Schnellstart: Aufrufen einer Web-API in einer Beispieldaemon-App

• Eine Mindestanforderung des .NET 6.0 SDK.
• Visual Studio 2022 oder Visual Studio Code.

• Node.js.
• Visual Studio Code oder ein anderer Code-Editor.

• Python 3+.
• Visual Studio Code oder ein anderer Code-Editor.

• Java Development Kit (JDK) 8 oder höher.
• Maven.
• Ein geeigneter Code-Editor.

Für die .NET-Daemon-App müssen Sie keine Berechtigungen erteilen und zustimmen. Diese Daemon-App liest ihre eigenen App-Registrierungsinformationen, sodass sie dies tun kann, ohne dass Ihnen Anwendungsberechtigungen erteilt werden.

1. Wählen Sie auf der Seite "App-Registrierungen " die anwendung aus, die Sie erstellt haben, z. B. ciam-client-app.

2. Wählen Sie unter Verwalten die Option API-Berechtigungen.

3. Wählen Sie unter "Konfigurierte Berechtigungen" die Option "Berechtigung hinzufügen" aus.

4. Wählen Sie auf der Registerkarte "Microsoft-APIs" die Microsoft Graph-Anwendungsberechtigungen >>aus. Wir wählen die Option "Anwendungsberechtigungen " aus, da sich die App selbst anmeldet, aber nicht im Namen eines Benutzers.

5. Suchen Sie in der Liste "Berechtigungen auswählen " nach "User.Read.All". Wir erteilen diese Berechtigung, damit die App die vollständigen Profile aller Benutzer lesen kann.

6. Wählen Sie die Schaltfläche "Berechtigungen hinzufügen" aus.

7. An diesem Punkt haben Sie die Berechtigungen ordnungsgemäß zugewiesen. Da die Daemon-App benutzern jedoch nicht die Interaktion mit dieser App gestattet, können die Benutzer selbst diesen Berechtigungen nicht zustimmen. Sie als Mandantenadministrator müssen diesen Berechtigungen im Namen aller Benutzer im Mandanten zustimmen:

   1. Wählen Sie " Administratorzustimmung für <Ihren Mandantennamen> erteilen" und dann "Ja" aus.
   2. Wählen Sie "Aktualisieren" aus, und vergewissern Sie sich, dass der Name< Ihres Mandanten für > beide Berechtigungen unter "Status" angezeigt wird.

1. Wählen Sie auf der Seite "App-Registrierungen " die anwendung aus, die Sie erstellt haben, z. B. ciam-client-app.

2. Wählen Sie unter Verwalten die Option API-Berechtigungen.

3. Wählen Sie unter "Konfigurierte Berechtigungen" die Option "Berechtigung hinzufügen" aus.

4. Wählen Sie auf der Registerkarte "Microsoft-APIs" die Microsoft Graph-Anwendungsberechtigungen >>aus. Wir wählen die Option "Anwendungsberechtigungen " aus, da sich die App selbst anmeldet, aber nicht im Namen eines Benutzers.

5. Suchen Sie in der Liste "Berechtigungen auswählen " nach "User.Read.All". Wir erteilen diese Berechtigung, damit die App die vollständigen Profile aller Benutzer lesen kann.

6. Wählen Sie die Schaltfläche "Berechtigungen hinzufügen" aus.

7. An diesem Punkt haben Sie die Berechtigungen ordnungsgemäß zugewiesen. Da die Daemon-App benutzern jedoch nicht die Interaktion mit dieser App gestattet, können die Benutzer selbst diesen Berechtigungen nicht zustimmen. Sie als Mandantenadministrator müssen diesen Berechtigungen im Namen aller Benutzer im Mandanten zustimmen:

   1. Wählen Sie " Administratorzustimmung für <Ihren Mandantennamen> erteilen" und dann "Ja" aus.
   2. Wählen Sie "Aktualisieren" aus, und vergewissern Sie sich, dass der Name< Ihres Mandanten für > beide Berechtigungen unter "Status" angezeigt wird.

