Compilación de aplicaciones .NET con Microsoft Graph y autenticación solo de aplicaciones

Artículo
Developer (Principiante)
Tiempo para finalizar: 19 minutos

En este tutorial se explica cómo crear una aplicación de consola de .NET que usa Microsoft Graph API para acceder a los datos mediante la autenticación de solo aplicación. La autenticación solo de aplicación es una buena opción para los servicios en segundo plano o las aplicaciones que necesitan acceder a los datos de todos los usuarios de una organización.

Nota:

Para obtener información sobre cómo usar Microsoft Graph para acceder a datos en nombre de un usuario, consulte este tutorial de autenticación de usuario (delegado).

En este tutorial, aprenderá a:

Enumerar usuarios

Sugerencia

Como alternativa a seguir este tutorial, puede descargar o clonar el repositorio de GitHub y seguir las instrucciones de README para registrar una aplicación y configurar el proyecto.

Requisitos previos

Antes de iniciar este tutorial, debe tener instalado el SDK de .NET en la máquina de desarrollo.

También debe tener una cuenta profesional o educativa de Microsoft con el rol de administrador global. Si no tiene un inquilino de Microsoft 365, puede calificar para uno a través del Programa para desarrolladores de Microsoft 365; Para obtener más información, consulte las preguntas más frecuentes. Como alternativa, puede registrarse para obtener una evaluación gratuita de 1 mes o comprar un plan de Microsoft 365.

Nota:

Este tutorial se ha escrito con la versión 7.0.102 del SDK de .NET. Los pasos de esta guía pueden funcionar con otras versiones, pero no se han probado.

Registrar la aplicación en el portal

18 minutos restantes

En este ejercicio registrará una nueva aplicación en Azure Active Directory para habilitar la autenticación de solo aplicación. Puede registrar una aplicación mediante el Centro de administración de Microsoft Entra o mediante el SDK de PowerShell de Microsoft Graph.

Registro de la aplicación para la autenticación de solo aplicación

En esta sección registrará una aplicación que admita la autenticación de solo aplicación mediante el flujo de credenciales de cliente.

Centro de administración de Microsoft Entra
PowerShell

Abra un explorador y vaya al Centro de administración de Microsoft Entra e inicie sesión con una cuenta de administrador global.
Seleccione Microsoft Entra ID en el panel de navegación izquierdo, expanda Identidad, aplicaciones y registros de aplicaciones.
Seleccione Nuevo registro. Escriba un nombre para la aplicación, por ejemplo, Graph App-Only Auth Tutorial.
Establezca Tipos de cuenta admitidosen Solo cuentas en este directorio organizativo.
Deje URI de redireccionamiento vacía.
Seleccione Registrar. En la página Información general de la aplicación, copie el valor del identificador de aplicación (cliente) y del identificador de directorio (inquilino) y guárdelos, necesitará estos valores en el paso siguiente.
Seleccione Permisos de las API en Administrar.
Quite el permiso User.Read predeterminado en Permisos configurados ; para ello, seleccione los puntos suspensivos (...) de su fila y seleccione Quitar permiso.
Seleccione Agregar un permiso y, a continuación, Microsoft Graph.
Seleccione Permisos de aplicación.
Seleccione User.Read.All y, a continuación, seleccione Agregar permisos.
Seleccione Conceder consentimiento de administrador para...y, a continuación, seleccione Sí para proporcionar el consentimiento del administrador para el permiso seleccionado.
Seleccione Certificados y secretos en Administrar y, a continuación, seleccione Nuevo secreto de cliente.
Escriba una descripción, elija una duración y seleccione Agregar.
Copie el secreto de la columna Valor ; lo necesitará en los pasos siguientes.

Importante

El secreto de cliente no se vuelve a mostrar, así que asegúrese de copiarlo en este momento.

Para usar PowerShell, necesitará el SDK de PowerShell de Microsoft Graph. Si no lo tiene, consulte Instalación del SDK de PowerShell de Microsoft Graph para obtener instrucciones de instalación.

