应用系统Azure AD认证(二)

最新推荐文章于 2024-05-31 09:41:54 发布
最新推荐文章于 2024-05-31 09:41:54 发布
阅读量3.6k 收藏 9
点赞数 1
分类专栏: 交互配置 文章标签: Azure AD认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15378385/article/details/113693739
版权

应用系统Azure AD认证

应用系统与员工账户认证绑定(AD),实现基于Azure AD的Multi-Factor Authentication(MFA)。

1.3 前端登录认证

1.3.1 使用Azure AD登录

当用户登录时,JavaScript 前端使用 JavaScript (ADAL.JS) 的 Active Directory 身份验证库和隐式授权授予从 Azure AD 获取一个 ID 令牌 (id_token)。 该令牌随后被缓存,当客户端调用使用 OWIN 中间件进行保护的 Web API 后端时,客户端将该令牌作为持有者令牌附加到请求。
在这里插入图片描述

  1. 用户导航到 Web 应用程序。
  2. 应用程序将 JavaScript 前端(表示层)返回到浏览器。
  3. 如用户未登录启动登录。浏览器将 GET 发送到 Azure AD 授权终结点来请求一个 ID 令牌。此请求将应用程序 ID 和答复 URL 包含在查询参数中。
  4. Azure AD 根据在 Azure 门户中配置的已注册答复 URL 来验证答复 URL。
  5. 用户在登录页面上进行登录。
  6. 如果身份验证成功,Azure AD 将创建一个 ID 令牌,并将其作为 URL 片段 (#) 返回到应用程序的答复 URL。对于生产应用程序,此回复 URL 应当采用 HTTPS 格式。返回的令牌包括应用程序对该令牌进行验证所需的关于用户和 Azure AD 的声明。
  7. 在浏览器中运行的 JavaScript 客户端代码从用于安全调用应用程序的 Web API 后端的响应中提取令牌。
  8. 浏览器使用 Authorization 标头中的访问令牌来调用应用程序的 Web API 后端获取。
1.3.2 使用ADFS登录及Token解析
1.3.2.1 用户登录验证

系统的用户登录是通过ADFS+OAuth来实现的,登录用户为AD中的用户,可以通过用户的邮件地址或者domain\alias的方式登录。ADFS相关配置请参考《ADFS 配置管理手册.docx》,要实现一个应用的用户登录,需要连接到ADFS登录页面,以下是ADFS OAuth登录URL:https://ADFSSserver/adfs/oauth2/authorize?response_type=code&client_id={1}&redirect_uri={2}&resource={3}
参数说明:

  1. response_type: 这里必须为code,表示登录成功后返回一个authorization_code,我们要利用这个code去获取access token
  2. client_id: 在ADFS中通过powershell的Add-ADFSClient命令参数中的ClientId
  3. redirect_uri: 在ADFS中通过powershell的Add-ADFSClient命令参数中的RedirectUri
  4. resource: 在ADFS中配置中的“信赖方信任标识符”,即应用程序中的ida:Audience参数
1.3.2.2 客户端访问OAuth应用

当用户登录成功后,用户访问需要OAuth验证的应用时,需要在每次请求的header里面增加acccess token, OAuth应用会根据这个access token自动验证请求者的身份。

1.3.2.3 获取access token

利用返回的authorization_code来获取access token:
POST https://ADFSSserver/adfs/oauth2/token

request.Content=new  StringContent(string.Format("client_id={0}&redirect_uri={1}&grant_type=authorization_code&code={2}", ClientId, RedirctUri, code));

请求的内容包括ClientId, RedirectUri和authorization_code,返回一个JSON的字符串,包括以下内容:

{"access_token":"youraccesstoken","token_type":"bearer","expires_in":3600}

把这个access token返回到客户端并且保存到sessionStorage中。

1.3.2.4 使用access token

例如在使用AngularJS客户端框架的应用,可以使用窃听器(Interceptor),使用$http与服务器端通讯时,如果希望对request、response做全局的处理,那么Interceptor是一个很好的选择。可以在app.js中增加一个Interceptor来对所有的request,在其请求的header里面增加access token:

app.factory('authInterceptorService',['$q','$location',function($q,$location){
 
 
varauthInterceptorServiceFactory={};
 
varrequest=function (config){
 
config.headers=config.headers||{};
 
vartoken=sessionStorage.getItem("access_token");
if(token){
config.headers.Authorization='Bearer ' + token;
}
 
