 PHP 和 Composer 。

还应具有具有全局管理员角色的Microsoft工作或学校帐户。如果没有 Microsoft 365 租户，则可以通过 Microsoft 365 开发人员计划获得租户;有关详细信息，请参阅常见问题解答。或者，可以注册 1 个月的免费试用版或购买 Microsoft 365 计划。

注意

本教程使用 PHP 版本 8.1.5 和 Composer 版本 2.3.5 编写。本指南中的步骤可能适用于其他版本，但尚未测试。

在门户中注册该应用

剩余 18 分钟

在本练习中，你将在 Azure Active Directory 中注册一个新应用程序，以启用仅限应用的身份验证。可以使用 Microsoft Entra 管理中心或使用 Microsoft Graph PowerShell SDK 注册应用程序。

注册应用程序进行仅限应用的身份验证

在本部分中，你将使用客户端凭据流注册支持仅限应用身份验证的应用程序。

Microsoft Entra 管理中心
PowerShell

打开浏览器，导航到 Microsoft Entra 管理中心，并使用全局管理员帐户登录。
在左侧导航栏中选择“Microsoft Entra ID”，依次展开“标识”、“应用程序”和“应用注册”。
选择“新注册”。输入应用程序的名称，例如 Graph App-Only Auth Tutorial。
将 “支持的帐户类型 ”设置为 “仅此组织目录中的帐户”。
保留“重定向 URI”为空。
选择“注册”。在应用程序的 “概述 ”页上，复制 “应用程序 (客户端) ID ”和 “目录 (租户) ID ”的值并保存它们，下一步将需要这些值。
在“管理”下选择 “API 权限”。
删除“配置权限”下的默认 User.Read 权限，方法是在其行中选择省略号 (...) 并选择“删除权限”。
选择“ 添加权限”，然后选择 “Microsoft Graph”。
选择“应用程序权限”。
选择 “User.Read.All”，然后选择“ 添加权限”。
选择“ 授予管理员同意...”，然后选择“ 是 ”，为所选权限提供管理员同意。
选择“管理”下的“证书和机密”，然后选择“新建客户端密码”。
输入说明，选择持续时间，然后选择 “添加”。
复制 “值 ”列中的机密，后续步骤中将需要它。

重要

此客户端密码不会再次显示，所以请务必现在就复制它。

若要使用 PowerShell，需要Microsoft Graph PowerShell SDK。如果没有，请参阅安装 Microsoft Graph PowerShell SDK 了解安装说明。

创建名为 RegisterAppForAppOnlyAuth.ps1 的新文件，并添加以下代码。

param(
  [Parameter(Mandatory=$true,
  HelpMessage="The friendly name of the app registration")]
  [String]
  $AppName,

  [Parameter(Mandatory=$true,
  HelpMessage="The application permission scopes to configure on the app registration")]
  [String[]]
  $GraphScopes,

  [Parameter(Mandatory=$false)]
  [Switch]
  $StayConnected = $false
)

$graphAppId = "00000003-0000-0000-c000-000000000000"

# Requires an admin
Connect-MgGraph -Scopes "Application.ReadWrite.All AppRoleAssignment.ReadWrite.All User.Read" -UseDeviceAuthentication -ErrorAction Stop

# Get context for access to tenant ID
$context = Get-MgContext -ErrorAction Stop
$authTenant = $context.TenantId

# Create app registration
$appRegistration = New-MgApplication -DisplayName $AppName -SignInAudience "AzureADMyOrg" -ErrorAction Stop
Write-Host -ForegroundColor Cyan "App registration created with app ID" $appRegistration.AppId

# Create corresponding service principal
$appServicePrincipal = New-MgServicePrincipal -AppId $appRegistration.AppId -ErrorAction SilentlyContinue `
  -ErrorVariable SPError
if ($SPError)
{
  Write-Host -ForegroundColor Red "A service principal for the app could not be created."
  Write-Host -ForegroundColor Red $SPError
  Exit
}

Write-Host -ForegroundColor Cyan "Service principal created"

# Lookup available Graph application permissions
$graphServicePrincipal = Get-MgServicePrincipal -Filter ("appId eq '" + $graphAppId + "'") -ErrorAction Stop
$graphAppPermissions = $graphServicePrincipal.AppRoles

$resourceAccess = @()

foreach($scope in $GraphScopes)
{
  $permission = $graphAppPermissions | Where-Object { $_.Value -eq $scope }
  if ($permission)
  {
    $resourceAccess += @{ Id =  $permission.Id; Type = "Role"}
  }
  else
  {
    Write-Host -ForegroundColor Red "Invalid scope:" $scope
    Exit
  }
}

# Add the permissions to required resource access
Update-MgApplication -ApplicationId $appRegistration.Id -RequiredResourceAccess `
 @{ ResourceAppId = $graphAppId; ResourceAccess = $resourceAccess } -ErrorAction Stop
Write-Host -ForegroundColor Cyan "Added application permissions to app registration"

# Add admin consent
foreach ($appRole in $resourceAccess)
{
  New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $appServicePrincipal.Id `
   -PrincipalId $appServicePrincipal.Id -ResourceId $graphServicePrincipal.Id `
   -AppRoleId $appRole.Id -ErrorAction SilentlyContinue -ErrorVariable SPError | Out-Null
  if ($SPError)
  {
    Write-Host -ForegroundColor Red "Admin consent for one of the requested scopes could not be added."
    Write-Host -ForegroundColor Red $SPError
    Exit
  }
}
Write-Host -ForegroundColor Cyan "Added admin consent"

# Add a client secret
$clientSecret = Add-MgApplicationPassword -ApplicationId $appRegistration.Id -PasswordCredential `
 @{ DisplayName = "Added by PowerShell" } -ErrorAction Stop

Write-Host
Write-Host -ForegroundColor Green "SUCCESS"
Write-Host -ForegroundColor Cyan -NoNewline "Client ID: "
Write-Host -ForegroundColor Yellow $appRegistration.AppId
Write-Host -ForegroundColor Cyan -NoNewline "Tenant ID: "
Write-Host -ForegroundColor Yellow $authTenant
Write-Host -ForegroundColor Cyan -NoNewline "Client secret: "
Write-Host -ForegroundColor Yellow $clientSecret.SecretText
Write-Host -ForegroundColor Cyan -NoNewline "Secret expires: "
Write-Host -ForegroundColor Yellow $clientSecret.EndDateTime

if ($StayConnected -eq $false)
{
  Disconnect-MgGraph | Out-Null
  Write-Host "Disconnected from Microsoft Graph"
}
else
{
  Write-Host
  Write-Host -ForegroundColor Yellow `
   "The connection to Microsoft Graph is still active. To disconnect, use Disconnect-MgGraph"
}

保存文件。
打开 PowerShell，将当前目录更改为 RegisterAppForAppOnlyAuth.ps1的位置。

运行以下命令：

.\RegisterAppForAppOnlyAuth.ps1 -AppName "Graph App-Only Auth Tutorial" -GraphScopes "User.Read.All"

按照提示在浏览器中打开 https://microsoft.com/devicelogin ，输入提供的代码，然后完成身份验证过程。

从脚本输出复制“客户端 ID”、“租户 ID”和“客户端机密”值。在下一步中，你将需要这些值。

SUCCESS
Client ID: ae2386e6-799e-4f75-b191-855d7e691c75
Tenant ID: 5927c10a-91bd-4408-9c70-c50bce922b71
Client secret: ...
Secret expires: 10/28/2024 5:01:45 PM

注意

请注意，与注册用户身份验证时的步骤不同，在本部分中，你配置了对应用注册Microsoft Graph 权限。这是因为仅应用身份验证使用客户端凭据流，这需要在应用注册上配置权限。有关详细信息，请参阅 .default 范围。