1. Wählen Sie auf der Seite "App-Registrierungen " die anwendung aus, die Sie erstellt haben, z. B. ciam-client-app.

2. Wählen Sie unter Verwalten die Option API-Berechtigungen.

3. Wählen Sie unter "Konfigurierte Berechtigungen" die Option "Berechtigung hinzufügen" aus.

4. Wählen Sie auf der Registerkarte "Microsoft-APIs" die Microsoft Graph-Anwendungsberechtigungen >>aus. Wir wählen die Option "Anwendungsberechtigungen " aus, da sich die App selbst anmeldet, aber nicht im Namen eines Benutzers.

5. Suchen Sie in der Liste "Berechtigungen auswählen " nach "User.Read.All". Wir erteilen diese Berechtigung, damit die App die vollständigen Profile aller Benutzer lesen kann.

6. Wählen Sie die Schaltfläche "Berechtigungen hinzufügen" aus.

7. An diesem Punkt haben Sie die Berechtigungen ordnungsgemäß zugewiesen. Da die Daemon-App benutzern jedoch nicht die Interaktion mit dieser App gestattet, können die Benutzer selbst diesen Berechtigungen nicht zustimmen. Sie als Mandantenadministrator müssen diesen Berechtigungen im Namen aller Benutzer im Mandanten zustimmen:

   1. Wählen Sie " Administratorzustimmung für <Ihren Mandantennamen> erteilen" und dann "Ja" aus.
   2. Wählen Sie "Aktualisieren" aus, und vergewissern Sie sich, dass der Name< Ihres Mandanten für > beide Berechtigungen unter "Status" angezeigt wird.

git clone https://github.com/Azure-Samples/ms-identity-docs-code-dotnet.git

• Laden Sie die datei .zip herunter. Extrahieren Sie ihn in einen Dateipfad, in dem die Länge des Namens weniger als 260 Zeichen beträgt.

git clone https://github.com/azure-samples/ms-identity-javascript-nodejs-console.git 

• Laden Sie die datei .zip herunter. Extrahieren Sie ihn in einen Dateipfad, in dem die Länge des Namens weniger als 260 Zeichen beträgt.

git clone https://github.com/Azure-Samples/ms-identity-python-daemon.git 

• Laden Sie die datei .zip herunter. Extrahieren Sie ihn in einen Dateipfad, in dem die Länge des Namens weniger als 260 Zeichen beträgt.

git clone https://github.com/Azure-Samples/ms-identity-java-daemon.git

• Laden Sie die datei .zip herunter. Extrahieren Sie ihn in einen Dateipfad, in dem die Länge des Namens weniger als 260 Zeichen beträgt.

1. Öffnen Sie ein Konsolenfenster, und navigieren Sie dann zum Verzeichnis "ms-identity-docs-code-dotnet/console-daemon ":

   cd ms-identity-docs-code-dotnet/console-daemon
   

2. Öffnen Sie Program.cs , und ersetzen Sie den Dateiinhalt durch den folgenden Codeausschnitt.

    // Full directory URL, in the form of https://login.microsoftonline.com/<tenant_id>
    Authority = " https://login.microsoftonline.com/Enter_the_tenant_ID_obtained_from_the_Microsoft_Entra_admin_center",
    // 'Enter the client ID obtained from the Microsoft Entra admin center
    ClientId = "Enter the client ID obtained from the Microsoft Entra admin center",
    // Client secret 'Value' (not its ID) from 'Client secrets' in the Microsoft Entra admin center
    ClientSecret = "Enter the client secret value obtained from the Microsoft Entra admin center",
    // Client 'Object ID' of app registration in Microsoft Entra admin center - this value is a GUID
    ClientObjectId = "Enter the client Object ID obtained from the Microsoft Entra admin center"
   

   • Authority – Die Autorität ist eine URL, die ein Verzeichnis angibt, von dem MSAL Token anfordern kann. Ersetzen Sie Enter_the_tenant_ID_obtained_from_the_Microsoft_Entra_admin_center durch den zuvor aufgezeichneten Verzeichnis-ID-Wert (Mandant ).
   • ClientId - Der Bezeichner der Anwendung, auch als Client bezeichnet. Ersetzen Sie den Text in Anführungszeichen durch den Wert, der Application (client) ID zuvor auf der Übersichtsseite der registrierten Anwendung aufgezeichnet wurde.
   • ClientSecret – Der geheime Clientschlüssel, der für die Anwendung im Microsoft Entra Admin Center erstellt wurde. Geben Sie den Wert des geheimen Clientschlüssels ein.
   • ClientObjectId - Die Objekt-ID der Clientanwendung. Ersetzen Sie den Text in Anführungszeichen durch den Wert, den Object ID Sie zuvor auf der Übersichtsseite der registrierten Anwendung aufgezeichnet haben.

