Webhooks del Centro de partners
Se aplica a: Centro de partners | Centro de partners operado por 21Vianet | Centro de partners para Microsoft Cloud for US Government
Roles adecuados: Administrador global | Administrador de facturación | Agente de administración | Agente de ventas | Agente del departamento de soporte técnico
Las API de webhook del Centro de partners permiten a los asociados registrarse para eventos de cambio de recursos. Estos eventos se entregan en forma de HTTP POST a la dirección URL registrada del partner. Para recibir un evento del Centro de partners, los partners hospedan una devolución de llamada en la que el Centro de partners puede publicar el evento de cambio de recursos. El evento está firmado digitalmente para que el asociado pueda comprobar que se envió desde el Centro de partners. Las notificaciones de webhook solo se desencadenan en el entorno que tiene la configuración más reciente para la venta conjunta.
El Centro de partners admite los siguientes eventos de Webhook.
Evento de fraude de Azure detectado ("azure-fraud-event-detected")
Este evento se genera cuando se detecta un evento de fraude de Azure.
Evento aprobado de relación de administrador delegado ("dap-admin-relationship-approved")
Este evento se genera cuando el inquilino del cliente aprueba los privilegios de administrador delegado.
Relación de revendedor aceptada por evento de cliente ("reseller-relationship-accepted-by-customer")
Este evento se genera cuando el inquilino del cliente aprueba la relación de revendedor.
Relación de revendedor indirecto aceptada por evento de cliente ("indirect-reseller-relationship-accepted-by-customer")
Este evento se genera cuando el inquilino del cliente aprueba la relación de revendedor indirecto.
Evento terminado de relación de administrador delegado ("dap-admin-relationship-terminated")
Este evento se genera cuando el cliente finaliza los privilegios de administrador delegado.
Relación de administrador de Dap terminada por evento de Microsoft ("dap-admin-relationship-terminated-by-microsoft")
Este evento se genera cuando Microsoft finaliza DAP entre el inquilino del partner y el cliente cuando DAP está inactivo durante más de 90 días.
Evento activado de asignación de acceso de administrador granular ("granular-admin-access-assignment-activated")
Este evento se genera cuando el asociado activa la asignación de acceso a privilegios de administrador delegados pormenorizado una vez que los roles de Microsoft Entra se asignan a grupos de seguridad específicos.
Evento creado de asignación de acceso de administrador granular ("granular-admin-access-assignment-created")
Este evento se genera cuando el asociado crea la asignación de acceso a privilegios de administrador delegados granulares. Los partners pueden asignar roles de Microsoft Entra aprobados por el cliente a grupos de seguridad específicos.
Evento eliminado de asignación de acceso de administrador granular ("granular-admin-access-assignment-deleted")
Este evento se genera cuando el asociado elimina la asignación de acceso a privilegios de administrador delegados pormenorizados.
Evento actualizado de asignación de acceso de administrador granular ("granular-admin-access-assignment-updated")
Este evento se genera cuando el asociado actualiza la asignación de acceso a privilegios de administrador delegados pormenorizados.
Evento activado de relación de administrador granular ("granular-admin-relationship-activated")
Este evento se genera cuando se crean los privilegios de administrador delegado pormenorizados y se activan para que el cliente apruebe.
Evento de relación de administrador granular aprobado ("granular-admin-relationship-approved")
Este evento se genera cuando el inquilino del cliente aprueba los privilegios de administrador delegado pormenorizados.
Evento de relación de administrador granular expirado ("granular-admin-relationship-expired")
Este evento se genera cuando expiran los privilegios de administrador delegado pormenorizados.
Evento de relación de administrador granular creado ("granular-admin-relationship-created")
Este evento se genera cuando se crean los privilegios de administrador delegado pormenorizados.
Evento actualizado de relación de administrador granular ("granular-admin-relationship-updated")
Este evento se genera cuando el cliente o el asociado actualizan los privilegios de administrador delegados pormenorizados.
Evento extendido automático de relación de administración granular ("granular-admin-relationship-auto-extended")
Este evento se genera cuando el sistema extiende automáticamente los privilegios de administrador delegado pormenorizados.
Evento terminado de relación de administrador granular ("granular-admin-relationship-terminated")
Este evento se genera cuando el asociado o el inquilino del cliente finaliza los privilegios de administrador delegado granulares.
Evento Invoice Ready ("listo para factura")
Este evento se genera cuando la nueva factura está lista.
