c# - 如何使用 MSAL 代表使用 AAD v1 的用户获取访问令牌？

问题描述

我有一个 Web 应用程序 (Angular 7)，它使用MSAL Angular对 Azure AD 用户进行身份验证，并获取访问令牌以访问我的 Web API (.NET 4.6)。这两个应用程序都已在 Azure 门户中注册，具有以下权限，如下所述：

• Web App：user_impersonation用于 Web API（委托）
• Web API：User.Read; Mail.Send用于 MS Graph（委托）

现在我想使用 ADAL for .NET 从 Web API 调用 Microsoft Graph，以代表用户获取一些数据。

按照这个说明我应该配置consentScopes，protectedResourceMap但由于我使用 AAD v1，我不能在增量同意的情况下使用范围。

我应该如何配置我的 Web 应用程序以获取 Web API 和 MS Graph 的访问令牌？

我发现可以使用 MSAL.js 获取 AAD v1.0 的令牌（并且我能够与我的 Web API 进行通信），但我不知道如何配置它以代表用于通信 Web 的流带有 MS Graph 的 API。

更新

以下是从 Web API 发出访问令牌请求的代码：

string accessToken = null;
var userAssertion = new UserAssertion(
    <userAccessToken>, 
    "urn:ietf:params:oauth:grant-type:jwt-bearer", 
    userName);
var authority = "https://login.microsoftonline.com/" + <tenant> + "/";
var clientCredencial = new ClientCredential(<clientId>, <clientSecret>);
var authContext = new AuthenticationContext(authority, null);

try
{
    var authResult = await authContext.AcquireTokenAsync(
        "https://graph.microsoft.com", 
        clientCredencial, 
        userAssertion);
    accessToken = authResult.AccessToken;
}
catch (AdalServiceException ex) { throw; }

Web App在 Web API 清单中添加为knownClientApplications ：

"knownClientApplications": [
    "<WebAppAppId>"
],

这些是在 Web App (MsalModule) 中设置的范围：

consentScopes:
[
    'https://webapi.example.com/user_impersonation'
],

在这种情况下，Web App 在同意屏幕上需要以下权限：

• 访问WebAPI 名称
• 随时访问您的数据
• 查看您的基本资料

如果我尝试获取 MS Graph 的访问令牌，则会收到错误消息：

{“AADSTS65001：用户或管理员未同意使用 ID 为“WebApiClientId”、名为“WebApiAppName”的应用程序。为此用户和资源发送交互式授权请求。}

标签： c#azure-active-directorymicrosoft-graph-apiadalmsal