Öffnen Sie in Ihrem Editor die env-Datei , und ersetzen Sie dann die Platzhalter:

• Enter_the_Application_Id_Here mit der Anwendungs-ID (Client-ID) der Anwendung, die Sie zuvor registriert haben.
• Enter_the_Tenant_Id_Here mit der Mandanten-ID Ihres Mitarbeitermandanten.
• Enter_the_Client_Secret_Here mit dem zuvor erstellten geheimen Clientschlüssel.
• Enter_the_Cloud_Instance_Id_Here mit https://login.microsoftonline.com.
• Enter_the_Graph_Endpoint_Here mit https://graph.microsoft.com/.

1. Navigieren Sie zum Verzeichnis "1-Call-MsGraph-WithSecret ".

2. Öffnen Sie in Ihrem Editor die parameters.json Datei, und ersetzen Sie die Platzhalter:

   • Enter_the_Application_Id_Here mit der Anwendungs-ID (Client-ID) der Anwendung, die Sie zuvor registriert haben.
   • Enter_the_Tenant_Id_Here mit der Mandanten-ID Ihres Mitarbeitermandanten.
   • Enter_the_Client_Secret_Here mit dem zuvor erstellten geheimen Clientschlüssel.

1. Navigieren Sie zum msal-client-credential-secret Verzeichnis.

2. Öffnen Sie in Ihrem Editor die src\main\resources\application.properties Datei, und ersetzen Sie die Platzhalter:

   • Enter_the_Application_Id_Here mit der Anwendungs-ID (Client-ID) der Anwendung, die Sie zuvor registriert haben.
   • Enter_the_Tenant_Id_Here mit der Mandanten-ID Ihres Mitarbeitermandanten.
   • Enter_the_Client_Secret_Here mit dem zuvor erstellten geheimen Clientschlüssel.

Führen Sie im Konsolenfenster den folgenden Befehl aus, um die Anwendung zu erstellen und auszuführen:

dotnet run

Sobald die Anwendung erfolgreich ausgeführt wird, wird eine Antwort ähnlich wie der folgende Codeausschnitt angezeigt (gekürzt aus Platzgründen):

{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#applications/$entity",
"id": "00001111-aaaa-2222-bbbb-3333cccc4444",
"deletedDateTime": null,
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"applicationTemplateId": null,
"disabledByMicrosoftStatus": null,
"createdDateTime": "2021-01-17T15:30:55Z",
"displayName": "identity-dotnet-console-app",
"description": null,
"groupMembershipClaims": null,
...
}

Funktionsweise

Eine Daemonanwendung erwirbt ein Token im Namen von sich selbst (nicht im Auftrag eines Benutzers). Benutzer können nicht mit einer Daemon-Anwendung interagieren, da sie eine eigene Identität erfordert. Dieser Anwendungstyp fordert ein Zugriffstoken mithilfe der Anwendungsidentität an, indem seine Anwendungs-ID, Anmeldeinformationen (geheimer Schlüssel oder Zertifikat) und ein Anwendungs-ID-URI angezeigt werden. Die Daemon-Anwendung verwendet den standardmäßigen OAuth 2.0-Clientanmeldeinformationsfluss , um ein Zugriffstoken abzurufen.

Die App erwirbt ein Zugriffstoken von der Microsoft Identity Platform. Das Zugriffstoken ist für die Microsoft Graph-API vorgesehen. Die App verwendet dann das Zugriffstoken, um eigene Anwendungsregistrierungsdetails von der Microsoft Graph-API anzufordern. Die App kann jede Ressource aus der Microsoft Graph-API anfordern, solange das Zugriffstoken über die richtigen Berechtigungen verfügt.

Im Beispiel wird veranschaulicht, wie ein unbeaufsichtigter Auftrag oder Windows-Dienst mit einer Anwendungsidentität anstelle der Identität eines Benutzers ausgeführt werden kann.