Cree un nuevo archivo denominado RegisterAppForAppOnlyAuth.ps1 y agregue el código siguiente.

param(
  [Parameter(Mandatory=$true,
  HelpMessage="The friendly name of the app registration")]
  [String]
  $AppName,

  [Parameter(Mandatory=$true,
  HelpMessage="The application permission scopes to configure on the app registration")]
  [String[]]
  $GraphScopes,

  [Parameter(Mandatory=$false)]
  [Switch]
  $StayConnected = $false
)

$graphAppId = "00000003-0000-0000-c000-000000000000"

# Requires an admin
Connect-MgGraph -Scopes "Application.ReadWrite.All AppRoleAssignment.ReadWrite.All User.Read" -UseDeviceAuthentication -ErrorAction Stop

# Get context for access to tenant ID
$context = Get-MgContext -ErrorAction Stop
$authTenant = $context.TenantId

# Create app registration
$appRegistration = New-MgApplication -DisplayName $AppName -SignInAudience "AzureADMyOrg" -ErrorAction Stop
Write-Host -ForegroundColor Cyan "App registration created with app ID" $appRegistration.AppId

# Create corresponding service principal
$appServicePrincipal = New-MgServicePrincipal -AppId $appRegistration.AppId -ErrorAction SilentlyContinue `
  -ErrorVariable SPError
if ($SPError)
{
  Write-Host -ForegroundColor Red "A service principal for the app could not be created."
  Write-Host -ForegroundColor Red $SPError
  Exit
}

Write-Host -ForegroundColor Cyan "Service principal created"

# Lookup available Graph application permissions
$graphServicePrincipal = Get-MgServicePrincipal -Filter ("appId eq '" + $graphAppId + "'") -ErrorAction Stop
$graphAppPermissions = $graphServicePrincipal.AppRoles

$resourceAccess = @()

foreach($scope in $GraphScopes)
{
  $permission = $graphAppPermissions | Where-Object { $_.Value -eq $scope }
  if ($permission)
  {
    $resourceAccess += @{ Id =  $permission.Id; Type = "Role"}
  }
  else
  {
    Write-Host -ForegroundColor Red "Invalid scope:" $scope
    Exit
  }
}

# Add the permissions to required resource access
Update-MgApplication -ApplicationId $appRegistration.Id -RequiredResourceAccess `
 @{ ResourceAppId = $graphAppId; ResourceAccess = $resourceAccess } -ErrorAction Stop
Write-Host -ForegroundColor Cyan "Added application permissions to app registration"

# Add admin consent
foreach ($appRole in $resourceAccess)
{
  New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $appServicePrincipal.Id `
   -PrincipalId $appServicePrincipal.Id -ResourceId $graphServicePrincipal.Id `
   -AppRoleId $appRole.Id -ErrorAction SilentlyContinue -ErrorVariable SPError | Out-Null
  if ($SPError)
  {
    Write-Host -ForegroundColor Red "Admin consent for one of the requested scopes could not be added."
    Write-Host -ForegroundColor Red $SPError
    Exit
  }
}
Write-Host -ForegroundColor Cyan "Added admin consent"

# Add a client secret
$clientSecret = Add-MgApplicationPassword -ApplicationId $appRegistration.Id -PasswordCredential `
 @{ DisplayName = "Added by PowerShell" } -ErrorAction Stop

Write-Host
Write-Host -ForegroundColor Green "SUCCESS"
Write-Host -ForegroundColor Cyan -NoNewline "Client ID: "
Write-Host -ForegroundColor Yellow $appRegistration.AppId
Write-Host -ForegroundColor Cyan -NoNewline "Tenant ID: "
Write-Host -ForegroundColor Yellow $authTenant
Write-Host -ForegroundColor Cyan -NoNewline "Client secret: "
Write-Host -ForegroundColor Yellow $clientSecret.SecretText
Write-Host -ForegroundColor Cyan -NoNewline "Secret expires: "
Write-Host -ForegroundColor Yellow $clientSecret.EndDateTime

if ($StayConnected -eq $false)
{
  Disconnect-MgGraph | Out-Null
  Write-Host "Disconnected from Microsoft Graph"
}
else
{
  Write-Host
  Write-Host -ForegroundColor Yellow `
   "The connection to Microsoft Graph is still active. To disconnect, use Disconnect-MgGraph"
}

Guarde el archivo.
Abra PowerShell y cambie el directorio actual a la ubicación de RegisterAppForAppOnlyAuth.ps1.