创建 PHP 控制台应用

剩余 15 分钟

首先初始化新的 Composer 项目。在要在其中创建项目的目录中打开命令行界面 (CLI) 。运行以下命令：

composer init

回答提示。对于大多数问题，可以接受默认值，但请回答 n 以下事项：

Would you like to define your dependencies (require) interactively [yes]? n
Would you like to define your dev dependencies (require-dev) interactively [yes]? n
Add PSR-4 autoload mapping? Maps namespace "Microsoft\Graphapponlytutorial" to the entered relative path. [src/, n to skip]: n

安装依赖项

在继续操作之前，请添加稍后将使用的一些其他依赖项。

Microsoft Graph SDK for PHP 调用 Microsoft Graph。
用于从 .env 文件读取环境变量的 vlucas/phpdotenv。

在 CLI 中运行以下命令以安装依赖项。

composer require microsoft/microsoft-graph vlucas/phpdotenv

加载应用程序设置

在本部分中，你将向项目添加应用注册的详细信息。

在名为 .env 的项目的根目录中创建一个文件，并添加以下代码。

CLIENT_ID=YOUR_CLIENT_ID_HERE
CLIENT_SECRET=YOUR_CLIENT_SECRET_HERE_IF_USING_APP_ONLY
TENANT_ID=YOUR_TENANT_ID_HERE_IF_USING_APP_ONLY

根据下表更新值。

设置值

CLIENT_ID 应用注册的客户端 ID

CLIENT_SECRET 应用注册的客户端密码

TENANT_ID 组织的租户 ID

重要

如果使用 git 等源代码管理，则现在是从源代码管理中排除 .env 文件以避免无意中泄露应用 ID 的好时机。

设置	值
`CLIENT_ID`	应用注册的客户端 ID
`CLIENT_SECRET`	应用注册的客户端密码
`TENANT_ID`	组织的租户 ID

设计应用

在本部分中，你将创建一个基于控制台的简单菜单。

在项目的根目录中创建一个名为 main.php 的文件。添加开始和结束 PHP 标记。
```
<?php
?>
```

在 PHP 标记之间添加以下代码。

// Enable loading of Composer dependencies
require_once realpath(__DIR__ . '/vendor/autoload.php');
require_once 'GraphHelper.php';

print('PHP Graph Tutorial'.PHP_EOL.PHP_EOL);

// Load .env file
$dotenv = Dotenv\Dotenv::createImmutable(__DIR__);
$dotenv->load();
$dotenv->required(['CLIENT_ID', 'CLIENT_SECRET', 'TENANT_ID']);

initializeGraph();

$choice = -1;

while ($choice != 0) {
    echo('Please choose one of the following options:'.PHP_EOL);
    echo('0. Exit'.PHP_EOL);
    echo('1. Display access token'.PHP_EOL);
    echo('2. List users'.PHP_EOL);
    echo('3. Make a Graph call'.PHP_EOL);

    $choice = (int)readline('');

    switch ($choice) {
        case 1:
            displayAccessToken();
            break;
        case 2:
            listUsers();
            break;
        case 3:
            makeGraphCall();
            break;
        case 0:
        default:
            print('Goodbye...'.PHP_EOL);
    }
}

在文件末尾的结束 PHP 标记之前添加以下占位符方法。你将在后面的步骤中实现它们。

function initializeGraph(): void {
    // TODO
}

function displayAccessToken(): void {
    // TODO
}

function listUsers(): void {
    // TODO
}

function makeGraphCall(): void {
    // TODO
}

这将实现基本菜单，并从命令行读取用户的选择。

添加仅限应用的身份验证

剩余 10 分钟

在本部分中，将向应用程序添加仅限应用的身份验证。这是获取调用 Microsoft Graph 所需的 OAuth 访问令牌所必需的。

为 Graph 客户端配置仅限应用的身份验证

在本部分中， PhpLeagueAuthenticationProvider 你将使用类通过客户端凭据流请求访问令牌。

在项目的根目录中创建一个名为 GraphHelper.php 的新文件。添加以下代码。
```
<?php
class GraphHelper {
}
?>
```