1. Führen Sie zum Installieren von Abhängigkeiten den folgenden Befehl aus:

   npm install
   

2. Verwenden Sie den folgenden Befehl, um die Anwendung auszuführen:

   node . --op getUsers
   

Wenn die App erfolgreich ausgeführt wird, sollte eine JSON-formatierte Ausgabe angezeigt werden, die eine Liste aller Benutzer aus Ihrem Mitarbeitermandanten darstellt. Es sieht ähnlich wie der folgende Codeausschnitt aus:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Funktionsweise

Eine Daemonanwendung erwirbt ein Token im Namen von sich selbst (nicht im Auftrag eines Benutzers). Benutzer können nicht mit einer Daemon-Anwendung interagieren, da sie eine eigene Identität erfordert. Dieser Anwendungstyp fordert ein Zugriffstoken mithilfe der Anwendungsidentität an, indem seine Anwendungs-ID, Anmeldeinformationen (geheimer Schlüssel oder Zertifikat) und ein Anwendungs-ID-URI angezeigt werden. Die Daemon-Anwendung verwendet den standardmäßigen OAuth 2.0-Clientanmeldeinformationsfluss , um ein Zugriffstoken abzurufen.

Die App erwirbt ein Zugriffstoken von der Microsoft Identity Platform. Das Zugriffstoken ist für die Microsoft Graph-API vorgesehen. Die App verwendet dann das Zugriffstoken, um alle Benutzer im Mandanten aus der Microsoft Graph-API zu lesen. Die App kann jede Ressource aus der Microsoft Graph-API anfordern, solange das Zugriffstoken über die richtigen Berechtigungen verfügt. In diesem Fall haben wir der App "User.Read.All" die Berechtigung "User.Read.All " erteilt, damit die vollständigen Profile aller Benutzer gelesen werden.

Im Beispiel wird veranschaulicht, wie ein unbeaufsichtigter Auftrag oder Windows-Dienst mit einer Anwendungsidentität anstelle der Identität eines Benutzers ausgeführt werden kann.

1. Führen Sie zum Installieren von Abhängigkeiten den folgenden Befehl aus:

   pip install -r requirements.txt
   

2. Verwenden Sie zum Ausführen der Anwendung den folgenden Befehl:

   python confidential_client_secret_sample.py parameters.json
   

Wenn die App erfolgreich ausgeführt wird, sollte eine JSON-formatierte Ausgabe angezeigt werden, die eine Liste aller Benutzer aus Ihrem Mitarbeitermandanten darstellt. Es sieht ähnlich wie der folgende Codeausschnitt aus:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Funktionsweise

Eine Daemonanwendung erwirbt ein Token im Namen von sich selbst (nicht im Auftrag eines Benutzers). Benutzer können nicht mit einer Daemon-Anwendung interagieren, da sie eine eigene Identität erfordert. Dieser Anwendungstyp fordert ein Zugriffstoken mithilfe der Anwendungsidentität an, indem seine Anwendungs-ID, Anmeldeinformationen (geheimer Schlüssel oder Zertifikat) und ein Anwendungs-ID-URI angezeigt werden. Die Daemon-Anwendung verwendet den standardmäßigen OAuth 2.0-Clientanmeldeinformationsfluss , um ein Zugriffstoken abzurufen.

Die App erwirbt ein Zugriffstoken von der Microsoft Identity Platform. Das Zugriffstoken ist für die Microsoft Graph-API vorgesehen. Die App verwendet dann das Zugriffstoken, um alle Benutzer im Mandanten aus der Microsoft Graph-API zu lesen. Die App kann jede Ressource aus der Microsoft Graph-API anfordern, solange das Zugriffstoken über die richtigen Berechtigungen verfügt. In diesem Fall haben wir der App "User.Read.All" die Berechtigung "User.Read.All " erteilt, damit die vollständigen Profile aller Benutzer gelesen werden.

Im Beispiel wird veranschaulicht, wie ein unbeaufsichtigter Auftrag oder Windows-Dienst mit einer Anwendungsidentität anstelle der Identität eines Benutzers ausgeführt werden kann.

Sie können die Beispiel-App testen, indem Sie die Hauptmethode von ClientCredentialGrant.java aus Ihrer IDE ausführen oder

1. Führen Sie in der Konsole den folgenden Befehl aus:

   $ mvn clean compile assembly:single
   

   Dieser Befehl generiert eine msal-client-credential-secret-1.0.0.jar Datei in Ihrem Verzeichnis "/targets ".