Return config;
}
 
varresponseError=function(rejection){}

在上面代码中,request函数中headers.Authorization = 'Bearer ’ + token,这个就是表示使用OAuth的token去访问相关资源。在responseError函数中可以对返回的错误状态码进行统一的处理。这样在使用http方式发送请求时,会自动在请求中增加这个access token.如果直接使用$.ajax方式访问应用,可以通过以下方式使用access token:

$.ajax({
		type: 'Get',
		headers:getHearders(),
		url: encodeURI(url)
})

Function getHearders(){
Var token=sessionStorage.getItem("access_token");
Var headers={};
if(token)
headers.Authorization='Bearer '+token;
return headers;
}
1.3.2.5 在服务端获取用户身份

当用户成功登录后,可以在服务器获取用户的相关身份信息:
//获取当前登录用户的用户名,目前设置的是用户的UPN名字,即带域名的邮件地址
HttpContext.Current.User.Identity.Name

//下面代码可以获取当前登录用户所有的角色Roles,如果要获取用户的显示名,可以通过userCommonNameClaim.Value得到

varclaims=((System.Security.Claims.ClaimsIdentity)HttpContext.Current.User.Identity).Claims;
if (claims != null)
{
Var enumerable = claims as Claim[] ?? claims.ToArray();
varroles=enumerable.Where(c=>c.Type==ClaimTypes.Role&&c.Value!= "Domain Users").Select(c=>c.Value).ToArray();
varuserCommonNameClaim=enumerable.FirstOrDefault(c=>c.Type==ClaimTypes.Prip.CommonName);
return new UserInfo()
{
UserName=HttpContext.Current.User.Identity.Name,
UserEmail=HttpContext.Current.User.Identity.Name,
Roles=roles
};
}

1.4 后端调用API获取用户信息(GraphaAPI)

1.4.1 概述

Azure Active Directory (AD) Graph API 是与 OData 3.0 兼容的服务,可用于读取和修改租户中的对象(如用户、组和联系人)。Azure AD Graph API 公开要向其发送 HTTP 请求的 REST 终结点,以使用服务执行操作。下面各节提供了关于以下内容的常规信息:如何对请求进行格式化;使用 Graph API 读取和写入目录资源、调用目录函数或操作,或针对目录执行查询时希望得到什么响应。
在这里插入图片描述

对 Graph API 的成功请求必须发送到有效的终结点且格式正确,也就是说,它必须包含任何必需的标头,如有必要,在请求正文中包含 JSON 有效负载。发出请求的应用必须包括从 Azure AD 收到的令牌,以便证明其有权访问请求的资源。应用必须能够处理从 Graph API 收到的任何响应。

1.4.2 身份验证和授权

每个 Graph API 请求都必须具有通过附加的 Azure Active Directory 颁发的持有者令牌。此令牌具有关于你的应用、已登录用户(有委派权限的情况下)、身份验证和你的应用有权执行的目录上的操作的信息。请求的Authorization标头中携带有此令牌。例如(为简洁起见已缩短令牌):

Authorization: Bearer eyJ0eX ... FWSXfwtQ

Graph API 基于令牌中存在的 OAuth 2.0 权限范围执行授权。
为了使应用通过 Azure AD 进行身份验证并调用 Graph API,必须将其添加到租户中,并配置为需要 Windows Azure Active Directory 的权限(OAuth 2.0 权限范围)。
Azure AD 使用的是 OAuth 2.0 身份验证协议