Nueva migración comercial completada ("new-commerce-migration-completed")
Este evento se genera cuando se completa la nueva migración comercial.
Nueva migración comercial creada ("new-commerce-migration-created")
Este evento se genera cuando se crea la nueva migración comercial.
Error de nueva migración de comercio ("new-commerce-migration-failed")
Este evento se genera cuando se produce un error en la nueva migración comercial.
Crear transferencia ("create-transfer")
Este evento se genera cuando se crea la transferencia.
Update Transfer ("update-transfer")
Este evento se genera cuando se actualiza la transferencia.
Transferencia completa ("transferencia completa")
Este evento se genera cuando se completa la transferencia.
Conmutación por error ("conmutación por error")
Este evento se genera cuando se produce un error en la transferencia.
Error de nueva programación de migración de comercio ("new-commerce-migration-schedule-failed")
Este evento se genera cuando se produce un error en la nueva programación de migración de comercio.
Evento creado por referencias ("creado por referencias")
Este evento se genera cuando se crea la referencia.
Evento actualizado de referencia ("referencia actualizada")
Este evento se genera cuando se actualiza la referencia.
Evento creado por referencias relacionadas ("related-referral-created")
Este evento se genera cuando se crea la referencia relacionada.
Evento actualizado de referencia relacionada ("related-referral-updated")
Este evento se genera cuando se actualiza la referencia relacionada.
Evento activo de suscripción ("subscription-active")
Este evento se genera cuando se activa la suscripción.
Nota:
El webhook activo de suscripción y el evento de registro de actividad correspondiente solo están disponibles para los inquilinos de espacio aislado en este momento.
Evento de suscripción pendiente ("subscription-pending")
Este evento se genera cuando el pedido correspondiente se ha recibido correctamente y la creación de la suscripción está pendiente.
Nota:
El webhook de suscripción pendiente y el evento de registro de actividad correspondiente solo están disponibles para los inquilinos de espacio aislado en este momento.
Evento Renewed de suscripción ("suscripción renovado")
Este evento se genera cuando la suscripción completa la renovación.
Nota:
El webhook renovado de la suscripción y el evento de registro de actividad correspondiente solo están disponibles para los inquilinos de espacio aislado en este momento.
Evento actualizado de suscripción ("suscripción actualizada")
Este evento se genera cuando cambia la suscripción. Estos eventos se generan cuando se produce un cambio interno además de cuando se realizan cambios a través de la API del Centro de partners.
Nota:
Hay un retraso de hasta 48 horas entre el momento en que cambia una suscripción y cuando se desencadena el evento Subscription Updated.
Evento de prueba ("test-created")
Este evento le permite incorporarse automáticamente y probar el registro solicitando un evento de prueba y, a continuación, realizando un seguimiento de su progreso. Puede ver los mensajes de error que se reciben de Microsoft al intentar entregar el evento. Esta restricción solo se aplica a eventos "creados por pruebas". Los datos anteriores a siete días se purgan.
Evento umbral superado ("usagerecords-thresholdExceededed")
Este evento se genera cuando la cantidad de uso de Microsoft Azure para cualquier cliente supera su presupuesto de gasto de uso (su umbral). Para más información, consulte (Establecimiento de un presupuesto de gasto de Azure para los clientes/partner-center/set-an-azure-spending-budget-for-your-customers).
Se agregarán eventos de webhook futuros para los recursos que cambian en el sistema de los que el asociado no está en control y se realizarán más actualizaciones para obtener esos eventos lo más cerca posible de "tiempo real". Los comentarios de los partners sobre qué eventos agregan valor a su negocio resulta útil para determinar qué nuevos eventos agregar.
Para obtener una lista completa de eventos de webhook admitidos por el Centro de partners, consulte Eventos de webhook del Centro de partners.
Requisitos previos
- Credenciales tal como se describen en el artículo Autenticación del Centro de partners. Este escenario admite la autenticación con credenciales de aplicación independiente y app+usuario.
Recepción de eventos del Centro de partners
Para recibir eventos del Centro de partners, debe exponer un punto de conexión accesible públicamente. Dado que este punto de conexión está expuesto, debe validar que la comunicación es del Centro de partners. Todos los eventos de webhook que reciba se firman digitalmente con un certificado que se encadena a la raíz de Microsoft. También se proporciona un vínculo al certificado que se usa para firmar el evento. Esto permite renovar el certificado sin tener que volver a implementar o volver a configurar el servicio. El Centro de partners realiza 10 intentos para entregar el evento. Si el evento todavía no se entrega después de 10 intentos, se mueve a una cola sin conexión y no se realizan más intentos en la entrega.