2. Navigieren Sie zum Verzeichnis "/targets ", und führen Sie dann die ausführbare Java-Datei mit dem folgenden Befehl aus:

   $ java -jar msal-client-credential-secret-1.0.0.jar
   

Wenn die App erfolgreich ausgeführt wird, sollte eine JSON-formatierte Ausgabe angezeigt werden, die eine Liste aller Benutzer aus Ihrem Mitarbeitermandanten darstellt. Es sieht ähnlich wie der folgende Codeausschnitt aus:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Funktionsweise

Eine Daemonanwendung erwirbt ein Token im Namen von sich selbst (nicht im Auftrag eines Benutzers). Benutzer können nicht mit einer Daemon-Anwendung interagieren, da sie eine eigene Identität erfordert. Dieser Anwendungstyp fordert ein Zugriffstoken mithilfe der Anwendungsidentität an, indem seine Anwendungs-ID, Anmeldeinformationen (geheimer Schlüssel oder Zertifikat) und ein Anwendungs-ID-URI angezeigt werden. Die Daemon-Anwendung verwendet den standardmäßigen OAuth 2.0-Clientanmeldeinformationsfluss , um ein Zugriffstoken abzurufen.

Die App erwirbt ein Zugriffstoken von der Microsoft Identity Platform. Das Zugriffstoken ist für die Microsoft Graph-API vorgesehen. Die App verwendet dann das Zugriffstoken, um alle Benutzer im Mandanten aus der Microsoft Graph-API zu lesen. Die App kann jede Ressource aus der Microsoft Graph-API anfordern, solange das Zugriffstoken über die richtigen Berechtigungen verfügt. In diesem Fall haben wir der App "User.Read.All" die Berechtigung "User.Read.All " erteilt, damit die vollständigen Profile aller Benutzer gelesen werden.

Im Beispiel wird veranschaulicht, wie ein unbeaufsichtigter Auftrag oder Windows-Dienst mit einer Anwendungsidentität anstelle der Identität eines Benutzers ausgeführt werden kann.

• Lernen Sie, indem Sie diese ASP.NET Web-App mit der Reihe Lernprogramm erstellen: Registrieren sie eine Anwendung bei der Microsoft Identity Platform.

• Schnellstart: Bereitstellen einer ASP.NET Web-App für Azure App Service

• Erfahren Sie, wie Sie Ihre Node.js Daemonanwendung erstellen, die web-API aufruft.

• Erfahren Sie, wie Sie eine Python-Daemonanwendung erstellen, die Web-APIs aufruft

• Erfahren Sie, wie Sie eine Java-Daemonanwendung erstellen, die Web-APIs aufruft

• Um das Beispiel zu klonen, öffnen Sie eine Eingabeaufforderung, und navigieren Sie zu der Stelle, an der Sie das Projekt erstellen möchten, und geben Sie den folgenden Befehl ein:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-javascript-tutorial.git
  

• Alternativ können Sie die Beispiele .zip Datei herunterladen und dann in einen Dateipfad extrahieren, in dem die Länge des Namens weniger als 260 Zeichen beträgt.

Installieren von Projektabhängigkeiten

1. Öffnen Sie ein Konsolenfenster, und wechseln Sie zu dem Verzeichnis, das die Node.js Beispiel-App enthält:

   cd 2-Authorization\3-call-api-node-daemon\App
   

2. Führen Sie die folgenden Befehle aus, um App-Abhängigkeiten zu installieren:

   npm install && npm update
   

• Um das Beispiel zu klonen, öffnen Sie eine Eingabeaufforderung, und navigieren Sie zu der Stelle, an der Sie das Projekt erstellen möchten, und geben Sie den folgenden Befehl ein:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git
  

• Laden Sie die datei .zip herunter. Extrahieren Sie ihn in einen Dateipfad, in dem die Länge des Namens weniger als 260 Zeichen beträgt.

1. Öffnen App\authConfig.js Sie in Ihrem Code-Editor die Datei.

2. Suchen Sie den Platzhalter:

   • Enter_the_Application_Id_Here und ersetzen Sie sie durch die Anwendungs-ID (Client) der Daemon-App, die Sie zuvor registriert haben.

   • Enter_the_Tenant_Subdomain_Here und ersetzen Sie sie durch die Unterdomäne "Directory (Mandant)". Wenn ihre primäre Mandantendomäne beispielsweise lautet contoso.onmicrosoft.com, verwenden Sie contoso. Wenn Sie nicht über Ihren Mandantennamen verfügen, erfahren Sie, wie Sie Ihre Mandantendetails lesen.