Ejecuta el siguiente comando.

.\RegisterAppForAppOnlyAuth.ps1 -AppName "Graph App-Only Auth Tutorial" -GraphScopes "User.Read.All"

Siga el símbolo del sistema para abrir https://microsoft.com/devicelogin en un explorador, escriba el código proporcionado y complete el proceso de autenticación.

Copie los valores de Id. de cliente, Id. de inquilino y Secreto de cliente de la salida del script. Necesitará estos valores en el paso siguiente.

SUCCESS
Client ID: ae2386e6-799e-4f75-b191-855d7e691c75
Tenant ID: 5927c10a-91bd-4408-9c70-c50bce922b71
Client secret: ...
Secret expires: 10/28/2024 5:01:45 PM

Nota:

Tenga en cuenta que, a diferencia de los pasos al registrarse para la autenticación de usuario, en esta sección configuró los permisos de Microsoft Graph en el registro de la aplicación. Esto se debe a que la autenticación de solo aplicación usa el flujo de credenciales de cliente, lo que requiere que los permisos se configuren en el registro de la aplicación. Consulte El ámbito .default para obtener más información.

Creación de una aplicación de consola de .NET

15 minutos restantes

Empiece por crear un nuevo proyecto de consola de .NET mediante la CLI de .NET.

Abra la interfaz de línea de comandos (CLI) en un directorio donde quiera crear el proyecto. Ejecuta el siguiente comando.
```
dotnet new console -o GraphAppOnlyTutorial
```
Una vez creado el proyecto, compruebe que funciona cambiando el directorio actual al directorio GraphTutorial y ejecutando el siguiente comando en la CLI.
```
dotnet run
```
Si funciona, la aplicación debe generar Hello, World!.

Instalar dependencias

Antes de continuar, agregue algunas dependencias adicionales que usará más adelante.

Paquetes de configuración de .NET para leer la configuración de la aplicación desde appsettings.json.
Biblioteca cliente de Azure Identity para .NET para autenticar al usuario y adquirir tokens de acceso.
Biblioteca cliente de Microsoft Graph .NET para realizar llamadas a Microsoft Graph.

Ejecute los siguientes comandos en la CLI para instalar las dependencias.

dotnet add package Microsoft.Extensions.Configuration.Binder
dotnet add package Microsoft.Extensions.Configuration.Json
dotnet add package Microsoft.Extensions.Configuration.UserSecrets
dotnet add package Azure.Identity
dotnet add package Microsoft.Graph

Cargar la configuración de la aplicación

En esta sección agregará los detalles del registro de la aplicación al proyecto.

Cree un archivo en el directorio GraphAppOnlyTutorial denominado appsettings.json y agregue el código siguiente.
```
{
  "settings": {
    "clientId": "YOUR_CLIENT_ID_HERE",
    "tenantId": "YOUR_TENANT_ID_HERE"
  }
}
```
Actualice los valores según la tabla siguiente.

Configuración Valor

clientId El identificador de cliente del registro de la aplicación

tenantId Identificador de inquilino de la organización.

Sugerencia

Opcionalmente, puede establecer estos valores en un archivo independiente denominado appsettings. Development.json.
Agregue el secreto de cliente al Administrador de secretos de .NET. En la interfaz de la línea de comandos, cambie el directorio a la ubicación de GraphAppOnlyTutorial.csproj y ejecute los siguientes comandos, reemplazando <client-secret> por el secreto de cliente.
```
dotnet user-secrets init
dotnet user-secrets set settings:clientSecret <client-secret>
```
Actualice GraphAppOnlyTutorial.csproj para copiar appsettings.json en el directorio de salida. Agregue el código siguiente entre las <Project> líneas y </Project> .
```
<ItemGroup>
  <None Include="appsettings*.json">
    <CopyToOutputDirectory>Always</CopyToOutputDirectory>
  </None>
</ItemGroup>
```

Configuración	Valor
`clientId`	El identificador de cliente del registro de la aplicación
`tenantId`	Identificador de inquilino de la organización.

