我无法理解如何向以编程方式调用我的 REST API 的内部客户提供授权访问权限。当前的实现几乎只是基本身份验证,其中客户端脚本输入其服务帐户 + 密码,然后我们根据 LDAP 检查身份验证,然后使用 AD 全局组进行授权。
我们目前正在利用单点登录将前端应用程序迁移到 Azure AD。我还希望使用 Azure AD 来替换我们当前的 API 身份验证/授权实现,但我无法理解它是如何工作的。
到目前为止,我读到的 Azure AD OAuth2 的每个实现基本上都是用户被重定向到页面进行登录的某种变体。在我看来,这对于编写 Python 脚本以编程方式访问 API 的人来说是行不通的。
我的理解是,存在一个资源所有者密码流程,听起来最接近我的用例,但显然非常不推荐(而且我很确定我的公司甚至不允许)。我被告知要使用 PKCE 查看授权代码,但我无法理解它在我的用例中如何工作
我认为您正在寻找的是客户端凭据流程,这与 ROPF 非常相似,这意味着您的客户端将拥有用于身份验证的密码(客户端密钥)。 https://learn.microsoft.com/en-us/entra/identity-platform/v2-oauth2-client-creds-grant-flow
管理员可以在 Azure 门户中为您的应用程序注册完成一次初始权限授予,之后应用程序可以使用 ClientId 和客户端密钥进行身份验证,而无需进一步的手动交互。