New-AzureADApplicationKeyCredential 是否对 CustomKeyIdentifier 和 Value 进行了双 base64 编码？

Question

我正在使用 New-AzureADApplicationKeyCredential 为应用程序创建 KeyCredential。 document

首先，我对指纹进行base64编码

$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import("C:\Users\PFuller\Desktop\abc.cer") 
...
$bin = $cer.GetCertHash()
$base64Thumbprint = [System.Convert]::ToBase64String($bin)
...
New-AzureADApplicationKeyCredential -ObjectId <id> 
                                    -CustomKeyIdentifier $base64Thumbprint  
                                    -Type AsymmetricX509Cert 
                                    -Usage Verify -Value $base64Value

但 AAD 清单上的结果是双 base64 编码：

"keyCredentials": [
        {
            "customKeyIdentifier": "base64(base64Thumbprint)",
            ...
        }
    ],

根据Microsoft identity platform application authentication certificate credentials

customKeyIdentifier 应该只base64 编码一次并存储在清单的 keyCredentials 上。

我是不是误用了这个 cmd 或者这里出了什么问题？因为在我将清单转换为 base64 编码一次后，一切正常。

感谢您的帮助。

Answer 1

根据我的测试，当我们使用 New-AzureADApplicationKeyCredential 为应用程序创建 KeyCredential 时，customKeyIdentifier 和 value 都是双 base64 编码的。

之后，我使用以下代码通过此证书获取访问令牌：

var app = ConfidentialClientApplicationBuilder.Create("{clientId}")
               .WithAuthority(AzureCloudInstance.AzurePublic, "{tenantId}")
               .WithCertificate(cer)
               .Build();
var result = await app.AcquireTokenForClient(new[] { "https://graph.microsoft.com/.default" }).ExecuteAsync();
Console.WriteLine(result.AccessToken);

我发现我们可以通过正确的角色成功获取访问令牌。

所以我认为New-AzureADApplicationKeyCredential base64 会再次编码customKeyIdentifier 和value。但是当我们使用 X509Certificate 获取访问令牌时，它也能正确处理它们。