Cree un archivo en el directorio GraphAppOnlyTutorial denominado Settings.cs y agregue el código siguiente.

using Microsoft.Extensions.Configuration;

public class Settings
{
    public string? ClientId { get; set; }
    public string? ClientSecret { get; set; }
    public string? TenantId { get; set; }

    public static Settings LoadSettings()
    {
        // Load settings
        IConfiguration config = new ConfigurationBuilder()
            // appsettings.json is required
            .AddJsonFile("appsettings.json", optional: false)
            // appsettings.Development.json" is optional, values override appsettings.json
            .AddJsonFile($"appsettings.Development.json", optional: true)
            // User secrets are optional, values override both JSON files
            .AddUserSecrets<Program>()
            .Build();

        return config.GetRequiredSection("Settings").Get<Settings>() ??
            throw new Exception("Could not load app settings. See README for configuration instructions.");
    }
}

Diseñar la aplicación

En esta sección creará un menú simple basado en consola.

Abra ./Program.cs y reemplace todo su contenido por el código siguiente.

Console.WriteLine(".NET Graph App-only Tutorial\n");

var settings = Settings.LoadSettings();

// Initialize Graph
InitializeGraph(settings);

int choice = -1;

while (choice != 0)
{
    Console.WriteLine("Please choose one of the following options:");
    Console.WriteLine("0. Exit");
    Console.WriteLine("1. Display access token");
    Console.WriteLine("2. List users");
    Console.WriteLine("3. Make a Graph call");

    try
    {
        choice = int.Parse(Console.ReadLine() ?? string.Empty);
    }
    catch (System.FormatException)
    {
        // Set to invalid value
        choice = -1;
    }

    switch(choice)
    {
        case 0:
            // Exit the program
            Console.WriteLine("Goodbye...");
            break;
        case 1:
            // Display access token
            await DisplayAccessTokenAsync();
            break;
        case 2:
            // List users
            await ListUsersAsync();
            break;
        case 3:
            // Run any Graph code
            await MakeGraphCallAsync();
            break;
        default:
            Console.WriteLine("Invalid choice! Please try again.");
            break;
    }
}

Agregue los siguientes métodos de marcador de posición al final del archivo. Los implementará en pasos posteriores.

void InitializeGraph(Settings settings)
{
    // TODO
}

async Task DisplayAccessTokenAsync()
{
    // TODO
}

async Task ListUsersAsync()
{
    // TODO
}

async Task MakeGraphCallAsync()
{
    // TODO
}

Esto implementa un menú básico y lee la elección del usuario desde la línea de comandos.

Agregar autenticación de solo aplicación

9 minutos restantes

En esta sección agregará la autenticación de solo aplicación a la aplicación. Esto es necesario para obtener el token de acceso de OAuth necesario para llamar a Microsoft Graph. En este paso, integrará la biblioteca cliente de Azure Identity para .NET en la aplicación y configurará la autenticación para la biblioteca cliente .NET de Microsoft Graph.

La biblioteca de identidades de Azure proporciona varias clases que implementan flujos de TokenCredential token de OAuth2. La biblioteca cliente de Microsoft Graph usa esas clases para autenticar llamadas a Microsoft Graph.

Configuración del cliente de Graph para la autenticación solo de la aplicación

En esta sección usará la ClientSecretCredential clase para solicitar un token de acceso mediante el flujo de credenciales de cliente.

Cree un nuevo archivo en el directorio GraphTutorial denominado GraphHelper.cs y agregue el código siguiente a ese archivo.
```
using Azure.Core;
using Azure.Identity;
using Microsoft.Graph;
using Microsoft.Graph.Models;

class GraphHelper
{
}
```

Agregue el código siguiente a la clase GraphHelper.

