获取 OpenID Connect / OAuth 访问令牌以调用 MS Dynamics

Question

我正在尝试在 ASP.NET Core 5 MVC 中了解“现代”身份验证方法，并处理用于调用外部服务的 OAuth 和访问令牌。

我在 Azure 中有一个应用程序注册，设置正常 - 这些是该应用程序的 API 权限：

我的目标是调用 MS Graph（多次调用）和 MS Dynamics365，以收集一些信息。我已经设法在我的 MVC 应用程序中使用 OAuth（或者是 OpenID Connect？我不太确定如何区分这两者）设置身份验证，如下所示（在 中Startup.cs）：

/* in appsettings.json:
"MicrosoftGraph": {
    "Scopes": "user.read organization.read.all servicehealth.read.all servicemessage.read.all",
    "BaseUrl": "https://graph.microsoft.com/v1.0"
},
*/

public void ConfigureServices(IServiceCollection services)
{
    List<string> initialScopes = Configuration.GetValue<string>("MicrosoftGraph:Scopes")?.Split(' ').ToList();

    services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
        .AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
        .EnableTokenAcquisitionToCallDownstreamApi(initialScopes)
        .AddInMemoryTokenCaches();
    
    // further service setups
}

它工作正常 - 系统会提示我登录，提供我的凭据，并且在我的 MVC 应用程序中，我可以在登录后查看声明主体及其声明 - 到目前为止，一切似乎都很好。

下一步是调用下游 API。我研究了一些博客文章和教程，并提出了这个解决方案来根据给定调用scope所需的名称来获取访问令牌。这是我的代码（在 Razor 页面中，用于显示从 MS Graph 获取的数据）：

public async Task OnGetAsync()
{
    List<string> scopes = new List<string>();
    scopes.Add("Organization.Read.All");

    // fetch the OAuth access token for calling the MS Graph API
    var accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(scopes);

    HttpClient client = _factory.CreateClient();
    client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
    client.DefaultRequestHeaders.Add("Accept", "application/json");

    string graphUrl = "https://graph.microsoft.com/v1.0/subscribedSkus";
                       
    string responseJson = await client.GetStringAsync(graphUrl);
    
    // further processing and display of data fetched from MS Graph
}

对于 MS Graph 范围，这工作得很好 - 我得到了我的访问令牌，我可以将其传递给我的，HttpClient并且对 MS Graph 的调用成功，我得到了所需的信息。

当尝试使用相同的方法获取访问令牌来调用 MS Dynamics 时，挑战就开始了。我假设我只是指定 Azure AD 注册中定义的 API 权限的名称 -user_impersonation如下所示：

public async Task OnGetAsync()
{
    List<string> scopes = new List<string>();
    scopes.Add("user_impersonation");

    var accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(scopes);
    // further code
}

但现在我除了错误之外一无所获 - 就像这样：

处理请求时发生未处理的异常。
MsalUiRequiredException：AADSTS65001：用户或管理员尚未同意使用 ID 为“257a582c-4461-40a4-95c3-2f257d2f8693”、名为“BFH_Dyn365_Monitoring”的应用程序。发送此用户和资源的交互式授权请求。

这很有趣，因为已经获得了管理员同意- 所以我不太确定问题是什么......

然后我想也许我需要添加user_impersonation到初始范围列表（如方法中定义appsettings.json和使用Startup.ConfigureServices） - 但添加此结果会导致另一个有趣的错误：

处理请求时发生未处理的异常。
OpenIdConnectProtocolException：消息包含错误：'invalid_client'，error_description：'AADSTS650053：应用程序'BFH_Dyn365_Monitoring'请求资源'00000003-0000-0000-c000-000000000000'上不存在的范围'user_impersonation'。联系应用程序供应商。

奇怪的是 - 正如您在第一个屏幕截图中看到的 - 该范围存在于应用程序注册中 - 所以我不完全确定为什么会抛出这个异常......

任何人都可以通过使用 OAuth 令牌调用 MS Dynamics 的经验来阐明一些情况吗？这从根本上来说是不可能的，还是我在某个地方错过了一两步？

谢谢！马克

Answer 1

user_impersonation 要获取Dynamics （而不是 Microsoft Graph）的令牌，您应该使用完整范围值："{your CRM URL}/user_impersonation"。

scopes中参数值的完整格式GetAccessTokenForUserAsync为{resource}/{scope}，其中{resource}是您尝试访问的 API 的 ID 或 URI，{scope}是该资源的委派权限。

当您省略该{resource}部分时，Microsoft Identity 平台假定您指的是 Microsoft Graph。因此，"Organization.Read.All"被解释为"https://graph.microsoft.com/Organization.Read.All"。

当您尝试请求 的令牌时"user_impersonation"，请求会失败，因为尚未为 Microsoft Graph授予此类权限。事实上，这样的权限甚至不存在（对于 Microsoft Graph），这解释了您看到的另一个错误。