查看应用身份验证库更改
本文是 Azure AD Graph 应用迁移规划清单系列中的步骤 3:查看应用详细信息的一部分。
大多数应用使用身份验证库来获取和管理访问令牌,以调用 Microsoft Graph。 Microsoft提供两个身份验证库:
- Microsoft身份验证库 (MSAL) - 推荐
- Azure Active Directory 身份验证库 (ADAL) - 已停用
更新 ADAL
如果应用仍使用 ADAL,请使用两阶段迁移方法:
更新应用以获取 Microsoft Graph 的访问令牌。 继续对此步骤使用 ADAL。 将保存表示资源 Web API 的 URI 的 resourceURL 从
https://graph.windows.net更新为https://graph.microsoft.com。此更改后,新获取的令牌具有相同的范围,但访问令牌的受众现在Microsoft Graph。
更新 resourceURL 和已验证功能后,为应用用户发布临时更新。
接下来,开始迁移应用以使用 MSAL,这是唯一受支持的库,现在 ADAL 已停用。
迁移到 MSAL
MSAL 比 ADAL 提供了多种优势,包括增量同意、更丰富的单一登录体验、对个人Microsoft帐户的支持以及基于标准的协议的使用。
将应用切换到 MSAL 时,需要进行一些更改,包括在令牌获取请求中设置 scopes 参数:
var scopes = new string[] { "https://graph.microsoft.com/.default" };
此表达式将权限范围限制为在 Microsoft Entra 管理中心 中的应用注册上配置的权限范围,从而防止现有用户需要重新同意你的应用。
了解 Azure Active Directory (Azure AD) Graph 与 Microsoft Graph 之间的 .NET 客户端库 差异。
请参阅 将应用程序迁移到 Microsoft 身份验证库 (MSAL) 获取该过程的直接和广泛的帮助,包括故障排除和常见错误的帮助。
迁移到 MSAL 后,可以动态请求更多范围,并且系统会提示用户在下次使用你的应用时提供增量同意。