   • Enter_the_Client_Secret_Here und ersetzen Sie ihn durch den Geheimwert der Daemon-App, den Sie zuvor kopiert haben.

   • Enter_the_Web_Api_Application_Id_Here und ersetzen Sie sie durch die Anwendungs-ID (Client-ID) der Web-API, die Sie zuvor kopiert haben.

So verwenden Sie ihre App-Registrierung im Web-API-Beispiel:

1. Öffnen API\ToDoListAPI\appsettings.json Sie in Ihrem Code-Editor die Datei.

2. Suchen Sie den Platzhalter:

   • Enter_the_Application_Id_Here und ersetzen Sie sie durch die Anwendungs-ID (Client-ID) der Web-API, die Sie kopiert haben.

   • Enter_the_Tenant_Id_Here und ersetzen Sie sie durch die Zuvor kopierte Verzeichnis-ID (Mandant).

   • Enter_the_Tenant_Subdomain_Here und ersetzen Sie sie durch die Unterdomäne "Directory (Mandant)". Wenn ihre primäre Mandantendomäne beispielsweise lautet contoso.onmicrosoft.com, verwenden Sie contoso. Wenn Sie nicht über Ihren Mandantennamen verfügen, erfahren Sie, wie Sie Ihre Mandantendetails lesen.

1. Öffnen Sie in Ihrem Code-Editor ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListClient/appsettings.json Datei.

2. Suchen Sie den Platzhalter:

   • Enter_the_Application_Id_Here und ersetzen Sie sie durch die Anwendungs-ID (Client)der Daemon-Anwendung, die Sie zuvor registriert haben.
   • Enter_the_Tenant_Subdomain_Here und ersetzen Sie sie durch die Unterdomäne "Directory (Mandant)". Wenn ihre primäre Mandantendomäne beispielsweise lautet contoso.onmicrosoft.com, verwenden Sie contoso. Wenn Sie nicht über Ihren Mandantennamen verfügen, erfahren Sie, wie Sie Ihre Mandantendetails lesen.
   • Enter_the_Client_Secret_Here und ersetzen Sie ihn durch den geheimen Daemon-Anwendungsschlüsselwert, den Sie zuvor kopiert haben.
   • Enter_the_Web_Api_Application_Id_Here und ersetzen Sie sie durch die Anwendungs-ID (Client-ID) der Web-API, die Sie zuvor kopiert haben.

So verwenden Sie ihre App-Registrierung im Web-API-Beispiel:

1. Öffnen Sie in Ihrem Code-Editor ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListAPI/appsettings.json Datei.

2. Suchen Sie den Platzhalter:

   • Enter_the_Application_Id_Here und ersetzen Sie sie durch die Anwendungs-ID (Client-ID) der Web-API, die Sie kopiert haben.
   • Enter_the_Tenant_Id_Here und ersetzen Sie sie durch die Zuvor kopierte Verzeichnis-ID (Mandant).
   • Enter_the_Tenant_Subdomain_Here und ersetzen Sie sie durch die Unterdomäne "Directory (Mandant)". Wenn ihre primäre Mandantendomäne beispielsweise lautet contoso.onmicrosoft.com, verwenden Sie contoso. Wenn Sie nicht über Ihren Mandantennamen verfügen, erfahren Sie, wie Sie Ihre Mandantendetails lesen.

1. Öffnen Sie ein Konsolenfenster, und führen Sie dann die Web-API mit den folgenden Befehlen aus:

   cd 2-Authorization\3-call-api-node-daemon\API\ToDoListAPI
   dotnet run
   

2. Führen Sie den Web App-Client mithilfe der folgenden Befehle aus:

   2-Authorization\3-call-api-node-daemon\App
   node . --op getToDos
   

Wenn Ihre Daemon-App und die Web-API erfolgreich ausgeführt werden, sollte im Konsolenfenster etwas ähnliches wie das folgende JSON-Array angezeigt werden.