// Settings object
private static Settings? _settings;
// App-ony auth token credential
private static ClientSecretCredential? _clientSecretCredential;
// Client configured with app-only authentication
private static GraphServiceClient? _appClient;

public static void InitializeGraphForAppOnlyAuth(Settings settings)
{
    _settings = settings;

    // Ensure settings isn't null
    _ = settings ??
        throw new System.NullReferenceException("Settings cannot be null");

    _settings = settings;

    if (_clientSecretCredential == null)
    {
        _clientSecretCredential = new ClientSecretCredential(
            _settings.TenantId, _settings.ClientId, _settings.ClientSecret);
    }

    if (_appClient == null)
    {
        _appClient = new GraphServiceClient(_clientSecretCredential,
            // Use the default scope, which will request the scopes
            // configured on the app registration
            new[] {"https://graph.microsoft.com/.default"});
    }
}

Reemplace la función vacía InitializeGraph en Program.cs por lo siguiente.

void InitializeGraph(Settings settings)
{
    GraphHelper.InitializeGraphForAppOnlyAuth(settings);
}

Este código declara dos propiedades privadas, un ClientSecretCredential objeto y un GraphServiceClient objeto . La InitializeGraphForAppOnlyAuth función crea una nueva instancia de ClientSecretCredentialy, a continuación, usa esa instancia para crear una nueva instancia de GraphServiceClient. Cada vez que se realiza una llamada API a Microsoft Graph a través de _appClient, usa la credencial proporcionada para obtener un token de acceso.

Prueba de ClientSecretCredential

A continuación, agregue código para obtener un token de acceso de ClientSecretCredential.

Agregue la siguiente función a la clase GraphHelper.

public static async Task<string> GetAppOnlyTokenAsync()
{
    // Ensure credential isn't null
    _ = _clientSecretCredential ??
        throw new System.NullReferenceException("Graph has not been initialized for app-only auth");

    // Request token with given scopes
    var context = new TokenRequestContext(new[] {"https://graph.microsoft.com/.default"});
    var response = await _clientSecretCredential.GetTokenAsync(context);
    return response.Token;
}

Reemplace la función vacía DisplayAccessTokenAsync en Program.cs por lo siguiente.

async Task DisplayAccessTokenAsync()
{
    try
    {
        var appOnlyToken = await GraphHelper.GetAppOnlyTokenAsync();
        Console.WriteLine($"App-only token: {appOnlyToken}");
    }
    catch (Exception ex)
    {
        Console.WriteLine($"Error getting app-only access token: {ex.Message}");
    }
}

Compile y ejecute la aplicación. Escriba 1 cuando se le solicite una opción. La aplicación muestra un token de acceso.
```
.NET Graph Tutorial

Please choose one of the following options:
0. Exit
1. Display access token
2. List users
3. Make a Graph call
1
App-only token: eyJ0eXAiOiJKV1QiLCJub25jZSI6IlVDTzRYOWtKYlNLVjVkRzJGenJqd2xvVUcwWS...
```
Sugerencia

Solo con fines de validación y depuración, puede descodificar tokens de acceso de solo aplicación mediante el analizador de tokens en línea de Microsoft en https://jwt.ms. Esto puede ser útil si encuentra errores de token al llamar a Microsoft Graph. Por ejemplo, comprobar que la role notificación del token contiene los ámbitos de permiso de Microsoft Graph esperados.

List users

6 minutos restantes

En esta sección agregará la capacidad de enumerar todos los usuarios de Azure Active Directory mediante la autenticación de solo aplicación.

Abra ./GraphHelper.cs y agregue la siguiente función a la clase GraphHelper .

public static Task<UserCollectionResponse?> GetUsersAsync()
{
    // Ensure client isn't null
    _ = _appClient ??
        throw new System.NullReferenceException("Graph has not been initialized for app-only auth");

    return _appClient.Users.GetAsync((config) =>
    {
        // Only request specific properties
        config.QueryParameters.Select = new[] { "displayName", "id", "mail" };
        // Get at most 25 results
        config.QueryParameters.Top = 25;
        // Sort by display name
        config.QueryParameters.Orderby = new[] { "displayName" };
    });
}

Reemplace la función vacía ListUsersAsync en Program.cs por lo siguiente.

async Task ListUsersAsync()
{
    try
    {
        var userPage = await GraphHelper.GetUsersAsync();

        if (userPage?.Value == null)
        {
            Console.WriteLine("No results returned.");
            return;
        }

        // Output each users's details
        foreach (var user in userPage.Value)
        {
            Console.WriteLine($"User: {user.DisplayName ?? "NO NAME"}");
            Console.WriteLine($"  ID: {user.Id}");
            Console.WriteLine($"  Email: {user.Mail ?? "NO EMAIL"}");
        }