1.4.3 终结点寻址

若要使用 Graph API 执行操作,请采用支持的方法(通常为GET、POST、PATCH、PUT 或 DELETE)将 HTTP 请求发送至面向服务、资源集合、单个资源、资源的导航属性或由服务公开的函数或操作的终结点。终结点表示为 URL。
下面介绍了 Graph API 终结点的基本格式:

https://graph.windows.net/{tenant_id}/{resource_path}?{api_version}

以下组件构成 URL:
• 服务根:所有 Graph API 请求的服务根服务https://graph.windows.net。
• 租户标识符 {tenant_id}:接收请求的租户的标识符。
• 资源路径 {resource_path}:接收请求的资源(例如,用户或组)的路径。
• Graph API 版本 {api_version}:请求面向的 Graph API 的版本。它表示为一个查询参数,并且是必需的。
在某些情况下,当读取资源集合时,可以将 OData 查询参数添加到请求以对结果集进行筛选、排序和分页。

1.4.4 租户标识符 {tenant_id}

可以使用以下四种方法之一指定请求的目标租户:
• 通过租户对象 ID。这是创建租户时分配的 GUID。它可以在TenantDetail对象的objectId属性中找到。以下 URL 介绍了如何通过使用租户对象 ID 对用户资源集合进行寻址:https://graph.windows.net/12345678-9abc-def0-1234-56789abcde/users?api-version=1.6。
• 通过已验证(注册)的域名。这是为租户注册的域名之一。它们可在 TenantDetail 对象的 verifiedDomains 属性中找到。以下 URL 介绍了如何对域为 contoso.com 的租户的用户资源集合进行寻址:https://graph.windows.net/contoso.com/users?api-version=1.6。
• 通过使用 myOrganization 别名。仅当使用 OAuth 授权码授权类型(3 重)身份验证时,此别名才可用;即当使用委托的权限范围时可用。此别名不区分大小写。它将替换 URL 中的对象 ID 或租户域。使用此别名时,Graph API 将从附加到请求的令牌中提供的声明获取租户。以下 URL 介绍了如何通过使用此别名对租户的用户资源集合进行寻址:https://graph.windows.net/myorganization/users?api-version=1.6。
• 通过使用 me 别名。仅当使用 OAuth 授权码授权类型(3 重)身份验证时,此别名才可用;即当使用委托的权限范围时可用。此别名不区分大小写。它将替换 URL 中的对象 ID 或租户域。使用此别名时,Graph API 将从附加到请求的令牌中提供的声明获取用户。以下 URL 通过使用此别名对已登录用户进行寻址:https://graph.windows.net/me?api-version=1.6。
使用me别名仅适用于针对已登录用户的操作。

1.4.5 资源路径 {resource_path}

可以以不同的方式指定{resource_path},具体取决于你是面向资源集合、单独的资源、资源的导航属性、租户上公开的函数或操作,还是面向资源上公开的函数或操作。
在这里插入图片描述

1.4.6 API 版本 {api-version}

可以使用api-version查询参数将 Graph API 的特定版本作为某操作的目标。此参数是必需的。
api-version参数的值可以是下列内容之一:
• “beta”
• “1.6”
• “1.5”
• “2013/11/08”
• “2013/04/05”
例如,以下 URL 面向使用 Graph API 1.6 版本的用户集合:

https://graph.windows.net/myorganization/users?api-version=1.6
1.4.7 OData 查询参数

在许多情况下,当读取资源集时,可以通过将 OData 查询参数附加到请求中来对结果集进行筛选、排序和分页。
Graph API 支持以下 OData 查询参数:
• $filter
• $batch
• $expand
• $orderby
• $top
• $skiptoken 和 previous-page

1.4.8 请求和响应标头

下表显示了 Graph API 请求中使用的常见 HTTP 标头。
在这里插入图片描述

下表显示了 Graph API 作为响应返回的常见 HTTP 标头。并不意味着它是全面的。
在这里插入图片描述

1.4.9 请求和响应正文

可以在 JSON 或 XML 有效负载中发送 POST、PATCH 和 PUT 请求的请求主体。可以在 JSON 或 XML 有效负载中返回服务器响应。可以通过使用Content-Type请求标头在请求主体中指定有效负载,以及通过使用Accept请求标头作出响应。

