为了自动维护 Azure 数字孪生实例,我们需要服务到服务 API 访问,以便我们可以使用 Azure 中间层选项作为守护程序应用程序(例如逻辑应用程序或函数)运行。
但是,在 Azure Active Directory 中注册应用程序时,Azure 数字孪生“预览版”API(资源 id:0b07f429-9f4b-4714-9392-cc5e8e80c8b0)不支持应用程序权限(仅限委派权限)。但是,相关的 Microsoft Graph API(资源 id:00000003-0000-0000-c000-000000000000)支持这两种权限类型。
目前是否有任何方法无需登录 AAD 帐户(即使用“client_credentials”授权类型)即可对 Azure 数字孪生 API 的访问进行身份验证?
【问题讨论】:
标签: azure-active-directory microsoft-identity-platform azure-digital-twins
要使用客户端凭据流,您需要应用程序权限。如果 API 中只定义了 Delegated Permission,您可以使用已登录的用户帐户访问 API,例如授权码流程。
在您的情况下,选项是On-Behalf-Of flow。
用户使用授权码流或其他登录流向中间层应用程序进行身份验证
在身份验证期间获取 OAuth 2.0 On-Behalf-Of 令牌
然后,获取的令牌用于使用 On-Behalf-Of 流向更下游的 API 进行身份验证或调用 API
有关详细信息,请查看此文档 - Call Digital Twins from a middle-tier web API。
【讨论】:
首先,您需要将在 Azure AD 中注册的控制台应用程序的新角色 (RABC) 添加到 azure 数字孪生实例中。
为控制台应用创建客户端密码。
private static DigitalTwinsClient GetDigitalTwinsClient(string tenantId, string clientId, string clientSecret, string adtEndpoint)
{
Environment.SetEnvironmentVariable("AZURE_CLIENT_SECRET", clientSecret);
Environment.SetEnvironmentVariable("AZURE_CLIENT_ID", clientId);
Environment.SetEnvironmentVariable("AZURE_TENANT_ID", tenantId);
var tokenCredential = new DefaultAzureCredential();
var client = new DigitalTwinsClient(
new Uri(adtEndpoint),
tokenCredential, new DigitalTwinsClientOptions
{ Transport = new HttpClientTransport(httpClient) });
return client;
}
【讨论】: