如何使用 Azure B2C 处理多个 API
Dmi*_*nov 5 azure azure-ad-b2c azure-rbac
我需要帮助来了解 Azure B2C 在需要多个 API 的情况下如何工作。
我们在此示例中: https://api01.azurefunction.com/ https://api02.azurefunction.com/
B2C 实例samples.onmicrosoft.com
API01 公开范围: https://samples.onmicrosoft.com/api01/read
API02公开范围: https://samples.onmicrosoft.com/api02/write
WebApp 使用 MSAL.NET (Microsoft.Identity.Client 4.9.0),并且只能请求一个 API 的范围。任何请求两个不同资源的范围的尝试都将失败,如果使用 ConfidentialClientApplicationBuilder,则这是 AD/B2C 中的限制。
我尝试通过请求范围来启动到 STS 的多次往返,但失败了。即使它可以工作,由于可能会显示同意屏幕,因此不能考虑将其用于生产用途。
在这一点上,我需要建议如何在当前情况下工作。
我有多种选择:
为这些 API 实现外观并提供单点请求数据。但这至少有消耗资源的缺点。B2C 中不支持代表的其他重大限制。因此,我需要发明如何使用传入的安全上下文调用底层 Azure Functions。
使用 API 管理实例与 AD 集成,但对于我们的项目来说价格太大(~2K/月)
使用“黑客”为受 AD 保护的 Azure 函数定义“允许的令牌受众”,以允许接受为一种资源获取但发送到另一资源的令牌。这项工作有效,但我的范围将受到限制,因为范围列表将由获取令牌的资源定义。作为一种变体,我可以注册“假”应用程序并始终获取该应用程序的令牌。
在 Azure Function 中实现自定义 AccessToken 绑定器并完全发明轮子:(
选项#3 看起来不错。有一些限制,但我希望我能解决这个问题。
但最后,如果我需要与 Azure API(例如 AD Graph API)进行通信,如何获取令牌?使用RBAC?
请协助解决此问题。
在使用 Web 应用程序的情况下,建议使用Microsoft.Identity.Web库而不是 MSAL.NET。
以下是我在 Blazor Server 应用程序中的配置(在 Program.cs 文件中):
builder.Services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
.AddMicrosoftIdentityWebApp(builder.Configuration, "AzureAdB2CConfiguration")
.EnableTokenAcquisitionToCallDownstreamApi()
.AddInMemoryTokenCaches();
正如您在上面看到的,我使用EnableTokenAcquisitionToCallDownstreamApi()方法,该方法将允许获取访问令牌来调用多个 API。
另外,正如您所看到的,还有AddInMemoryTokenCaches()方法,它将在内存中存储访问令牌。对于生产场景,您应该使用一些外部存储,例如 Redis、CosmosDB 或 SQL db。您可以在此处阅读有关这些选项的更多信息。
现在,在您的 Web 应用程序代码中,您可以访问 ITokenAcquisition 接口实现,这使您能够获取多个 API 的访问令牌。这是我的网络应用程序中用于调用 API 的服务之一:
internal class UserManagementApiService
{
private readonly HttpClient _httpClient;
protected readonly ITokenAcquisition _tokenAcquisition;
private readonly IUserManagementApiConfiguration _userManagementApiConfiguration;
public UserManagementApiService(HttpClient httpClient,
ITokenAcquisition tokenAcquisition,
IUserManagementApiConfiguration userManagementApiConfiguration)
{
_httpClient = httpClient;
_tokenAcquisition = tokenAcquisition;
_userManagementApiConfiguration = userManagementApiConfiguration;
}
public async Task<HttpResponseMessage> CreateUserAsync(NewUserAccount userAccount)
{
await GetAndAddApiAccessTokenToAuthorizationHeaderAsync();
var request = new HttpRequestMessage()
{
Method = HttpMethod.Post,
RequestUri = new Uri($"{_userManagementApiConfiguration.Url}/new-user")
};
request.Content = new StringContent(JsonSerializer.Serialize(userAccount), Encoding.UTF8, "application/json");
var response = await _httpClient.SendAsync(request);
return response;
}
protected async Task GetAndAddApiAccessTokenToAuthorizationHeaderAsync()
{
string accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(new[] { _userManagementApiConfiguration.Scope },
authenticationScheme: OpenIdConnectDefaults.AuthenticationScheme);
_httpClient.DefaultRequestHeaders.Authorization
= new AuthenticationHeaderValue("Bearer", accessToken);
}
正如您在上面看到的,我使用_tokenAcquisition.GetAccessTokenForUserAsync()方法来获取特定 API 的访问令牌。作为参数,我必须提供特定的 API 范围。
另请记住,您必须在 Azure AD B2C 门户中的 API 权限选项卡下为您注册的 Web 应用程序从 Web 应用程序授予API 权限:
通过这种方法,您可以请求多个 AP 的访问令牌。在一个请求中不可能同时获取多个访问令牌。您始终根据您在 AD B2C 请求中添加的范围获取特定资源的一个访问令牌。
通过这种方法,您还可以确保实施细粒度授权,而不是在不同 API 之间混合受众参数。
我希望这有帮助。
| 归档时间: |
|
| 查看次数: |
1176 次 |
| 最近记录: |