playwrighter
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
.Net5中实现Azuread +Oauth2 实现 SSO
Code365
06-30 426
Azuread +Oauth2 实现 SSO 单点登录目前实现比较多的一种方式Oauth2,以下将如何对接Azure的Oauth2分下面几个步骤实现。
oauth2-azure:OAuth 2.0客户端的Azure AD提供程序
01-28
适用于OAuth 2.0客户端的Azure Active Directory提供程序 此软件包为PHP League的提供 OAuth 2.0支持。 目录 安装 要安装,请使用composer: composer require thenetworg/oauth2-azure 用法 用法与The League的OAuth客户端相同,使用\TheNetworg\OAuth2\Client\Provider\Azure作为提供者。 授权码流程 $ provider = new TheNetworg \ OAuth2 \ Client \ Provider \ Azure ([ 'clientId' => '{azure-client-id}' , 'clientSecret' => '{azure-client-secret}' , 'redirectUri' => 'https://example.com/callback-url' , //Optional 'scopes' =>
Azure: Azure AD(For Development)的使用
热门推荐
wucong60的专栏
09-30 1万+
简介 注册一个Web应用程序 1.概述:显示应用程序的app Id 2.身份验证:显示了重定的URL 3.证书和密码:生成一个client secret, 以便你可以使用client credential和authrization code的方式获取token4.API权限:给当前的应用程序赋予权限,如下图,当前APP有访问Mircrosoft Graph(它让用户可以...
Azure 应用服务】NodeJS Express + MSAL 应用实现AAD集成登录并部署在App Service Linux环境中的实现步骤
m0_62396648的博客
06-07 259
实现部署NodeJS Express应用在App Service Linux环境中,并且使用Microsoft Authentication Library(MSAL)来实现登录Azure AD用户,获取Token及用户信息的实现。1)根据文档“ Tutorial: Sign in users and acquire a token for Microsoft Graph in a Node.js & Express web app” 实现本地运行成功2)根据文档" 在 Azure 中创建 Node.js
轻松接入Azure AD+Oauth2 实现 SSO
JackieJia的博客
05-20 8881
背景介绍 众所周知,目前SSO最常见的实现方案有如下几种: 1、OAuth2 2、SAML 3、OpenId 本文重点介绍的是目前SSO普及偏高的是第一种方案Oauth2,以下将分几个部分阐述如何对接Azure的Oauth2 Oauth2 集成Azure AD 方案: 如下是集成的时序图: 解释说明: 1、Native App 可以简单的理解你要接入的WEB 网站,由它来接收azure 认证之后的跳转。 2、Web API 可以理解为接入WEB网站对应的后端服务接口,由它来负责接收access_token
[Azure - Security] Azure的多重身份验证(一):使用AD(Azure Active Directory)开启用户MFA
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
09-22 1万+
Multi-Factor Authentication (MFA) :多重身份验证(英语:Multi-factor authentication,缩写为 MFA),又译多因子认证、多因素验证、多因素认证,是一种电脑访问控制的方法,用户要通过两种以上的认证机制之后,才能得到授权,使用电脑资源。例如,用户要输入PIN码,插入银行卡,最后再经指纹比对,通过这三种认证方式,才能获得授权。这种认证方式可以提高安全性。多重要素验证的概念也广泛应用于计算机系统以外的各领域。
使用Azure AD登录Angular应用程序第1部分
04-08
这可以通过设置Azure AD认证中间件来完成,该中间件会检查每个请求中的令牌,并确保它们是由Azure AD签发的并且未过期。这确保了只有经过身份验证的用户才能访问我们的API。 `.NET`标签可能也意味着我们将讨论如何...
AADsamples:Azure AD 示例
05-30
- 从博客文章系列开始,此示例展示了如何使用 ADAL(使用 Azure AD v1 端点)和 MSAL(使用 Azure AD v2 端点)从单页应用程序中调用 Microsoft Graph网络浏览器 - 尚未记录,此示例展示了如何通过证书身份验证和...
如何创建一个使用Azure AD调用web API的多租户SaaS web应用程序1
08-08
