获取 OpenID Connect / OAuth 访问令牌以调用 MS Dynamics

问题描述 投票:0回答:2

我正在尝试在 ASP.NET Core 5 MVC 中了解“现代”身份验证方法,并处理用于调用外部服务的 OAuth 和访问令牌。

我在 Azure 中有一个应用程序注册,设置正常 - 这些是该应用程序的 API 权限:

我的目标是调用 MS Graph(多次调用)和 MS Dynamics365,以收集一些信息。我已经设法在我的 MVC 应用程序中使用 OAuth(或者是 OpenID Connect?我不太确定如何区分这两者)设置身份验证,如下所示(在 

Startup.cs
中):

/* in appsettings.json:
"MicrosoftGraph": {
    "Scopes": "user.read organization.read.all servicehealth.read.all servicemessage.read.all",
    "BaseUrl": "https://graph.microsoft.com/v1.0"
},
*/

public void ConfigureServices(IServiceCollection services)
{
    List<string> initialScopes = Configuration.GetValue<string>("MicrosoftGraph:Scopes")?.Split(' ').ToList();

    services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
        .AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
        .EnableTokenAcquisitionToCallDownstreamApi(initialScopes)
        .AddInMemoryTokenCaches();
    
    // further service setups
}

它工作正常 - 系统会提示我登录,提供我的凭据,并且在我的 MVC 应用程序中,我可以在登录后查看声明主体及其声明 - 到目前为止,一切似乎都很好。

下一步是调用下游API。我研究了一些博客文章和教程,并提出了这个解决方案来根据给定调用所需的 

scope
的名称来获取访问令牌。这是我的代码(在 Razor 页面中,用于显示从 MS Graph 获取的数据):

public async Task OnGetAsync()
{
    List<string> scopes = new List<string>();
    scopes.Add("Organization.Read.All");

    // fetch the OAuth access token for calling the MS Graph API
    var accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(scopes);

    HttpClient client = _factory.CreateClient();
    client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
    client.DefaultRequestHeaders.Add("Accept", "application/json");

    string graphUrl = "https://graph.microsoft.com/v1.0/subscribedSkus";
                       
    string responseJson = await client.GetStringAsync(graphUrl);
    
    // further processing and display of data fetched from MS Graph
}

对于 MS Graph 范围,这工作得很好 - 我获得了访问令牌,我可以将其传递给我的 

HttpClient
,对 MS Graph 的调用成功,我得到了所需的信息。

当尝试使用相同的方法获取访问令牌来调用 MS Dynamics 时,挑战就开始了。我假设我只是指定在 Azure AD 注册中定义的 API 权限的名称 - 

user_impersonation
- 像这样:

public async Task OnGetAsync()
{
    List<string> scopes = new List<string>();
    scopes.Add("user_impersonation");

    var accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(scopes);
    // further code
}

但现在我除了错误什么也没有 - 就像这个:

处理请求时发生未处理的异常。
MsalUiRequiredException:AADSTS65001:用户或管理员尚未同意使用 ID 为“257a582c-4461-40a4-95c3-2f257d2f8693”、名为“BFH_Dyn365_Monitoring”的应用程序。发送此用户和资源的交互式授权请求。

这很有趣,因为管理员同意已被授予 - 所以我不太确定问题是什么......

然后我想也许我需要将 

user_impersonation
添加到初始范围列表中(如 
appsettings.json
中定义并在 
Startup.ConfigureServices
方法中使用) - 但添加这会导致另一个有趣的错误:

处理请求时发生未处理的异常。
OpenIdConnectProtocolException:消息包含错误:'invalid_client',error_description:'AADSTS650053:应用程序'BFH_Dyn365_Monitoring'请求资源'00000003-0000-0000-c000-000000000000'上不存在的范围'user_impersonation'。联系应用程序供应商。

奇怪的是 - 正如您在第一个屏幕截图中看到的 - 应用程序注册中存在范围 IS - 所以我不完全确定为什么会抛出此异常....

任何人都可以从使用 OAuth 令牌调用 MS Dynamics 的经验中了解一些情况吗?这从根本上来说是不可能的,还是我在某个地方错过了一两步?

谢谢!马克

c# oauth microsoft-graph-api access-token dynamics-365
2个回答
5
投票

要获取 

user_impersonation
Dynamics 的令牌(而不是 Microsoft Graph),您应该使用完整范围值:
"{your CRM URL}/user_impersonation"

scopes
中的 
GetAccessTokenForUserAsync
参数值的完整格式为 
{resource}/{scope}
,其中 
{resource}
是您尝试访问的 API 的 ID 或 URI,
{scope}
是位于的委派权限该资源。

当您省略 

{resource}
部分时,Microsoft Identity 平台假定您指的是 Microsoft Graph。因此,
"Organization.Read.All"
被解释为 
"https://graph.microsoft.com/Organization.Read.All"

当您尝试请求 

"user_impersonation"
的令牌时,请求会失败,因为尚未为 Microsoft Graph 授予此类权限。事实上,这样的权限甚至不存在(对于 Microsoft Graph),这解释了您看到的另一个错误。

0
投票

您能否提供工作代码给我,我也尝试在多租户环境中实现相同的代码。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.