{
    "id": 1,
    "owner": "3e8....-db63-43a2-a767-5d7db...",
    "description": "Pick up grocery"
},
{
    "id": 2,
    "owner": "c3cc....-c4ec-4531-a197-cb919ed.....",
    "description": "Finish invoice report"
},
{
    "id": 3,
    "owner": "a35e....-3b8a-4632-8c4f-ffb840d.....",
    "description": "Water plants"
}

Funktionsweise

Die Node.js-App verwendet den Fluss zur Gewährung von OAuth 2.0-Clientanmeldeinformationen , um ein Zugriffstoken für sich selbst und nicht für den Benutzer abzurufen. Das Zugriffstoken, das die App anfordert, enthält die Berechtigungen, die als Rollen dargestellt werden. Der Clientanmeldeinformationsfluss verwendet diesen Satz von Berechtigungen anstelle von Benutzerbereichen für Anwendungstoken. Sie haben diese Anwendungsberechtigungen in der Web-API zuvor verfügbar gemacht und dann der Daemon-App gewährt.

Auf der API-Seite muss eine .NET-Beispielweb-API die API überprüfen, ob das Zugriffstoken über die erforderlichen Berechtigungen (Anwendungsberechtigungen) verfügt. Die Web-API kann kein Zugriffstoken akzeptieren, das nicht über die erforderlichen Berechtigungen verfügt.

Zugriff auf Daten

Ein Web-API-Endpunkt sollte darauf vorbereitet sein, Aufrufe von Benutzern und Anwendungen anzunehmen. Daher sollte es eine Möglichkeit haben, auf jede Anfrage entsprechend zu antworten. Beispielsweise erhält ein Anruf eines Benutzers über delegierte Berechtigungen/Bereiche die Daten des Benutzers to-do Liste. Andererseits kann ein Aufruf einer Anwendung über Anwendungsberechtigungen/-rollen die gesamte to-do Liste empfangen. In diesem Artikel führen wir jedoch nur einen Anwendungsaufruf durch, daher mussten keine delegierten Berechtigungen/Bereiche konfiguriert werden.

1. Öffnen Sie ein Konsolenfenster, und führen Sie dann die Web-API mit den folgenden Befehlen aus:

   cd 2-Authorization\3-call-own-api-dotnet-core-daemon\ToDoListAPI
   dotnet run
   

2. Führen Sie den Daemon-Client mithilfe der folgenden Befehle aus:

   cd 2-Authorization\3-call-own-api-dotnet-core-daemon\ToDoListClient
   dotnet run
   

   Wenn Ihre Daemonanwendung und die Web-API erfolgreich ausgeführt werden, sollte im Konsolenfenster etwas ähnliches wie das folgende JSON-Array angezeigt werden:

   Posting a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 1
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Bake bread
   Posting a second to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 1
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Bake bread
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Butter bread
   Deleting a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Butter bread
   Editing a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Eat bread
   Deleting remaining to-do...
   Retrieving to-do's from server...
   There are no to-do's in server
   

Funktionsweise

Die Daemon-Anwendung verwendet den OAuth 2.0-Clientanmeldeinformationsfluss , um ein Zugriffstoken für sich selbst und nicht für den Benutzer abzurufen. Das Zugriffstoken, das die App anfordert, enthält die Berechtigungen, die als Rollen dargestellt werden. Der Clientanmeldeinformationsfluss verwendet diesen Satz von Berechtigungen anstelle von Benutzerbereichen für Anwendungstoken. Sie haben diese Anwendungsberechtigungen in der Web-API zuvor verfügbar gemacht und dann der Daemon-App gewährt. Die Daemon-App in diesem Artikel verwendet die Microsoft-Authentifizierungsbibliothek für .NET , um den Erwerb eines Tokens zu vereinfachen.

Auf der API-Seite muss eine .NET-Beispielweb-API die API überprüfen, ob das Zugriffstoken über die erforderlichen Berechtigungen (Anwendungsberechtigungen) verfügt. Die Web-API lehnt Zugriffstoken ab, die nicht über die erforderlichen Berechtigungen verfügen.

• Erwerben Sie ein Zugriffstoken, und rufen Sie dann eine Web-API in Ihrer eigenen Node.js Daemon-App auf.
• Verwenden Sie ein Clientzertifikat anstelle eines geheimen Schlüssels für die Authentifizierung in Ihrer Node.js vertraulichen App.

• Verwenden Sie unsere mehrteilige Lernprogrammreihe, um diese .NET-Daemon-App von Grund auf neu zu erstellen.