在本文中,我们将探讨如何创建一个使用Azure AD调用Web API的多租户SaaS(Software as a Service)Web应用程序。首先,理解多租户应用程序的概念是至关重要的。多租户意味着一个应用程序服务于多个独立的组织,每个...
aurelia-azureadb2c:Aurelia Azure AD B2C示例应用程序
05-26
**Aurelia Azure AD B2C 示例应用程序** Aurelia是一个现代、轻量级且可扩展的前端JavaScript框架,用于构建高性能的单页应用程序(SPA)。Azure AD B2C(Azure Active Directory Business-to-Consumer)是微软提供...
AZURE 204 考试认证学习资料/参考试题
04-11
再者,对于 Azure Kubernetes Service (AKS) 的管理,考生需要熟悉如何在 Azure Active Directory (AD) 加入的设备上管理 AKS 集群。当开发者创建了一个名为 MyApp 的应用并将其打包成容器镜像时,需要使用 YAML ...
如何解决Azure AD中的LDAP认证
yuzijiang11111的博客
07-14 329
使用微软 Azure Active Directory (Azure AD) 的企业必须要解决一个问题,那就是如何处理云目录发送的 LDAP 验证请求。企业通常选择自建 LDAP 认证系统或利用身份目录即服务(DaaS)平台两种方案。
前端对接微软AAD登录并使用.net webapi验证微软aad token
qq_42371986的博客
05-29 1507
4.在公开API处保存应用程序IDURI,并新建一个范围,命名为User.Read,并记录范围全程:格式为api://{ClientID}/{范围},这个是后续的scope参数,必须为应用注册的自定义范围才行,要使用graph的scope,获取到的token就是graph的token,而不是这个应用注册的token,会导致验证token失败。1.添加应用注册,获取应用程序id,租户id,添加回调地址,添加graphapi权限,添加范围,生成验证字符串。验证token失败:验证者和颁发者必须完全匹配!
申请Azure第三方登录
ahaha413525642的博客
04-06 2620
具体流程看官网说明文档 https://docs.microsoft.com/zh-cn/azure/active-directory/develop/active-directory-protocols-oauth-code 值得注意的是,tenant 可以从右上角用户头像得到,移到头像上方可以看到 域与其中的那串字符串都可以作为tenant url如下,使用get方法: https:...
推荐:Azure Active Directory 的 OAuth 2.0 客户端库
最新发布
gitblog_00082的博客
05-31 275
推荐:Azure Active Directory 的 OAuth 2.0 客户端库 oauth2-azureAzure AD provider for the OAuth 2.0 Client.项目地址:https://gitcode.com/gh_mirrors/oa/oauth2-azure 如果你正在寻找一种简单易用的方式来集成 Azure Active Directory(Azure ...
Java接入Microsoft Azure AD实现SSO登录
【Mr-Coolerwu】
04-09 1451
SSO(SingleSign-On,单点登录)通过在IDP(身份验证提供商)登录成功后,就可以访问IDP关联的应用程序以及相关权限为了解决以下问题:用户使用多个应用程序时,需要创建多个账号如果用户在所有平台创建的账号密码一致,可能会导致账号密码泄露,非法用户会窃取用户的财产提高用户的体验感,降低创建账号的繁琐程序Azure Active Directory(Azure AD)是微软提供的一项云身份和访问管理服务,也就是IDP(身份验证提供商)
Azure上搭建AD RMS环境系列三 -- ADFS搭建及域外公网测试
Cadmus1992的博客
12-23 3089
Azure上搭建AD RMS环境系列三 -- ADFS搭建及域外公网测试     到目前为止,我们已经完成了ADRMS环境的搭建,接下来我们要将Azure AD与本地的AD域做同步,来给本地用户分配office 365的使用权。 因此,我们需要使用微软提供的同步工具Microsoft Azure Active Directory Connect来进行同步: https://www.m
中使用signalr_如何使用 Azure Active Directory 认证和 Microsoft Graph 构建 Blazor Web 应用...
weixin_30750081的博客
12-17 194
英文原文:https://developer.microsoft.com/en-us/identity/blogs/how-to-build-a-blazor-web-app-with-azure-active-directory-authentication-and-microsoft-graph/如果您是一个 .NET 开发者,你很可能听过过 Blazor 是一个最近的热门开发技术。...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值