在 PHP 标记中添加以下 using 语句。

use Microsoft\Graph\Core\Authentication\GraphPhpLeagueAccessTokenProvider;
use Microsoft\Graph\Generated\Models;
use Microsoft\Graph\Generated\Users\UsersRequestBuilderGetQueryParameters;
use Microsoft\Graph\Generated\Users\UsersRequestBuilderGetRequestConfiguration;
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Kiota\Authentication\Oauth\ClientCredentialContext;

将以下代码添加到 GraphHelper 类。

private static string $clientId = '';
private static string $clientSecret = '';
private static string $tenantId = '';
private static ClientCredentialContext $tokenContext;
private static GraphServiceClient $appClient;

public static function initializeGraphForAppOnlyAuth(): void {
    GraphHelper::$clientId = $_ENV['CLIENT_ID'];
    GraphHelper::$clientSecret = $_ENV['CLIENT_SECRET'];
    GraphHelper::$tenantId = $_ENV['TENANT_ID'];

    GraphHelper::$tokenContext = new ClientCredentialContext(
        GraphHelper::$tenantId,
        GraphHelper::$clientId,
        GraphHelper::$clientSecret);

    GraphHelper::$appClient = new GraphServiceClient(
        GraphHelper::$tokenContext, ['https://graph.microsoft.com/.default']);
}

将 main.php 中的空initializeGraph函数替换为以下内容。

function initializeGraph(): void {
    GraphHelper::initializeGraphForAppOnlyAuth();
}

此代码从 .env 文件加载信息，并初始化两个 ClientCredentialContext 属性：对象和 GraphServiceClient 对象。对象 ClientCredentialContext 将用于对请求进行身份验证，对象 GraphServiceClient 将用于调用 Microsoft Graph。

测试客户端凭据流

接下来，添加代码以从 GraphHelper获取访问令牌。

将以下函数添加到 GraphHelper 类。

public static function getAppOnlyToken(): string {
    // Create an access token provider to get the token
    $tokenProvider = new GraphPhpLeagueAccessTokenProvider(GraphHelper::$tokenContext);
    return $tokenProvider
        ->getAuthorizationTokenAsync('https://graph.microsoft.com')
        ->wait();
}

将 main.php 中的空displayAccessToken函数替换为以下内容。

function displayAccessToken(): void {
    try {
        $token = GraphHelper::getAppOnlyToken();
        print('App-only token: '.$token.PHP_EOL.PHP_EOL);
    } catch (Exception $e) {
        print('Error getting access token: '.$e->getMessage().PHP_EOL.PHP_EOL);
    }
}

生成并运行应用。当系统提示输入选项时，请输入 1 。应用程序使用以前在环境变量中配置的身份验证信息显示它提取的访问令牌。
```
$ php main.php

PHP Graph Tutorial

Please choose one of the following options:
0. Exit
1. Display access token
2. List users
3. Make a Graph call
1
App-only token: eyJ0eXAiOiJKV1QiLCJub25jZSI6IlVDTzRYOWtKYlNLVjVkRzJGenJqd2xvVUcwWS...
```
提示

仅出于验证和调试目的，可以使用 Microsoft 的联机令牌分析器在中https://jwt.ms解码仅限应用的访问令牌。如果在调用 Microsoft Graph 时遇到令牌错误，这很有用。例如，验证令牌中的声明是否 role 包含预期的 Microsoft Graph 权限范围。

列出用户

剩余 7 分钟

在本部分中，你将添加使用仅限应用的身份验证列出 Azure Active Directory 中的所有用户的功能。

将以下代码添加到 GraphHelper 类。

public static function getUsers(): Models\UserCollectionResponse {
    $configuration = new UsersRequestBuilderGetRequestConfiguration();
    $configuration->queryParameters = new UsersRequestBuilderGetQueryParameters();
    // Only request specific properties
    $configuration->queryParameters->select = ['displayName','id','mail'];
    // Sort by display name
    $configuration->queryParameters->orderby = ['displayName'];
    // Get at most 25 results
    $configuration->queryParameters->top = 25;

    return GraphHelper::$appClient->users()->get($configuration)->wait();
}

将 main.php 中的空listUsers函数替换为以下内容。

function listUsers(): void {
    try {
        $users = GraphHelper::getUsers();

