Szybki start: uzyskiwanie tokenu i wywoływanie programu Microsoft Graph z poziomu aplikacji demona języka Python
W tym przewodniku Szybki start pobierzesz i uruchomisz przykładowy kod, który pokazuje, jak aplikacja w języku Python może uzyskać token dostępu przy użyciu tożsamości aplikacji w celu wywołania interfejsu API programu Microsoft Graph i wyświetlenia listy użytkowników w katalogu. Przykładowy kod przedstawia sposób uruchamiania zadania nienadzorowanego lub usługi systemu Windows przy użyciu tożsamości aplikacji zamiast tożsamości użytkownika.
Wymagania wstępne
Aby uruchomić ten przykład, potrzebne są następujące elementy:
Rejestrowanie i pobieranie aplikacji Szybki start
Krok 1. Rejestrowanie aplikacji
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Aby ręcznie zarejestrować aplikację i dodać informacje na temat rejestracji aplikacji do rozwiązania, wykonaj następujące czynności:
- Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
- Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy, w której chcesz zarejestrować aplikację z menu Katalogi i subskrypcje.
- Przejdź do pozycji Identity>Applications> Rejestracje aplikacji wybierz pozycję Nowa rejestracja.
- Wprowadź nazwę aplikacji, na przykład
Daemon-console
. Użytkownicy aplikacji mogą zobaczyć tę nazwę i możesz ją zmienić później. - Wybierz pozycję Zarejestruj.
- W obszarze Zarządzanie wybierz pozycję Certyfikaty i wpisy tajne.
- W obszarze Wpisy tajne klienta wybierz pozycję Nowy klucz tajny klienta, wprowadź nazwę, a następnie wybierz pozycję Dodaj. Zarejestruj wartość wpisu tajnego w bezpiecznej lokalizacji do użycia w późniejszym kroku.
- W obszarze Zarządzanie wybierz pozycję Uprawnienia>interfejsu API Dodaj uprawnienie. Wybierz pozycję Microsoft Graph.
- Wybierz Uprawnienia aplikacji.
- W węźle Użytkownik wybierz pozycję User.Read.All, a następnie wybierz pozycję Dodaj uprawnienia.
Krok 2. Pobieranie projektu języka Python
Pobieranie projektu demona języka Python
Krok 3. Konfigurowanie projektu języka Python
Wyodrębnij plik zip do folderu lokalnego blisko folderu głównego dysku, na przykład C:\Azure-Samples.
Przejdź do folderu podrzędnego 1-Call-MsGraph-WithSecret.
Edytuj parameters.json i zastąp wartości pól
authority
,client_id
isecret
następującym fragmentem kodu:"authority": "https://login.microsoftonline.com/Enter_the_Tenant_Id_Here", "client_id": "Enter_the_Application_Id_Here", "secret": "Enter_the_Client_Secret_Here"
Gdzie:
Enter_the_Application_Id_Here
jest identyfikatorem aplikacji (klienta) dla zarejestrowanej aplikacji.Enter_the_Tenant_Id_Here
— zastąp tę wartość wartością Identyfikator dzierżawy lub Nazwa dzierżawy (na przykład contoso.microsoft.com)Enter_the_Client_Secret_Here
— zastąp tę wartość kluczem tajnym klienta utworzonym w kroku 1.
Napiwek
Aby znaleźć wartości identyfikatora aplikacji (klienta), identyfikator katalogu (dzierżawy), przejdź do strony Przegląd aplikacji w centrum administracyjnym firmy Microsoft Entra. Aby wygenerować nowy klucz, przejdź do strony Certyfikaty i klucze tajne.
Użytkownik standardowy
Jeśli jesteś użytkownikiem standardowym dzierżawy, poproś administratora globalnego o udzielenie zgody administratora aplikacji. Aby to zrobić, udostępnij administratorowi następujący adres URL:
https://login.microsoftonline.com/Enter_the_Tenant_Id_Here/adminconsent?client_id=Enter_the_Application_Id_Here
Gdzie:
Enter_the_Tenant_Id_Here
— zastąp tę wartość wartością Identyfikator dzierżawy lub Nazwa dzierżawy (na przykład contoso.microsoft.com)Enter_the_Application_Id_Here
— to identyfikator aplikacji (klienta) dla zarejestrowanej wcześniej aplikacji.
