Azure AD的服务器端无头认证
本文关键字:认证 服务器端 AD Azure | 更新日期: 2023-09-27 18:08:55
Azure AD中是否存在完全无头验证的机制?这很可能意味着(在我看来)运行API的服务器将有一个到Azure的永久身份验证会话。
如果目的重要…我们有一个需要从AD暴露我们的thumbnailImage属性,我只需要使它使服务器不关心谁请求的图像。所以基本上我们将有https://domain.com/api/Image/userid和api将返回一个Image对象(图像/jpeg)。我内部有这个功能,现在我只是迁移到Azure。
我发现这个问题…我只想确认两件事……
- 守护进程或服务器应用程序到Web API是我应该看的方法
- 使用此方法将起到我所期望的作用…也就是WebAPI可以访问这个属性,并像我现在在我们的内部域中使用它一样使用它。
确实。Azure AD支持客户端凭据OAuth流。是的,您正在寻找正确的帮助主题。对应的示例应用程序在这里:https://github.com/AzureADSamples/Daemon-DotNet。
如果你还没有,使用Azure管理门户将你的WebAPI注册为Azure AD目录中的应用程序,并添加一个客户端秘密(在"应用程序"的"配置"选项卡中的"密钥"部分下)。此密钥将用作客户端凭据。
要配置WebAPI的权限,使其能够使用客户端凭据流令牌调用Graph API,请转到Azure门户中的应用程序选项卡,在Azure AD下并在标题为"其他应用程序的权限"的部分中,在"Windows Azure Active Directory"中添加"应用程序权限"以"读取目录数据"。
你所说的永久身份验证会话基本上是你的WebAPI缓存访问令牌到Graph,并在当前访问令牌即将过期时获得新的访问令牌(使用客户端凭据流)。