        // Output each user's details
        foreach ($users->getValue() as $user) {
            print('User: '.$user->getDisplayName().PHP_EOL);
            print('  ID: '.$user->getId().PHP_EOL);
            $email = $user->getMail();
            $email = isset($email) ? $email : 'NO EMAIL';
            print('  Email: '.$email.PHP_EOL);
        }

        $nextLink = $users->getOdataNextLink();
        $moreAvailable = isset($nextLink) && $nextLink != '' ? 'True' : 'False';
        print(PHP_EOL.'More users available? '.$moreAvailable.PHP_EOL.PHP_EOL);
    } catch (Exception $e) {
        print(PHP_EOL.'Error getting users: '.$e->getMessage().PHP_EOL.PHP_EOL);
    }
}

运行应用，登录并选择选项 2 列出用户。

Please choose one of the following options:
0. Exit
1. Display access token
2. List users
3. Make a Graph call
2
User: Adele Vance
  ID: 05fb57bf-2653-4396-846d-2f210a91d9cf
  Email: AdeleV@contoso.com
User: Alex Wilber
  ID: a36fe267-a437-4d24-b39e-7344774d606c
  Email: AlexW@contoso.com
User: Allan Deyoung
  ID: 54cebbaa-2c56-47ec-b878-c8ff309746b0
  Email: AllanD@contoso.com
User: Bianca Pisani
  ID: 9a7dcbd0-72f0-48a9-a9fa-03cd46641d49
  Email: NO EMAIL
User: Brian Johnson (TAILSPIN)
  ID: a8989e40-be57-4c2e-bf0b-7cdc471e9cc4
  Email: BrianJ@contoso.com

...

More users available? true

代码说明

请考虑函数中的 getUsers 代码。

它获取用户的集合。
它使用 queryParameters->select 请求特定属性
它使用 queryParameters->top 来限制返回的用户数
它使用 queryParameters->orderby 对响应进行排序

可选：添加自己的代码

剩余 5 分钟

在本部分中，将向应用程序添加自己的 Microsoft Graph 功能。这可能是Microsoft Graph 文档或 Graph 资源管理器中的代码片段，也可以是你创建的代码片段。此部分是可选的。

更新应用

将以下代码添加到 GraphHelper 类。

public static function makeGraphCall(): void {
    // INSERT YOUR CODE HERE
}

将 main.php 中的空makeGraphCall函数替换为以下内容。

function makeGraphCall(): void {
    try {
        GraphHelper::makeGraphCall();
    } catch (Exception $e) {
        print(PHP_EOL.'Error making Graph call'.PHP_EOL.PHP_EOL);
    }
}

选择 API

在 Microsoft Graph 中查找想要尝试的 API。例如，创建事件 API。可以使用 API 文档中的示例之一，也可以创建自己的 API 请求。

配置权限

查看所选 API 的参考文档 的“权限” 部分，了解支持哪些身份验证方法。例如，某些 API 不支持仅限应用或个人Microsoft帐户。

若要调用具有用户身份验证 (API（如果 API 支持用户 (委托) 身份验证) ），请参阅用户 (委托) 身份验证教程。
若要调用具有仅应用身份验证 (API（如果 API 支持) ），请在 Azure AD 管理中心中添加所需的权限范围。

添加代码

将代码添加到 makeGraphCallGraphHelper.php 中的函数中。

通过

使用 Microsoft Graph 和仅限应用的身份验证生成 PHP 应用

先决条件

在门户中注册该应用

注册应用程序进行仅限应用的身份验证

创建 PHP 控制台应用

安装依赖项

加载应用程序设置

设计应用

添加仅限应用的身份验证

为 Graph 客户端配置仅限应用的身份验证

测试客户端凭据流

列出用户

代码说明

可选：添加自己的代码

更新应用

选择 API

配置权限

添加代码

恭喜！

PHP 示例