使用Azure AD通过OAuth2对Azure API管理进行身份验证
beewest
我正在通过阅读文章尝试通过OAuth2使用OAuth2保护APIM API:通过对Azure AD使用OAuth 2.0授权来保护Azure API管理中的Web API后端
AzureAPIM-OAuth2
- 授权端点URL(v1):https : //login.microsoftonline.com/ {tenant}/oauth2/ authorize
- 令牌端点URL(v1):https : //login.microsoftonline.com/ {tenant}/oauth2/ token
- 客户端ID:客户端应用ID
- 重定向URI :(不建议使用的门户):https://xxx-api.portal.azure-api.net/docs/services/auth1/console/oauth2/authorizationcode/callback
AzureAD-后端应用程序:
- 范围:Files.All
AzureAD-客户端应用程序:
- 机密密钥:xxx
- 重定向网址:仅适用于APIM中已弃用的门户网站(https://xxx-api.portal.azure-api.net/docs/services/auth1/console/oauth2/authorizationcode/callback)
对于Demo Conference API,将“验证JWT”策略添加到入站处理中,其中入站3a0cf09b-IDb7c31179-为后端应用程序应用ID:
在开发人员门户中,使用返回令牌对AzureAD进行身份验证成功: 
但是,调用API会导致授权失败: 
检查jwt.io中收到的令牌,我发现"aud": "00000003-0000-0000-c000-000000000000"不是后端应用程序应用程序ID:
{
"aud": "00000003-0000-0000-c000-000000000000",
"iss": "https://sts.windows.net/3a0cf09b-xxx/",
"app_displayname": "client-app",
"appid": "05a245fb-xxx",
"scp": "Files.Read User.Read profile openid email",
"tenant_region_scope": "OC",
"tid": "3a0cf09b-2952-4673-9ace-0e1bf69ee23a",
"unique_name": "[email protected]",
}
API测试HTTP响应跟踪显示validate-jwt上的错误:
validate-jwt (-0.138 ms)
{
"message": "JWT Validation Failed: Claim value mismatch: aud=b7c31179-xxx.."
}
更换aud由值令牌00000003-0000-0000-c000-000000000000或取出required-claims的在validate-jwt政策得到它的工作。
Any idea please?
Hury Shen
It seems you choose v1 endpoint of OAuth2 authorization but not v2 endpoint, so the value of aud in access token should be like b7c31179-xxxx.... but not api://b7c31179-xxxx..... So there are no mistakes in your steps of get access token.
According to some test in my side, the cause of this problem is you did not specify a parameter resource with the value of the backend-app application id when you configure OAuth2.0 in your APIM. The document you refer to also mentions this (I test with not specify this parameter, it shows same problem with yours) 
So to solve this problem, please go to your APIM and click "OAuth 2.0" tab, edit the item you created. Add a parameter resource with value of the backend-app application id. 
注意:添加参数resource并单击“保存”按钮时,请再次打开该项目,并检查“客户端密码”框是否为空。当我在一边测试时,“添加参数”框后的“客户端密码”框显示为空resource,这可能是该页面上的错误。如果“客户密码”为空,则可能会显示错误消息,例如The request body must contain the following parameter: 'client_assertion' or 'client_secret'在开发人员门户中获取访问令牌时。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
编辑于
相关文章
TOP 榜单
- 1
Linux的官方Adobe Flash存储库是否已过时?
- 2
用日期数据透视表和日期顺序查询
- 3
应用发明者仅从列表中选择一个随机项一次
- 4
Java Eclipse中的错误13,如何解决?
- 5
在Windows 7中无法删除文件(2)
- 6
在 Python 2.7 中。如何从文件中读取特定文本并分配给变量
- 7
套接字无法检测到断开连接
- 8
带有错误“ where”条件的查询如何返回结果?
- 9
有什么解决方案可以将android设备用作Cast Receiver?
- 10
Mac OS X更新后的GRUB 2问题
- 11
ggplot:对齐多个分面图-所有大小不同的分面
- 12
验证REST API参数
- 13
如何从视图一次更新多行(ASP.NET - Core)
- 14
尝试反复更改屏幕上按钮的位置 - kotlin android studio
- 15
计算数据帧中每行的NA
- 16
检索角度选择div的当前值
- 17
离子动态工具栏背景色
- 18
UITableView的项目向下滚动后更改颜色,然后快速备份
- 19
VB.net将2条特定行导出到DataGridView
- 20
蓝屏死机没有修复解决方案
- 21
通过 Git 在运行 Jenkins 作业时获取 ClassNotFoundException
我来说两句