快速入門:使用應用程式的身分識別取得權杖,並從 Node.js 主控台應用程式呼叫 Microsoft Graph API
歡迎! 這可能不是您預期的頁面。 當我們處理修正程式時,此連結應會將您導向至正確的文章:
當我們努力解決問題時,也對您的不便深感抱歉,並感謝您的耐心等候。
在本快速入門中,您會下載並執行程式碼範例,該範例會示範 Node.js 主控台應用程式如何使用應用程式的身分識別來取得存取權杖,以呼叫 Microsoft Graph API 及顯示目錄中的使用者清單。 此程式碼範例會示範自動作業或 Windows 服務如何使用應用程式識別來執行,而不是以使用者的身分識別執行。
本快速入門會使用適用於 Node.js 的 Microsoft 驗證程式庫 (MSAL Node) 與用戶端授與。
必要條件
- Node.js
- Visual Studio Code 或其他程式碼編輯器
下載並設定範例應用程式
步驟 1:在 Azure 入口網站中設定應用程式
若要讓本快速入門中的程式碼範例能夠運作,您需要建立用戶端密碼,並新增 Graph API 的 User.Read.All 應用程式權限。
您的應用程式會使用這些屬性進行設定。
步驟 2:下載 Node.js 範例專案
注意
Enter_the_Supported_Account_Info_Here
步驟 3:管理員同意
如果您嘗試在此時執行應用程式,您將會收到「HTTP 403 - 禁止」錯誤:Insufficient privileges to complete the operation。 發生此錯誤的原因是任何 僅限應用程式的許可權 都需要 系統管理員同意:目錄的系統管理員必須同意您的應用程式。 請根據您的角色選取下列其中一個選項:
租用戶管理員
如果您是系統管理員,請移至 [API 許可權] 頁面,選取 [ 授與 > 系統管理員同意Enter_the_Tenant_Name_Here
標準使用者
如果您是租用戶的標準使用者,則至少需要要求雲端應用程式管理員授 與應用程式的管理員同意 。 若要這樣做,請提供下列 URL 給管理員:
https://login.microsoftonline.com/Enter_the_Tenant_Id_Here/adminconsent?client_id=Enter_the_Application_Id_Here
步驟 4:執行應用程式
找出在命令提示字元或主控台中範例的根資料夾 (package.json 的所在位置)。 您必須安裝此範例的相依性一次:
npm install
然後,透過命令提示字元或主控台執行應用程式:
node . --op getUsers
您應該會在主控台輸出中看到一些 JSON 片段,代表您 Microsoft Entra 目錄中的使用者清單。
關於程式碼
以下將討論範例應用程式的一些重要層面。
MSAL 節點
MSAL 節點是程式庫,用來登入使用者並要求權杖,該權杖是用來存取受 Microsoft 身分識別平台保護的 API。 如前所述,本快速入門會使用應用程式權限 (應用程式本身的身分識別),而非委派的權限來要求權杖。 此案例所使用的驗證流程稱為 OAuth 2.0 用戶端認證流程。 如需有關如何搭配使用 MSAL 節點與精靈應用程式的詳細資訊,請參閱案例:精靈應用程式。
您可以執行下列 npm 命令來安裝 MSAL 節點。
npm install @azure/msal-node --save
MSAL 初始化
您可以透過加入下列程式碼來新增 MSAL 的參考:
const msal = require('@azure/msal-node');
接著,使用下列程式碼將 MSAL 初始化:
const msalConfig = {
auth: {
clientId: "Enter_the_Application_Id_Here",
authority: "https://login.microsoftonline.com/Enter_the_Tenant_Id_Here",
clientSecret: "Enter_the_Client_Secret_Here",
}
};
const cca = new msal.ConfidentialClientApplication(msalConfig);
其中: 描述 clientId是註冊於 Azure 入口網站中的應用程式所具備的應用程式 (用戶端) 識別碼。 您可以在 Azure 入口網站的應用程式 [概觀] 頁面中找到此值。 authority供使用者用於驗證的 STS 端點。 若為公用雲端,通常是 https://login.microsoftonline.com/{tenant},其中 {tenant} 是租用戶的名稱或租用戶識別碼。clientSecret在 Azure 入口網站中為應用程式建立的用戶端密碼。
如需詳細資訊,請參閱下列項目的參考文件:ConfidentialClientApplication
要求權杖
若要使用應用程式的身分識別來要求權杖,請使用 acquireTokenByClientCredential 方法:
const tokenRequest = {
scopes: [ 'https://graph.microsoft.com/.default' ],
};
const tokenResponse = await cca.acquireTokenByClientCredential(tokenRequest);
其中: 描述 tokenRequest包含所要求的範圍。 針對機密用戶端,這應該使用類似 {Application ID URI}/.default的格式,以指出所要求的範圍是 Azure 入口網站中所設定應用程式物件中以靜態方式定義的範圍 (若為 Microsoft Graph,{Application ID URI}會指向https://graph.microsoft.com)。 若為自訂 Web API,在 Azure 入口網站「應用程式註冊」中的 [公開 API] 區段底下會定義{Application ID URI}。tokenResponse回應包含所要求之範圍的存取權杖。
說明與支援
如果您需要協助、想要回報問題,或想要深入了解您的支援選項,請參閱 開發人員的協助與支援。
下一步
若要深入了解如何使用 MSAL 節點進行精靈/主控台應用程式開發,請參閱教學課程: