Jak skonfigurować aplikacje demona wywołujące internetowe interfejsy API

Artykuł
02/01/2024

Dowiedz się, jak skonfigurować kod dla aplikacji demona, która wywołuje internetowe interfejsy API.

Biblioteki firmy Microsoft obsługujące aplikacje demona

Następujące biblioteki firmy Microsoft obsługują aplikacje demona:

Język/struktura	Projekt w dniu GitHub	Pakiet	Coraz pracę	Ogólnie dostępne (ogólna dostępność) lub Publiczna wersja zapoznawcza¹
.NET	MSAL.NET	Microsoft.Identity.Client	Szybki start	Ogólna dostępność
Java	MSAL4J	msal4j	—	Ogólna dostępność
Węzeł	Węzeł BIBLIOTEKI MSAL	msal-node	Szybki start	Ogólna dostępność
Python	MSAL Python	msal-python	Szybki start	Ogólna dostępność

¹ Uniwersalne postanowienia licencyjne dotyczące usług online mają zastosowanie do bibliotek w publicznej wersji zapoznawczej.

Konfigurowanie urzędu

Aplikacje demona używają uprawnień aplikacji, a nie uprawnień delegowanych. Dlatego ich obsługiwany typ konta nie może być kontem w żadnym katalogu organizacyjnym ani żadnym osobistym kontem Microsoft (na przykład Skype, Xbox, Outlook.com). Nie ma administratora dzierżawy, aby udzielić zgody na aplikację demona dla konta osobistego Microsoft. Musisz wybrać konta w mojej organizacji lub kontach w dowolnej organizacji.

Urząd określony w konfiguracji aplikacji powinien być dzierżawiony (określanie identyfikatora dzierżawy lub nazwy domeny skojarzonej z organizacją).

Nawet jeśli chcesz podać wielodostępne narzędzie, należy użyć identyfikatora dzierżawy lub nazwy domeny, a nie common tego organizations przepływu, ponieważ usługa nie może niezawodnie wnioskować, której dzierżawy należy użyć.

Konfigurowanie i tworzenie wystąpienia aplikacji

W bibliotekach MSAL poświadczenia klienta (klucz tajny lub certyfikat) są przekazywane jako parametr poufnej konstrukcji aplikacji klienckiej.

Ważne

Nawet jeśli aplikacja jest aplikacją konsolową, która działa jako usługa, jeśli jest to aplikacja demona, musi być poufnej aplikacji klienckiej.

Plik konfiguracji

Plik konfiguracji definiuje:

Wystąpienie chmury i identyfikator dzierżawy, które razem tworzą urząd.
Identyfikator klienta uzyskany z rejestracji aplikacji.
Wpis tajny klienta lub certyfikat.

Oto przykład definiowania konfiguracji w pliku appsettings.json. Ten przykład jest pobierany z przykładu kodu demona konsoli platformy .NET w witrynie GitHub.

{
    "AzureAd": {
        "Instance": "https://login.microsoftonline.com/",
        "TenantId": "[Enter here the tenantID or domain name for your Azure AD tenant]",
        "ClientId": "[Enter here the ClientId for your application]",
        "ClientCredentials": [
            {
                "SourceType": "ClientSecret",
                "ClientSecret": "[Enter here a client secret for your application]"
            }
        ]
    }
}

Należy podać certyfikat zamiast klucza tajnego klienta lub poświadczenia federacji tożsamości obciążenia.

 private final static String CLIENT_ID = "";
 private final static String AUTHORITY = "https://login.microsoftonline.com/<tenant>/";
 private final static String CLIENT_SECRET = "";
 private final static Set<String> SCOPE = Collections.singleton("https://graph.microsoft.com/.default");

Parametry konfiguracji przykładu demona Node.js znajdują się w pliku env :

# Credentials
TENANT_ID=Enter_the_Tenant_Info_Here
CLIENT_ID=Enter_the_Application_Id_Here

// You provide either a ClientSecret or a CertificateConfiguration, or a ClientAssertion. These settings are exclusive
CLIENT_SECRET=Enter_the_Client_Secret_Here
CERTIFICATE_THUMBPRINT=Enter_the_certificate_thumbprint_Here
CERTIFICATE_PRIVATE_KEY=Enter_the_certificate_private_key_Here
CLIENT_ASSERTION=Enter_the_Assertion_String_Here

# Endpoints
// the Azure AD endpoint is the authority endpoint for token issuance
AAD_ENDPOINT=Enter_the_Cloud_Instance_Id_Here // https://login.microsoftonline.com/
// the graph endpoint is the application ID URI of Microsoft Graph
GRAPH_ENDPOINT=Enter_the_Graph_Endpoint_Here // https://graph.microsoft.com/

Podczas tworzenia poufnego klienta z wpisami tajnymi klienta plik konfiguracji parameters.json w przykładzie demona języka Python jest następujący:

{
  "authority": "https://login.microsoftonline.com/<your_tenant_id>",
  "client_id": "your_client_id",
  "scope": [ "https://graph.microsoft.com/.default" ],
  "secret": "The secret generated by Azure AD during your confidential app registration",
  "endpoint": "https://graph.microsoft.com/v1.0/users"
}

Podczas tworzenia poufnego klienta z certyfikatami plik konfiguracji parameters.json w przykładzie demona języka Python jest następujący:

{
  "authority": "https://login.microsoftonline.com/<your_tenant_id>",
  "client_id": "your_client_id",
  "scope": [ "https://graph.microsoft.com/.default" ],
  "thumbprint": "790E... The thumbprint generated by Azure AD when you upload your public cert",
  "private_key_file": "server.pem",
  "endpoint": "https://graph.microsoft.com/v1.0/users"
}

Oto przykład definiowania konfiguracji w pliku appsettings.json. Ten przykład jest pobierany z przykładu kodu demona konsoli platformy .NET w witrynie GitHub.

{
  "Instance": "https://login.microsoftonline.com/{0}",
  "Tenant": "[Enter here the tenantID or domain name for your Azure AD tenant]",
  "ClientId": "[Enter here the ClientId for your application]",
  "ClientSecret": "[Enter here a client secret for your application]",
  "CertificateName": "[Or instead of client secret: Enter here the name of a certificate (from the user cert store) as registered with your application]"
}

Należy podać wartość ClientSecret lub .CertificateName Te ustawienia są wyłączne.

Tworzenie wystąpienia aplikacji MSAL

Aby utworzyć wystąpienie aplikacji MSAL, dodaj, odwołaj się lub zaimportuj pakiet MSAL (w zależności od języka).

Konstrukcja różni się w zależności od tego, czy używasz wpisów tajnych klienta, czy certyfikatów (lub, jako zaawansowanego scenariusza, podpisanych asercji).

Odwołanie do pakietu

Odwołanie do pakietu MSAL w kodzie aplikacji.

Dodaj pakiet NuGet Microsoft.Identity.Web.TokenAcquisition do aplikacji. Alternatywnie, jeśli chcesz wywołać program Microsoft Graph, dodaj pakiet Microsoft.Identity.Web.GraphServiceClient . Projekt może być następujący. Plik appsettings.json należy skopiować do katalogu wyjściowego.

<Project Sdk="Microsoft.NET.Sdk">

  <PropertyGroup>
    <OutputType>Exe</OutputType>
    <TargetFramework>net7.0</TargetFramework>
    <RootNamespace>daemon_console</RootNamespace>
  </PropertyGroup>

  <ItemGroup>
    <PackageReference Include="Microsoft.Identity.Web.GraphServiceClient" Version="2.12.2" />
  </ItemGroup>

  <ItemGroup>
    <None Update="appsettings.json">
      <CopyToOutputDirectory>PreserveNewest</CopyToOutputDirectory>
    </None>
  </ItemGroup>
</Project>

W pliku Program.cs dodaj dyrektywę using w kodzie, aby odwołać się do pliku Microsoft.Identity.Web.

using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web;

import com.microsoft.aad.msal4j.ClientCredentialFactory;
import com.microsoft.aad.msal4j.ClientCredentialParameters;
import com.microsoft.aad.msal4j.ConfidentialClientApplication;
import com.microsoft.aad.msal4j.IAuthenticationResult;
import com.microsoft.aad.msal4j.IClientCredential;
import com.microsoft.aad.msal4j.MsalException;
import com.microsoft.aad.msal4j.SilentParameters;

Zainstaluj pakiety, uruchamiając npm install polecenie w folderze, w którym package.json znajduje się plik. Następnie zaimportuj msal-node pakiet:

const msal = require('@azure/msal-node');

import msal
import json
import sys
import logging

Dodaj pakiet NuGet Microsoft.Identity.Client do aplikacji, a następnie dodaj dyrektywę using w kodzie, aby się do niej odwoływać.

W MSAL.NET poufne aplikacje klienckie są reprezentowane przez IConfidentialClientApplication interfejs.

using Microsoft.Identity.Client;
IConfidentialClientApplication app;

Tworzenie wystąpienia poufnej aplikacji klienckiej przy użyciu wpisu tajnego klienta

Oto kod umożliwiający utworzenie wystąpienia poufnej aplikacji klienckiej przy użyciu wpisu tajnego klienta:

   class Program
    {
        static async Task Main(string[] _)
        {
            // Get the Token acquirer factory instance. By default it reads an appsettings.json
            // file if it exists in the same folder as the app (make sure that the 
            // "Copy to Output Directory" property of the appsettings.json file is "Copy if newer").
            TokenAcquirerFactory tokenAcquirerFactory = TokenAcquirerFactory.GetDefaultInstance();

            // Configure the application options to be read from the configuration
            // and add the services you need (Graph, token cache)
            IServiceCollection services = tokenAcquirerFactory.Services;
            services.AddMicrosoftGraph();
            // By default, you get an in-memory token cache.
            // For more token cache serialization options, see https://aka.ms/msal-net-token-cache-serialization

            // Resolve the dependency injection.
            var serviceProvider = tokenAcquirerFactory.Build();

            // ...
        }
    }

Konfiguracja jest odczytywana z appsettings.json:

IClientCredential credential = ClientCredentialFactory.createFromSecret(CLIENT_SECRET);

ConfidentialClientApplication cca =
        ConfidentialClientApplication
                .builder(CLIENT_ID, credential)
                .authority(AUTHORITY)
                .build();


const msalConfig = {
  auth: {
    clientId: process.env.CLIENT_ID,
    authority: process.env.AAD_ENDPOINT + process.env.TENANT_ID,
    clientSecret: process.env.CLIENT_SECRET,
  }
};

const apiConfig = {
  uri: process.env.GRAPH_ENDPOINT + 'v1.0/users',
};

const tokenRequest = {
  scopes: [process.env.GRAPH_ENDPOINT + '.default'],
};

const cca = new msal.ConfidentialClientApplication(msalConfig);

# Pass the parameters.json file as an argument to this Python script. E.g.: python your_py_file.py parameters.json
config = json.load(open(sys.argv[1]))

# Create a preferably long-lived app instance that maintains a token cache.
app = msal.ConfidentialClientApplication(
    config["client_id"], authority=config["authority"],
    client_credential=config["secret"],
    # token_cache=...  # Default cache is in memory only.
                       # You can learn how to use SerializableTokenCache from
                       # https://msal-python.rtfd.io/en/latest/#msal.SerializableTokenCache
    )

app = ConfidentialClientApplicationBuilder.Create(config.ClientId)
           .WithClientSecret(config.ClientSecret)
           .WithAuthority(new Uri(config.Authority))
           .Build();

Jest Authority to łączenie wystąpienia chmury i identyfikatora dzierżawy, na przykład https://login.microsoftonline.com/contoso.onmicrosoft.com lub https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee. W pliku appsettings.json pokazanym w sekcji Plik konfiguracji wystąpienie i dzierżawa są reprezentowane odpowiednio przez Instance wartości i Tenant .

