如何从 Azure Graph API 获取基于用户的令牌

Question

我有一个 Azure Active Directory，在我的 Web Api 中有一段代码，我可以使用我在 Azure 中注册的应用程序和客户端证书从 Azure Graph Api 获取令牌。 这是我现在使用的代码：

public static string AcquireServiceToken()
{
    var authority = string.Format(_authority, "common");
    var authContext = new AuthenticationContext(authority);

    var result = authContext.AcquireToken(_serviceTokenResourceId, new ClientAssertionCertificate(_serviceTokenClientId, GetClientCertificate(_certThumbprint)));
    return result.AccessToken;
}

这个sn-p代码工作得很好，现在我需要的是一个更具体的令牌，它具有登录用户的上下文，所以基本上我需要能够传入用户名和密码并取回一个图形令牌来自天青。 有什么想法吗？

Answer 1

Web API 可以通过 onbehalfof 流获取新令牌，以当前用户身份访问另一个 Web API（在本例中为 Graph）。有关示例，请参阅https://github.com/Azure-Samples/active-directory-dotnet-webapi-onbehalfof。不建议直接使用用户名和密码，绝不应在 Azure AD 自己的页面之外收集凭据，在这种特定情况下，它将无法正常工作（或将很快停止工作）

Answer 2

AcquireToken 有另一个重载，它接受一个 UserCredential 对象，U 假设您可以使用它（您需要 Active Directory 的 TenantId，用户需要为其获取令牌）

您的函数将如下所示：（请用您自己的应用程序信息填写_variables）

public static string AcquireTokenWithoutUserCredentials(string userName, string password)
{
    var authContext = new AuthenticationContext(string.Format(_authority, _userTokenTenantId));
    var userCreds = new UserCredential(userName, password);
    var result = authContext.AcquireToken(_resourceId, _userTokenClientId, userCreds);
    return result.AccessToken;
}

查看您的代码，您似乎有一个多租户场景，在该场景中，您使用“common”作为 TenatName，我不确定使用我粘贴在此处的代码如何/是否可以使用，但试一试...