问题：

IdentityServer4：从Azure AD获取访问令牌

连德义

2023-03-14

我使用Azure AD作为具有IdentityServer4的外部IdP。要调用受AzureAd保护的API，我需要从Azure Ad获取访问令牌。是否可以在登录过程中获取访问令牌并将其保存到声明中？

我正在使用IdentityServer4快速启动UI。我试图在外部令牌的回调方法中捕获访问令牌，但在HttpContext或声明或ProcessLoginCallbackForOidc方法中没有找到。

IdentityServer4 Azure Ad配置：

services.AddIdentityServer()
    .AddDeveloperSigningCredential()
    .AddInMemoryIdentityResources(Config.GetIdentityResources())
    .AddInMemoryApiResources(Config.GetApiResources())
    .AddInMemoryClients(Config.GetClients())
    .AddTestUsers(Config.GetUsers());

services.AddAuthentication()
    .AddOpenIdConnect("oidc", "Azure AD", options =>
    {
        options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;
        options.SignOutScheme = IdentityServerConstants.SignoutScheme;

        options.Authority = "https://login.microsoftonline.com/fredhutch.onmicrosoft.com/";
        options.ClientId = "<client id>";
        options.Resource = "app_id from azure ad";
        options.ClientSecret = "secret from azure ad";
        options.ResponseType = "code id_token";
        options.TokenValidationParameters = new TokenValidationParameters
        {
            NameClaimType = "sub",
            RoleClaimType = "role"
        };

    });

IdtyServer4中的客户端配置：

new Client
{
    ClientId = "mvc",
    ClientName = "MVC Client",
    ClientSecrets =
    {
        new Secret("secret".Sha256())
    },
    AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,

    RedirectUris = { "http://localhost:49341/signin-oidc" },
    PostLogoutRedirectUris = { "http://localhost:49341/signout-callback-oidc" },

    AllowedScopes = new List<string>
    {
        IdentityServerConstants.StandardScopes.OpenId,
        IdentityServerConstants.StandardScopes.Profile,
        "b03d4318-278d-40fc-b6b3-3cf47a0e6f4d"
    },
    AllowOfflineAccess=true
}

客户端（ASP.Net核心MVC）：

services.AddAuthentication(options =>
{
    options.DefaultScheme = "Cookies";
    options.DefaultChallengeScheme = "oidc";
})
.AddCookie("Cookies")
.AddOpenIdConnect("oidc", options =>
{
    options.SignInScheme = "Cookies";

    options.Authority = "idsrv4url";
    options.ClientId = "mvc";
    options.ClientSecret = "secret";

    options.SaveTokens = true;
    options.ResponseType = "code id_token";

    options.Scope.Clear();
    options.Scope.Add("openid");
    options.Scope.Add("profile");
    options.Scope.Add("b03d4318-278d-40fc-b6b3-3cf47a0e6f4d");
    options.Scope.Add("offline_access");

    options.GetClaimsFromUserInfoEndpoint = true;
    options.SaveTokens = true;

});

共有2个答案

公羊英达

2023-03-14

我能够让Azure ADid_token显示在ExternalController中。通过将SaveTokens标志添加到标识服务器OIDC设置中，QuickStart UI模板中的Callback（）（因此ProcessLoginCallbackForOidc（））：

services.AddIdentityServer()
    .AddDeveloperSigningCredential()
    .AddInMemoryIdentityResources(Config.GetIdentityResources())
    .AddInMemoryApiResources(Config.GetApiResources())
    .AddInMemoryClients(Config.GetClients())
    .AddTestUsers(Config.GetUsers());

services.AddAuthentication()
    .AddOpenIdConnect("oidc", "Azure AD", options =>
    {
        options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;
        options.SignOutScheme = IdentityServerConstants.SignoutScheme;

        options.Authority = "https://login.microsoftonline.com/fredhutch.onmicrosoft.com/";
        options.ClientId = "<client id>";
        options.Resource = "app_id from azure ad";
        options.ClientSecret = "secret from azure ad";
        options.ResponseType = "code id_token";
        options.TokenValidationParameters = new TokenValidationParameters
        {
            NameClaimType = "sub",
            RoleClaimType = "role"
        };
        options.SaveTokens = true;
    });

设置该标志后，以下代码现在将成功检索AAD id\u令牌：

//External OpenId Connect callback
public async Task<IActionResult> Callback()
{
    var result = await HttpContext.AuthenticateAsync(IdentityConstants.ExternalScheme);
    var id_token = result.Properties.GetTokenValue("id_token");
    ...
}

东郭和光

2023-03-14

您针对Azure AD的设置是一个隐式流，这意味着您只能获得授权代码和id令牌（基于您的响应类型=“代码id\u令牌”）。

您需要做的是订阅OnAuthorizationCodeReceived事件，并在此处请求访问令牌。

options.Events.OnAuthorizationCodeReceived= contex => {
    var authCode = contex.ProtocolMessage.Code;
    ...
    // Get token
    ...
};

你可以在这里找到更多信息https://docs.microsoft.com/en-us/azure/active-directory/develop/v1-protocols-oauth-code#use-the-authorization-code-to-request-an-access-token

类似资料：

获取Instagram访问令牌

获取访问令牌的文档中的第一步是“将用户引导到我们的授权URL”。那到底是什么意思？没有提供链接或任何东西。它还说“公司名称、联系电子邮件和隐私政策URL是开始提交的必要条件。”我们的应用程序没有隐私政策...只是一个简单的标签提要。我不明白为什么有一个简单的标签提要那么复杂。是否有一个等待时间来获得批准的应用程序..如果它得到批准...在获得访问令牌之前，我必须获得批准吗？这在任何地方都没有概述
无法从Spotify API获取访问令牌

我试图使用请求模块向https://accounts.spotify.com/api/token发出POST请求，以便获得访问令牌。我已经用我的Spotify开发帐户注册了重定向URI。这是我的快速<代码>/重定向路由。有人能看到这里可能出了什么问题吗？每次我得到的都是一个不伦不类的“哎呀！出了问题”错误页面。
用Java从刷新令牌中获取访问令牌
如何根据Identityserver4调试访问令牌验证

我使用IdentityServer4验证angular 4客户端以保护WebApi。但我在授权的情况下进入了401。我需要一种调试访问令牌验证过程的方法来帮助我解决问题。
使用Google API从刷新令牌获取访问令牌

我的问题是如何使用OAuth2.0从刷新令牌中获取访问令牌。我还没有找到任何从刷新令牌中获取访问令牌的例子。我参考了[Google+API参考]，但他们使用HTTP方法提到了它。2请用C#提供一些使用Google+API提供的方法的例子。
Microsoft图形-获取访问令牌

发布https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token http/1.1 但无法访问https://graph.microsoft.com/v1.0/users/{id}/calendars。我得到的信息与此类似：

IdentityServer4：从Azure AD获取访问令牌

共有2个答案

相关问答

相关文章

相关阅读

相关工具

相关文档