W przykładzie kodu pobrano poprzedni fragment kodu, Authority jest właściwością klasy AuthenticationConfig i jest zdefiniowana jako następująca:

/// <summary>
/// URL of the authority
/// </summary>
public string Authority
{
    get
    {
        return String.Format(CultureInfo.InvariantCulture, Instance, Tenant);
    }
}

Tworzenie wystąpienia poufnej aplikacji klienckiej przy użyciu certyfikatu klienta

Oto kod umożliwiający skompilowanie aplikacji przy użyciu certyfikatu:

Sam kod jest dokładnie taki sam. Certyfikat jest opisany w konfiguracji. Istnieje wiele sposobów uzyskania certyfikatu. Aby uzyskać szczegółowe informacje, zobacz https://aka.ms/ms-id-web-certificates. Poniżej przedstawiono sposób uzyskiwania certyfikatu z usługi KeyVault. Delegowanie tożsamości firmy Microsoft do domyślnej usługi Azure IdentityAzureCredential i używanej tożsamości zarządzanej, gdy jest dostępna do uzyskania dostępu do certyfikatu z usługi KeyVault. Możesz debugować aplikację lokalnie, ponieważ następnie używa poświadczeń dewelopera.

  "ClientCredentials": [
      {
        "SourceType": "KeyVault",
        "KeyVaultUrl": "https://yourKeyVaultUrl.vault.azure.net",
        "KeyVaultCertificateName": "NameOfYourCertificate"
      }

W języku JAVA biblioteki MSAL istnieją dwa konstruktory do utworzenia wystąpienia poufnej aplikacji klienckiej przy użyciu certyfikatów:


InputStream pkcs12Certificate = ... ; /* Containing PCKS12-formatted certificate*/
string certificatePassword = ... ;    /* Contains the password to access the certificate */

IClientCredential credential = ClientCredentialFactory.createFromCertificate(pkcs12Certificate, certificatePassword);

ConfidentialClientApplication cca =
        ConfidentialClientApplication
                .builder(CLIENT_ID, credential)
                .authority(AUTHORITY)
                .build();

lub

PrivateKey key = getPrivateKey(); /* RSA private key to sign the assertion */
X509Certificate publicCertificate = getPublicCertificate(); /* x509 public certificate used as a thumbprint */

IClientCredential credential = ClientCredentialFactory.createFromCertificate(key, publicCertificate);

ConfidentialClientApplication cca =
        ConfidentialClientApplication
                .builder(CLIENT_ID, credential)
                .authority(AUTHORITY)
                .build();


const config = {
    auth: {
        clientId: process.env.CLIENT_ID,
        authority: process.env.AAD_ENDPOINT + process.env.TENANT_ID,
        clientCertificate: {
            thumbprint:  process.env.CERTIFICATE_THUMBPRINT, // a 40-digit hexadecimal string
            privateKey:  process.env.CERTIFICATE_PRIVATE_KEY,
        }
    }
};

// Create an MSAL application object
const cca = new msal.ConfidentialClientApplication(config);

Aby uzyskać szczegółowe informacje, zobacz Use certificate credentials with MSAL Node (Używanie poświadczeń certyfikatu z węzłem BIBLIOTEKi MSAL).

# Pass the parameters.json file as an argument to this Python script. E.g.: python your_py_file.py parameters.json
config = json.load(open(sys.argv[1]))

# Create a preferably long-lived app instance that maintains a token cache.
app = msal.ConfidentialClientApplication(
    config["client_id"], authority=config["authority"],
    client_credential={"thumbprint": config["thumbprint"], "private_key": open(config['private_key_file']).read()},
    # token_cache=...  # Default cache is in memory only.
                       # You can learn how to use SerializableTokenCache from
                       # https://msal-python.rtfd.io/en/latest/#msal.SerializableTokenCache
    )