En el ejemplo siguiente se muestra un evento publicado desde el Centro de partners.
POST /webhooks/callback
Content-Type: application/json
Authorization: Signature VOhcjRqA4f7u/4R29ohEzwRZibZdzfgG5/w4fHUnu8FHauBEVch8m2+5OgjLZRL33CIQpmqr2t0FsGF0UdmCR2OdY7rrAh/6QUW+u+jRUCV1s62M76jbVpTTGShmrANxnl8gz4LsbY260LAsDHufd6ab4oejerx1Ey9sFC+xwVTa+J4qGgeyIepeu4YCM0oB2RFS9rRB2F1s1OeAAPEhG7olp8B00Jss3PQrpLGOoAr5+fnQp8GOK8IdKF1/abUIyyvHxEjL76l7DVQN58pIJg4YC+pLs8pi6sTKvOdSVyCnjf+uYQWwmmWujSHfyU37j2Fzz16PJyWH41K8ZXJJkw==
X-MS-Certificate-Url: https://3psostorageacct.blob.core.windows.net/cert/pcnotifications-dispatch.microsoft.com.cer
X-MS-Signature-Algorithm: rsa-sha256
Host: api.partnercenter.microsoft.com
Accept-Encoding: gzip, deflate
Content-Length: 195
{
"EventName": "test-created",
"ResourceUri": "http://localhost:16722/v1/webhooks/registration/test",
"ResourceName": "test",
"AuditUri": null,
"ResourceChangeUtcDate": "2017-11-16T16:19:06.3520276+00:00"
}
Nota:
El encabezado Authorization tiene un esquema de "Firma". Se trata de una firma codificada en base64 del contenido.
Autenticación de la devolución de llamada
Para autenticar el evento de devolución de llamada recibido del Centro de partners, siga estos pasos:
- Compruebe que los encabezados necesarios están presentes (Autorización, x-ms-certificate-url, x-ms-signature-algorithm).
- Descargue el certificado usado para firmar el contenido (x-ms-certificate-url).
- Compruebe la cadena de certificados.
- Compruebe la "Organización" del certificado.
- Lea el contenido con codificación UTF8 en un búfer.
- Cree un proveedor de cifrado RSA.
- Compruebe que los datos coinciden con lo que se firmó con el algoritmo hash especificado (por ejemplo, SHA256).
- Si la comprobación se realiza correctamente, procese el mensaje.
Nota:
De forma predeterminada, el token de firma se envía en un encabezado authorization. Si establece SignatureTokenToMsSignatureHeader en true en el registro, el token de firma se envía en su lugar en el encabezado x-ms-signature.
Modelo de eventos
En la tabla siguiente se describen las propiedades de un evento del Centro de partners.
Propiedades
Name | Descripción |
---|---|
EventName | El nombre del evento. En el formulario {resource}-{action}. Por ejemplo, "test-created". |
ResourceUri | Identificador URI del recurso que cambió. |
ResourceName | Nombre del recurso que cambió. |
AuditUrl | Opcional. Identificador URI del registro de auditoría. |
ResourceChangeUtcDate | Fecha y hora, en formato UTC, cuando se produjo el cambio del recurso. |
Ejemplo
En el ejemplo siguiente se muestra la estructura de un evento del Centro de partners.
{
"EventName": "test-created",
"ResourceUri": "http://api.partnercenter.microsoft.com/webhooks/v1/registration/validationEvents/c0bfd694-3075-4ec5-9a3c-733d3a890a1f",
"ResourceName": "test",
"AuditUri": null,
"ResourceChangeUtcDate": "2017-11-16T16:19:06.3520276+00:00"
}
API de webhook
Autenticación
Todas las llamadas a las API de Webhook se autentican mediante el token de portador en el encabezado de autorización. Adquiera un token de acceso para acceder https://api.partnercenter.microsoft.com
a . Este token es el mismo token que se usa para acceder al resto de las API del Centro de partners.
Obtener una lista de eventos
Devuelve una lista de los eventos admitidos actualmente por las API de Webhook.
Dirección URL del recurso
https://api.partnercenter.microsoft.com/webhooks/v1/registration/events
Ejemplo de solicitud
GET /webhooks/v1/registration/events
content-type: application/json
authorization: Bearer eyJ0e.......
accept: */*
host: api.partnercenter.microsoft.com
Ejemplo de respuesta
HTTP/1.1 200
Status: 200
Content-Length: 183
Content-Type: application/json; charset=utf-8
Content-Encoding: gzip
Vary: Accept-Encoding
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 79419bbb-06ee-48da-8221-e09480537dfc
X-Locale: en-US
[ "subscription-updated", "test-created", "usagerecords-thresholdExceeded" ]
Registro para recibir eventos
Registra un inquilino para recibir los eventos especificados.
Dirección URL del recurso
https://api.partnercenter.microsoft.com/webhooks/v1/registration
Ejemplo de solicitud
POST /webhooks/v1/registration
Content-Type: application/json
Authorization: Bearer eyJ0e.....
Accept: */*
Host: api.partnercenter.microsoft.com
Accept-Encoding: gzip, deflate
Content-Length: 219
{
"WebhookUrl": "{{YourCallbackUrl}}",
"WebhookEvents": ["subscription-updated", "test-created"]
}
Ejemplo de respuesta
HTTP/1.1 200
Status: 200
Content-Length: 346
Content-Type: application/json; charset=utf-8
content-encoding: gzip
Vary: Accept-Encoding
MS-CorrelationId: bbbb1111-cc22-3333-44dd-555555eeeeee
MS-RequestId: f04b1b5e-87b4-4d95-b087-d65fffec0bd2
{
"SubscriberId": "e82cac64-dc67-4cd3-849b-78b6127dd57d",
"WebhookUrl": "{{YourCallbackUrl}}",
"WebhookEvents": [ "subscription-updated", "test-created" ]
}
Visualización de un registro
Devuelve el registro de eventos de Webhooks para un inquilino.
Dirección URL del recurso
https://api.partnercenter.microsoft.com/webhooks/v1/registration
Ejemplo de solicitud
GET /webhooks/v1/registration
Content-Type: application/json
Authorization: Bearer ...
Accept: */*
Host: api.partnercenter.microsoft.com
Accept-Encoding: gzip, deflate
Ejemplo de respuesta
HTTP/1.1 200
Status: 200
Content-Length: 341
Content-Type: application/json; charset=utf-8
Content-Encoding: gzip
Vary: Accept-Encoding
MS-CorrelationId: cccc2222-dd33-4444-55ee-666666ffffff
MS-RequestId: ca30367d-4b24-4516-af08-74bba6dc6657
X-Locale: en-US
{
"WebhookUrl": "{{YourCallbackUrl}}",
"WebhookEvents": ["subscription-updated", "test-created"]
}
Actualización de un registro de eventos
Actualiza un registro de eventos existente.
Dirección URL del recurso
https://api.partnercenter.microsoft.com/webhooks/v1/registration
Ejemplo de solicitud
PUT /webhooks/v1/registration
Content-Type: application/json
Authorization: Bearer eyJ0eXAiOR...
Accept: */*
Host: api.partnercenter.microsoft.com
Accept-Encoding: gzip, deflate
Content-Length: 258
{
"WebhookUrl": "{{YourCallbackUrl}}",
"WebhookEvents": ["subscription-updated", "test-created"]
}
Ejemplo de respuesta
HTTP/1.1 200
Status: 200
Content-Length: 346
Content-Type: application/json; charset=utf-8
content-encoding: gzip
Vary: Accept-Encoding
MS-CorrelationId: bbbb1111-cc22-3333-44dd-555555eeeeee
MS-RequestId: f04b1b5e-87b4-4d95-b087-d65fffec0bd2
{
"SubscriberId": "e82cac64-dc67-4cd3-849b-78b6127dd57d",
"WebhookUrl": "{{YourCallbackUrl}}",
"WebhookEvents": [ "subscription-updated", "test-created" ]
}
Envío de un evento de prueba para validar el registro
Genera un evento de prueba para validar el registro de webhooks. Esta prueba está pensada para validar que puede recibir eventos del Centro de partners. Los datos de estos eventos se eliminan siete días después de crear el evento inicial. Debe registrarse para el evento "creado por pruebas", mediante la API de registro, antes de enviar un evento de validación.
Nota:
Hay un límite de 2 solicitudes por minuto al publicar un evento de validación.
Dirección URL del recurso
https://api.partnercenter.microsoft.com/webhooks/v1/registration/validationEvents
Ejemplo de solicitud
POST /webhooks/v1/registration/validationEvents
MS-CorrelationId: dddd3333-ee44-5555-66ff-777777aaaaaa
Authorization: Bearer ...
Accept: */*
Host: api.partnercenter.microsoft.com
Accept-Encoding: gzip, deflate
Content-Length:
Ejemplo de respuesta
HTTP/1.1 200
Status: 200
Content-Length: 181
Content-Type: application/json; charset=utf-8
Content-Encoding: gzip
Vary: Accept-Encoding
MS-CorrelationId: eeee4444-ff55-6666-77aa-888888bbbbbb
MS-RequestId: 2f498d5a-a6ab-468f-98d8-93c96da09051
X-Locale: en-US
{ "correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb" }
Comprobación de que el evento se entregó
Devuelve el estado actual del evento de validación. Esta comprobación puede ser útil para solucionar problemas de entrega de eventos. La respuesta contiene un resultado para cada intento que se realiza para entregar el evento.
Dirección URL del recurso
https://api.partnercenter.microsoft.com/webhooks/v1/registration/validationEvents/{correlationId}
Ejemplo de solicitud
GET /webhooks/v1/registration/validationEvents/eeee4444-ff55-6666-77aa-888888bbbbbb
MS-CorrelationId: dddd3333-ee44-5555-66ff-777777aaaaaa
Authorization: Bearer ...
Accept: */*
Host: api.partnercenter.microsoft.com
Accept-Encoding: gzip, deflate
Ejemplo de respuesta
HTTP/1.1 200
Status: 200
Content-Length: 469
Content-Type: application/json; charset=utf-8
Content-Encoding: gzip
Vary: Accept-Encoding
MS-CorrelationId: ffff5555-aa66-7777-88bb-999999cccccc
MS-RequestId: 0843bdb2-113a-4926-a51c-284aa01d722e
X-Locale: en-US
{
"correlationId": "eeee4444-ff55-6666-77aa-888888bbbbbb",
"partnerId": "00234d9d-8c2d-4ff5-8c18-39f8afc6f7f3",
"status": "completed",
"callbackUrl": "{{YourCallbackUrl}}",
"results": [{
"responseCode": "OK",
"responseMessage": "",
"systemError": false,
"dateTimeUtc": "2017-12-08T21:39:48.2386997"
}]
}
Ejemplo de validación de firmas
Firma de controlador de devolución de llamada de ejemplo (ASP.NET)
[AuthorizeSignature]
[Route("webhooks/callback")]
public IHttpActionResult Post(PartnerResourceChangeCallBack callback)
Validación de firmas
En el ejemplo siguiente se muestra cómo agregar un atributo de autorización al controlador que recibe devoluciones de llamada de eventos de webhook.
namespace Webhooks.Security
{
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Net;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using System.Text;
using System.Threading;
using System.Threading.Tasks;
using System.Web.Http;
using System.Web.Http.Controllers;
using Microsoft.Partner.Logging;
/// <summary>
/// Signature based Authorization
/// </summary>
public class AuthorizeSignatureAttribute : AuthorizeAttribute
{
private const string MsSignatureHeader = "x-ms-signature";
private const string CertificateUrlHeader = "x-ms-certificate-url";
private const string SignatureAlgorithmHeader = "x-ms-signature-algorithm";
private const string MicrosoftCorporationIssuer = "O=Microsoft Corporation";
private const string SignatureScheme = "Signature";
/// <inheritdoc/>
public override async Task OnAuthorizationAsync(HttpActionContext actionContext, CancellationToken cancellationToken)
{
ValidateAuthorizationHeaders(actionContext.Request);
await VerifySignature(actionContext.Request);
}
private static async Task<string> GetContentAsync(HttpRequestMessage request)
{
// By default the stream can only be read once and we need to read it here so that we can hash the body to validate the signature from microsoft.
// Load into a buffer, so that the stream can be accessed here and in the api when it binds the content to the expected model type.
