无头认证Azure AD b2c
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了无头认证Azure AD b2c相关的知识,希望对你有一定的参考价值。
我正在寻找一种通过用户名/密码以无头方式为Azure AD b2c验证用户的方法。 Azure AD b2c很棒,但我们认为登录的重定向可能会导致客户之间的混淆(有时甚至被某些浏览器阻止)。此外,我们希望完全控制客户的UX体验。
我研究了ADAL和Graph API,但还没有找到任何东西。
吉娜
目前无法在没有交互式用户的情况下运行Azure B2C。虽然我相信它会在某个时刻到达,但目前,您无法创建基于B2C的后端应用程序。
根据Azure Active Directory B2C preview: Limitations & Restrictions
Daemons / Server Side Applications
包含长时间运行的进程或在没有用户的情况下运行的应用程序也需要一种方法来访问安全资源,例如Web API。这些应用程序可以使用OAuth 2.0客户端凭据流使用应用程序的标识(而不是使用者的委派身份)进行身份验证和获取令牌。此流程尚未在Azure AD B2C预览中提供 - 也就是说,应用程序只能在发生交互式消费者登录流后获取令牌。
如上所述here,您可以将Azure AD应用程序用于服务帐户的Client Credential Flow。它不是最佳的,但它的工作原理。
- Define an Azure AD App用于Web API
- Define an Azure AD App每个服务帐户
- 配置Web API以接受来自B2C租户和Azure AD的令牌 假设您已经为B2C配置了Web API ... Azure AD应用程序的众所周知的配置URL是https://login.microsoftonline.com/[your-b2c-tenant].onmicrosoft.com/.well-known/openid-configuration 进一步阅读:ASP.NET核心文档:Use multiple authentication schemes
- 针对Web API请求针对服务帐户AD应用程序的访问令牌
注意:请务必在B2C租户下创建Azure AD应用。
用于从C#获取访问令牌的代码片段
using (var httpClient = new HttpClient())
{
httpClient.BaseAddress = new Uri("https://login.microsoftonline.com");
var content = new FormUrlEncodedContent(new[]
{
new KeyValuePair<string, string>("grant_type", "client_credentials")
, new KeyValuePair<string, string>("client_id", "[service account app id e.g. 10d635e5-7615-472f-8200-a81d5c87c0ca")
, new KeyValuePair<string, string>("client_secret", "[client secret defined in the service account e.g. 5L2ZJOBK8GI1wRSgGFooHcBkAOUOj65lQd9DgJxQOrw=]")
, new KeyValuePair<string, string>("scope", "[App ID URI of the web api azure ad app]/.default e.g. https://my-b2c-tenant.onmicrosoft.com/my-azure-ad-ap/.default")
});
var requestResult = await httpClient.PostAsync("/[your b2c tenant].onmicrosoft.com/oauth2/v2.0/token", content);
var contentResult = await requestResult.Content.ReadAsStringAsync();
var json = JObject.Parse(contentResult);
var accessToken = (string)json["access_token"];
}
App ID URI
您可能希望定义一些自定义声明来保护Web API。见'Application Permissions' here。
- 修改Web API Azure AD App上的应用程序清单
{ "appRoles": [{ "allowedMemberTypes": [ "Application" ], "displayName": "Some display nane", "id": "[create a new guid]", "isEnabled": true, "description": "Allow the application to _____ as itself.", "value": "some-claim" } ] }
- 将服务帐户Azure AD App权限授予定义的自定义应用程序权限
授予服务帐户的权限将在roles
声明中返回:
{
"roles": [
"some-claim"
]
}
请upvote the user voice feedback item使这更容易:)
如果您想要的是无头身份验证,为什么不单独使用Azure AD?它有一个API。如果您打算自己创建和管理所有UI,为什么还要或需要AD B2C?
Azure AD B2C无法提供无头身份验证,但结合了自定义行程 虚荣域和自定义样式使用户永远不会离开您的网站
您正在寻找的是OWIN在azure AD b2c中的资源所有者密码凭证。您可以参考https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/13817784-add-support-for-resource-owner-password-credential和upvote来实现此功能
仍处于预览状态(截至2018年1月),但如果您正在使用Azure功能,可能正是您正在寻找的内容。看看Microsoft Graph bindings for Azure Functions
以上是关于无头认证Azure AD b2c的主要内容,如果未能解决你的问题,请参考以下文章
Azure AD 与 Azure AD B2C 与 Azure AD B2B
Azure AD B2C:注销社交帐户(使用 OIDC 的 Azure AD)