X509Certificate2 certificate = ReadCertificate(config.CertificateName);
app = ConfidentialClientApplicationBuilder.Create(config.ClientId)
    .WithCertificate(certificate)
    .WithAuthority(new Uri(config.Authority))
    .Build();

Scenariusz zaawansowany: tworzenie wystąpienia poufnej aplikacji klienckiej przy użyciu asercji klienta

Oprócz używania klucza tajnego klienta lub certyfikatu poufne aplikacje klienckie mogą również udowodnić swoją tożsamość przy użyciu asercji klientów. Aby uzyskać szczegółowe informacje, zobacz CredentialDescription (Opis poświadczeń ).

IClientCredential credential = ClientCredentialFactory.createFromClientAssertion(assertion);

ConfidentialClientApplication cca =
        ConfidentialClientApplication
                .builder(CLIENT_ID, credential)
                .authority(AUTHORITY)
                .build();

const clientConfig = {
    auth: {
        clientId: process.env.CLIENT_ID,
        authority: process.env.AAD_ENDPOINT + process.env.TENANT_ID,
        clientAssertion:  process.env.CLIENT_ASSERTION
    }
};
const cca = new msal.ConfidentialClientApplication(clientConfig);

Aby uzyskać szczegółowe informacje, zobacz Inicjowanie obiektu ConfidentialClientApplication.

W języku MSAL Python można podać oświadczenia klienta przy użyciu oświadczeń, które zostaną podpisane przez ten ConfidentialClientApplicationklucz prywatny.

# Pass the parameters.json file as an argument to this Python script. E.g.: python your_py_file.py parameters.json
config = json.load(open(sys.argv[1]))

# Create a preferably long-lived app instance that maintains a token cache.
app = msal.ConfidentialClientApplication(
    config["client_id"], authority=config["authority"],
    client_credential={"thumbprint": config["thumbprint"], "private_key": open(config['private_key_file']).read()},
    client_claims = {"client_ip": "x.x.x.x"}
    # token_cache=...  # Default cache is in memory only.
                       # You can learn how to use SerializableTokenCache from
                       # https://msal-python.rtfd.io/en/latest/#msal.SerializableTokenCache
    )

Aby uzyskać szczegółowe informacje, zobacz dokumentację referencyjną biblioteki MSAL dla języka Python dla elementu ConfidentialClientApplication.

Zamiast klucza tajnego klienta lub certyfikatu, poufne aplikacje klienckie mogą również udowodnić swoją tożsamość przy użyciu asercji klienta.

MSAL.NET ma dwie metody dostarczania podpisanych asercji do poufnej aplikacji klienckiej:

.WithClientAssertion()
.WithClientClaims()

W przypadku korzystania z elementu WithClientAssertionpodaj podpisany zestaw JWT. Ten zaawansowany scenariusz został szczegółowo opisany w artykule Asercji klientów.

string signedClientAssertion = ComputeAssertion();
app = ConfidentialClientApplicationBuilder.Create(config.ClientId)
                                          .WithClientAssertion(signedClientAssertion)
                                          .Build();

W przypadku korzystania z usługi WithClientClaimsMSAL.NET tworzy podpisane potwierdzenie zawierające oświadczenia oczekiwane przez identyfikator Entra firmy Microsoft oraz dodatkowe oświadczenia klienta, które chcesz wysłać. Ten kod pokazuje, jak to zrobić:

string ipAddress = "192.168.1.2";
var claims = new Dictionary<string, string> { { "client_ip", ipAddress } };
X509Certificate2 certificate = ReadCertificate(config.CertificateName);
app = ConfidentialClientApplicationBuilder.Create(config.ClientId)
                                          .WithAuthority(new Uri(config.Authority))
                                          .WithClientClaims(certificate, claims)
                                          .Build();

Ponownie, aby uzyskać szczegółowe informacje, zobacz Asercji klientów.

Następne kroki

Przejdź do następnego artykułu w tym scenariuszu Uzyskiwanie tokenu dla aplikacji.

Udostępnij za pośrednictwem