azure - 如何使用 Azure B2C 处理多个 API

Question

我需要帮助来了解 Azure B2C 在需要多个 API 的情况下如何工作。

我们在这个样本中: https://api01.azurefunction.com/ https://api02.azurefunction.com/

https://app.azuresites.com/

B2C实例示例.onmicrosoft.com

API01公开范围: https://samples.onmicrosoft.com/api01/read

API02公开范围: https://samples.onmicrosoft.com/api02/write

WebApp 使用 MSAL.NET (Microsoft.Identity.Client 4.9.0)，并且只能请求一个 API 的范围。任何请求两个不同资源范围的尝试都将失败，如果使用 ConfidentialClientApplicationBuilder，则这是 AD/B2C 中的限制。

我尝试通过请求范围来启动到 STS 的多次往返，但失败了。即使它可以工作，由于可能会显示同意屏幕，因此不能考虑将其用于生产用途。

在这一点上，我需要建议如何在当前情况下工作。

我有多种选择:

1. 为这些 API 实现外观并提供单点请求数据。但这至少有消耗资源的缺点。 B2C 中不支持代表的其他重大限制。因此，我需要发明如何使用传入的安全上下文调用底层 Azure Functions。

2. 使用 API 管理实例与 AD 集成，但对于我们的项目来说价格太大(约 2K/月)

3. 使用“黑客”为受 AD 保护的 Azure 函数定义“允许的 token 受众”，以允许接受为一个资源获取但发送到另一个资源的 token 。这项工作有效，但我的范围将受到限制，因为范围列表将由获取 token 的资源定义。作为一种变体，我可以注册“假”应用程序并始终获取该应用程序的 token 。

4. 在 Azure Function 中实现自定义 AccessToken 绑定(bind)器并完全发明轮子:(

选项 #3 看起来不错。有一些限制，但我希望我能解决这个问题。

但最后，如果我需要与 Azure API(例如 AD Graph API)进行通信，如何获取 token ？使用 RBAC？

请协助解决此问题。

Answer 1

如果您使用Web应用程序，建议使用Microsoft.Identity.Web库而不是 MSAL.NET。

这是我在 Blazor Server 应用程序中的配置(在 Program.cs 文件中):

builder.Services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
    .AddMicrosoftIdentityWebApp(builder.Configuration, "AzureAdB2CConfiguration")
    .EnableTokenAcquisitionToCallDownstreamApi()
    .AddInMemoryTokenCaches();

正如您在上面所看到的，我正在使用 EnableTokenAcquisitionToCallDownstreamApi() 方法，该方法将允许获取访问 token 来调用多个 API。

此外，正如您所看到的，还有 AddInMemoryTokenCaches() 方法，它将在内存中存储访问 token 。对于生产场景，您应该使用一些外部存储，例如 Redis、CosmosDB 或 SQL db。您可以阅读有关这些选项的更多信息 here .

现在，在您的 Web 应用程序代码中，您可以访问 ITokenAcquisition 接口(interface)实现，这使您能够获取多个 API 的访问 token 。以下是我的网络应用程序中用于调用 API 的服务之一:

internal class UserManagementApiService
 {
    private readonly HttpClient _httpClient;
    protected readonly ITokenAcquisition _tokenAcquisition;
    private readonly IUserManagementApiConfiguration _userManagementApiConfiguration;

public UserManagementApiService(HttpClient httpClient,
            ITokenAcquisition tokenAcquisition,
            IUserManagementApiConfiguration userManagementApiConfiguration)
{
    _httpClient = httpClient;
    _tokenAcquisition = tokenAcquisition;
    _userManagementApiConfiguration = userManagementApiConfiguration;
}

public async Task<HttpResponseMessage> CreateUserAsync(NewUserAccount userAccount)
{
    await GetAndAddApiAccessTokenToAuthorizationHeaderAsync();
    var request = new HttpRequestMessage()
    {
        Method = HttpMethod.Post,
        RequestUri = new Uri($"{_userManagementApiConfiguration.Url}/new-user")
    };
    request.Content = new StringContent(JsonSerializer.Serialize(userAccount), Encoding.UTF8, "application/json");
    var response = await _httpClient.SendAsync(request);

    return response;
}


protected async Task GetAndAddApiAccessTokenToAuthorizationHeaderAsync()
{
    string accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(new[] { _userManagementApiConfiguration.Scope },
                                                                            authenticationScheme: OpenIdConnectDefaults.AuthenticationScheme);
    _httpClient.DefaultRequestHeaders.Authorization
                                      = new AuthenticationHeaderValue("Bearer", accessToken);

}

正如您在上面看到的，我使用 _tokenAcquisition.GetAccessTokenForUserAsync() 方法来获取特定 API 的访问 token 。作为参数，我必须提供特定的 API 范围。

另请记住，您必须在 Azure AD B2C 门户中的 API 权限 选项卡下为已注册的 Web 应用从 Web 应用授予 API 权限:

通过这种方法，您可以请求多个 AP 的访问 token 。在一个请求中不可能同时获取多个访问 token 。您始终根据您在 AD B2C 请求中添加的范围获取特定资源的一个访问 token 。

通过这种方法，您还可以确保实现精细授权，并且不会在不同 API 之间混合受众参数。

我希望这会有所帮助。