        // If NextPageRequest is not null, there are more users
        // available on the server
        // Access the next page like:
        // var nextPageRequest = new UsersRequestBuilder(userPage.OdataNextLink, _appClient.RequestAdapter);
        // var nextPage = await nextPageRequest.GetAsync();
        var moreAvailable = !string.IsNullOrEmpty(userPage.OdataNextLink);

        Console.WriteLine($"\nMore users available? {moreAvailable}");
    }
    catch (Exception ex)
    {
        Console.WriteLine($"Error getting users: {ex.Message}");
    }
}

Ejecute la aplicación y elija la opción 2 para enumerar a los usuarios.

Please choose one of the following options:
0. Exit
1. Display access token
2. List users
3. Make a Graph call
2
User: Adele Vance
  ID: 05fb57bf-2653-4396-846d-2f210a91d9cf
  Email: AdeleV@contoso.com
User: Alex Wilber
  ID: a36fe267-a437-4d24-b39e-7344774d606c
  Email: AlexW@contoso.com
User: Allan Deyoung
  ID: 54cebbaa-2c56-47ec-b878-c8ff309746b0
  Email: AllanD@contoso.com
User: Bianca Pisani
  ID: 9a7dcbd0-72f0-48a9-a9fa-03cd46641d49
  Email: NO EMAIL
User: Brian Johnson (TAILSPIN)
  ID: a8989e40-be57-4c2e-bf0b-7cdc471e9cc4
  Email: BrianJ@contoso.com

...

More users available? True

Código explicado

Tenga en cuenta el código de la GetUsersAsync función .

Obtiene una colección de usuarios
Select Usa para solicitar propiedades específicas
Top Usa para limitar el número de usuarios devueltos
OrderBy Usa para ordenar la respuesta

Opcional: agregue su propio código

4 minutos restantes

En esta sección agregará sus propias funcionalidades de Microsoft Graph a la aplicación. Podría tratarse de un fragmento de código de la documentación de Microsoft Graph o del Explorador de Graph, o código que haya creado. Esta sección es opcional.

Actualizar la aplicación

Abra ./GraphHelper.cs y agregue la siguiente función a la clase GraphHelper .

// This function serves as a playground for testing Graph snippets
// or other code
public async static Task MakeGraphCallAsync()
{
    // INSERT YOUR CODE HERE
}

Reemplace la función vacía MakeGraphCallAsync en Program.cs por lo siguiente.

async Task MakeGraphCallAsync()
{
    await GraphHelper.MakeGraphCallAsync();
}

Elección de una API

Busque una API en Microsoft Graph que le gustaría probar. Por ejemplo, create event API. Puede usar uno de los ejemplos de la documentación de la API o puede personalizar un ejemplo.

Configurar permisos

Compruebe la sección Permisos de la documentación de referencia de la API elegida para ver qué métodos de autenticación se admiten. Algunas API no admiten solo aplicaciones ni cuentas personales de Microsoft, por ejemplo.

Para llamar a una API con autenticación de usuario (si la API admite la autenticación de usuario (delegado), consulte el tutorial de autenticación de usuario (delegado ).
Para llamar a una API con autenticación de solo aplicación (si la API la admite), agregue el ámbito de permisos necesario en el Centro de administración de Azure AD.

Agregar el código

Copie el código en la MakeGraphCallAsync función de GraphHelper.cs. Si va a copiar un fragmento de código de la documentación o del Explorador de Graph, asegúrese de cambiar el GraphServiceClient nombre a _appClient.

Compartir a través de

Compilación de aplicaciones .NET con Microsoft Graph y autenticación solo de aplicaciones

Requisitos previos

Registrar la aplicación en el portal

Registro de la aplicación para la autenticación de solo aplicación

Creación de una aplicación de consola de .NET

Instalar dependencias

Cargar la configuración de la aplicación

Diseñar la aplicación

Agregar autenticación de solo aplicación

Configuración del cliente de Graph para la autenticación solo de la aplicación

Prueba de ClientSecretCredential

List users

Código explicado

Opcional: agregue su propio código

Actualizar la aplicación

Elección de una API

Configurar permisos

Agregar el código

¡Enhorabuena!

Ejemplos de .NET