Krok 5. Uruchomienie aplikacji
Należy zainstalować zależności tego przykładu raz.
pip install -r requirements.txt
Następnie uruchom aplikację za pomocą wiersza polecenia lub konsoli:
python confidential_client_secret_sample.py parameters.json
W konsoli powinien zostać wyświetlony fragment kodu JSON reprezentujący listę użytkowników w katalogu Microsoft Entra.
Ważne
Aplikacja w tym przewodniku Szybki start używa klucza tajnego klienta do identyfikowania się jako klienta poufnego. Ponieważ klucz tajny klienta jest dodawany jako zwykły tekst w plikach projektu, ze względów bezpieczeństwa zaleca się używanie certyfikatu zamiast klucza tajnego klienta, zanim będzie można uznać aplikację za produkcyjną. Aby uzyskać więcej informacji na temat używania certyfikatu, zobacz te instrukcje w tym samym repozytorium GitHub dla tego przykładu, ale w drugim folderze 2-Call-MsGraph-WithCertificate.
Więcej informacji
MSAL Python
Biblioteka MSAL Python to biblioteka używana do logowania użytkowników i żądania tokenów używanych do uzyskiwania dostępu do interfejsu API chronionego przez Platforma tożsamości Microsoft. Zgodnie z opisem ten przewodnik Szybki start żąda tokenów przy użyciu własnej tożsamości aplikacji zamiast uprawnień delegowanych. W tym przypadku przepływ uwierzytelniania jest określany jako przepływ OAuth poświadczeń klienta. Aby uzyskać więcej informacji na temat używania biblioteki MSAL Python z aplikacjami demona, zobacz ten artykuł.
Język PYTHON biblioteki MSAL można zainstalować, uruchamiając następujące polecenie.
pip install msal
Inicjowanie biblioteki MSAL
Aby dodać odwołanie do biblioteki MSAL, dodaj następujący kod:
import msal
Następnie zainicjuj bibliotekę MSAL, używając następującego kodu:
app = msal.ConfidentialClientApplication(
config["client_id"], authority=config["authority"],
client_credential=config["secret"])
Gdzie: | opis |
---|---|
config["secret"] |
Czy klucz tajny klienta jest tworzony dla aplikacji w centrum administracyjnym firmy Microsoft Entra. |
config["client_id"] |
To identyfikator aplikacji (klienta) dla aplikacji zarejestrowanej w centrum administracyjnym firmy Microsoft Entra. Tę wartość można znaleźć na stronie Przegląd aplikacji w centrum administracyjnym firmy Microsoft Entra. |
config["authority"] |
Punkt końcowy usługi STS na potrzeby uwierzytelnienia użytkownika. Zwykle https://login.microsoftonline.com/{tenant} w przypadku chmury publicznej, gdzie {tenant} jest nazwą dzierżawy lub identyfikatorem dzierżawy. |
Aby uzyskać więcej informacji, zobacz dokumentację referencyjną dotyczącą ConfidentialClientApplication
programu .
Przesyłanie żądań tokenów
Aby zażądać tokenu przy użyciu tożsamości aplikacji, należy użyć metody AcquireTokenForClient
:
result = None
result = app.acquire_token_silent(config["scope"], account=None)
if not result:
logging.info("No suitable token exists in cache. Let's get a new one from AAD.")
result = app.acquire_token_for_client(scopes=config["scope"])
Gdzie: | opis |
---|---|
config["scope"] |
Zawiera żądane zakresy. W przypadku klientów poufnych należy użyć formatu podobnego do {Application ID URI}/.default wskazującego, że żądane zakresy są statycznie zdefiniowane w obiekcie aplikacji ustawionym w centrum administracyjnym firmy Microsoft Entra (w przypadku programu Microsoft Graph {Application ID URI} wskazuje wartość https://graph.microsoft.com ). W przypadku niestandardowych internetowych interfejsów {Application ID URI} API jest definiowana w sekcji Uwidacznij interfejs API w Rejestracje aplikacji w centrum administracyjnym firmy Microsoft Entra. |
Aby uzyskać więcej informacji, zobacz dokumentację referencyjną dotyczącą AcquireTokenForClient
programu .
Pomoc i obsługa techniczna
Jeśli potrzebujesz pomocy, chcesz zgłosić problem lub poznać opcje pomocy technicznej, zobacz Pomoc i obsługa techniczna dla deweloperów.
Następne kroki
Aby dowiedzieć się więcej na temat aplikacji demona, zobacz stronę docelową scenariusza.