await request.Content.LoadIntoBufferAsync();
var s = await request.Content.ReadAsStreamAsync();
var reader = new StreamReader(s);
var body = await reader.ReadToEndAsync();
// set the stream position back to the beginning
if (s.CanSeek)
{
s.Seek(0, SeekOrigin.Begin);
}
return body;
}
private static void ValidateAuthorizationHeaders(HttpRequestMessage request)
{
var authHeader = request.Headers.Authorization;
if (string.IsNullOrWhiteSpace(authHeader?.Parameter) && string.IsNullOrWhiteSpace(GetHeaderValue(request.Headers, MsSignatureHeader)))
{
throw new HttpResponseException(request.CreateErrorResponse(HttpStatusCode.Unauthorized, "Authorization header missing."));
}
var signatureHeaderValue = GetHeaderValue(request.Headers, MsSignatureHeader);
if (authHeader != null
&& !string.Equals(authHeader.Scheme, SignatureScheme, StringComparison.OrdinalIgnoreCase)
&& !string.IsNullOrWhiteSpace(signatureHeaderValue)
&& !signatureHeaderValue.StartsWith(SignatureScheme, StringComparison.OrdinalIgnoreCase))
{
throw new HttpResponseException(request.CreateErrorResponse(HttpStatusCode.Unauthorized, $"Authorization scheme needs to be '{SignatureScheme}'."));
}
if (string.IsNullOrWhiteSpace(GetHeaderValue(request.Headers, CertificateUrlHeader)))
{
throw new HttpResponseException(request.CreateErrorResponse(HttpStatusCode.BadRequest, $"Request header {CertificateUrlHeader} missing."));
}
if (string.IsNullOrWhiteSpace(GetHeaderValue(request.Headers, SignatureAlgorithmHeader)))
{
throw new HttpResponseException(request.CreateErrorResponse(HttpStatusCode.BadRequest, $"Request header {SignatureAlgorithmHeader} missing."));
}
}
private static string GetHeaderValue(HttpHeaders headers, string key)
{
headers.TryGetValues(key, out var headerValues);
return headerValues?.FirstOrDefault();
}
private static async Task VerifySignature(HttpRequestMessage request)
{
// Get signature value from either authorization header or x-ms-signature header.
var base64Signature = request.Headers.Authorization?.Parameter ?? GetHeaderValue(request.Headers, MsSignatureHeader).Split(' ')[1];
var signatureAlgorithm = GetHeaderValue(request.Headers, SignatureAlgorithmHeader);
var certificateUrl = GetHeaderValue(request.Headers, CertificateUrlHeader);
var certificate = await GetCertificate(certificateUrl);
var content = await GetContentAsync(request);
var alg = signatureAlgorithm.Split('-'); // for example RSA-SHA1
var isValid = false;
var logger = GetLoggerIfAvailable(request);
// Validate the certificate
VerifyCertificate(certificate, request, logger);
if (alg.Length == 2 && alg[0].Equals("RSA", StringComparison.OrdinalIgnoreCase))
{
var signature = Convert.FromBase64String(base64Signature);
var csp = (RSACryptoServiceProvider)certificate.PublicKey.Key;
var encoding = new UTF8Encoding();
var data = encoding.GetBytes(content);
var hashAlgorithm = alg[1].ToUpper();
isValid = csp.VerifyData(data, CryptoConfig.MapNameToOID(hashAlgorithm), signature);
}
if (!isValid)
{
// log that we were not able to validate the signature
logger?.TrackTrace(
"Failed to validate signature for webhook callback",
new Dictionary<string, string> { { "base64Signature", base64Signature }, { "certificateUrl", certificateUrl }, { "signatureAlgorithm", signatureAlgorithm }, { "content", content } });
throw new HttpResponseException(request.CreateErrorResponse(HttpStatusCode.Unauthorized, "Signature verification failed"));
}
}
private static ILogger GetLoggerIfAvailable(HttpRequestMessage request)
{
return request.GetDependencyScope().GetService(typeof(ILogger)) as ILogger;
}
private static async Task<X509Certificate2> GetCertificate(string certificateUrl)
{
byte[] certBytes;
using (var webClient = new WebClient())
{
certBytes = await webClient.DownloadDataTaskAsync(certificateUrl);
}
return new X509Certificate2(certBytes);
}
private static void VerifyCertificate(X509Certificate2 certificate, HttpRequestMessage request, ILogger logger)
{
if (!certificate.Verify())
{
logger?.TrackTrace("Failed to verify certificate for webhook callback.", new Dictionary<string, string> { { "Subject", certificate.Subject }, { "Issuer", certificate.Issuer } });
throw new HttpResponseException(request.CreateErrorResponse(HttpStatusCode.Unauthorized, "Certificate verification failed."));
}
if (!certificate.Issuer.Contains(MicrosoftCorporationIssuer))
{
logger?.TrackTrace($"Certificate not issued by {MicrosoftCorporationIssuer}.", new Dictionary<string, string> { { "Issuer", certificate.Issuer } });
throw new HttpResponseException(request.CreateErrorResponse(HttpStatusCode.Unauthorized, $"Certificate not issued by {MicrosoftCorporationIssuer}."));
}
}
}
}