快速入门：在示例守护程序应用中调用 Web API

• 最低要求 .NET 6.0 SDK。
• Visual Studio 2022 或 Visual Studio Code。

• Node.js。
• Visual Studio Code 或其他代码编辑器。

• Python 3+。
• Visual Studio Code 或其他代码编辑器。

• Java 开发工具包 （JDK） 8 或更高版本。
• Maven。
• 合适的代码编辑器。

对于 .NET 守护程序应用，无需授予和同意任何权限。 此守护程序应用读取其自己的应用注册信息，因此无需授予任何应用程序权限即可执行此作。

1. 从“应用注册”页中，选择创建的应用程序（例如 ciam-client-app）。

2. 在“ 管理”下，选择 API 权限。

3. 在“已配置权限”下，选择“添加权限”。

4. 在 “Microsoft API ”选项卡下，选择 Microsoft Graph >> 应用程序权限。 选择 “应用程序权限 ”选项，因为应用以自身身份登录，但不能代表用户登录。

5. 在 “选择权限 ”列表中，搜索并选择 “User.Read.All”。 我们授予此权限，以便应用程序可以读取所有用户的完整资料。

6. 选择“添加权限”按钮。

7. 此时，你已正确分配了权限。 但是，由于守护程序应用不允许用户与之交互，因此用户本身无法同意这些权限。 作为租户管理员，必须代表租户中的所有用户同意这些权限：

   1. 选择“为<租户名称>授予管理员同意”，然后选择“是”。
   2. 选择“刷新”，然后验证两个权限的“状态”下是否均显示“已为 租户名称< 授予”>。

1. 从“应用注册”页中，选择创建的应用程序（例如 ciam-client-app）。

2. 在“ 管理”下，选择 API 权限。

3. 在“已配置权限”下，选择“添加权限”。

4. 在 “Microsoft API ”选项卡下，选择 Microsoft Graph >> 应用程序权限。 选择 “应用程序权限 ”选项，因为应用以自身身份登录，但不能代表用户登录。

5. 在 “选择权限 ”列表中，搜索并选择 “User.Read.All”。 我们授予此权限，以使应用能够读取所有用户的完整档案。

6. 选择“添加权限”按钮。

7. 此时，你已正确分配了权限。 但是，由于守护程序应用不允许用户与之交互，因此用户本身无法同意这些权限。 作为租户管理员，必须代表租户中的所有用户同意这些权限：

   1. 选择“为<租户名称>授予管理员同意”，然后选择“是”。
   2. 选择“刷新”，然后验证两个权限的“状态”下是否均显示“已为 租户名称< 授予”>。

1. 从“应用注册”页中，选择创建的应用程序（例如 ciam-client-app）。

2. 在“ 管理”下，选择 API 权限。

3. 在“已配置权限”下，选择“添加权限”。

4. 在 “Microsoft API ”选项卡下，选择 Microsoft Graph >> 应用程序权限。 选择 “应用程序权限 ”选项，因为应用以自身身份登录，但不能代表用户登录。

5. 在 “选择权限 ”列表中，搜索并选择 “User.Read.All”。 我们授予此权限，以便应用程序可以读取所有用户的完整配置文件。

6. 选择“添加权限”按钮。

7. 此时，你已正确分配了权限。 但是，由于守护程序应用不允许用户与之交互，因此用户本身无法同意这些权限。 作为租户管理员，必须代表租户中的所有用户同意这些权限：

   1. 选择“为<租户名称>授予管理员同意”，然后选择“是”。
   2. 选择“刷新”，然后验证两个权限的“状态”下是否均显示“已为 租户名称< 授予”>。

git clone https://github.com/Azure-Samples/ms-identity-docs-code-dotnet.git

• 下载 .zip 文件。 将其解压缩到名称长度少于 260 个字符的文件路径。

git clone https://github.com/azure-samples/ms-identity-javascript-nodejs-console.git 

• 下载 .zip 文件。 将其解压缩到名称长度少于 260 个字符的文件路径。

git clone https://github.com/Azure-Samples/ms-identity-python-daemon.git 

• 下载 .zip 文件。 将其解压缩到名称长度少于 260 个字符的文件路径。

git clone https://github.com/Azure-Samples/ms-identity-java-daemon.git

• 下载 .zip 文件。 将其解压缩到名称长度少于 260 个字符的文件路径。

1. 打开控制台窗口，然后导航到 ms-identity-docs-code-dotnet/console-daemon 目录：

   cd ms-identity-docs-code-dotnet/console-daemon
   

2. 打开 Program.cs ，并将文件内容替换为以下代码片段;

    // Full directory URL, in the form of https://login.partner.microsoftonline.cn/<tenant_id>
    Authority = " https://login.partner.microsoftonline.cn/Enter_the_tenant_ID_obtained_from_the_Microsoft_Entra_admin_center",
    // 'Enter the client ID obtained from the Microsoft Entra admin center
    ClientId = "Enter the client ID obtained from the Microsoft Entra admin center",
    // Client secret 'Value' (not its ID) from 'Client secrets' in the Microsoft Entra admin center
    ClientSecret = "Enter the client secret value obtained from the Microsoft Entra admin center",
    // Client 'Object ID' of app registration in Microsoft Entra admin center - this value is a GUID
    ClientObjectId = "Enter the client Object ID obtained from the Microsoft Entra admin center"
   

   • Authority - 颁发机构是一个 URL，表示 MSAL 可从中请求令牌的目录。 将 Enter_the_tenant_ID_obtained_from_the_Microsoft_Entra_admin_center 替换为先前记录下来的 目录（租户）ID 值。
   • ClientId - 应用程序的标识符，也称为客户端。 将引号中的文本替换为先前在注册应用程序的概述页中记录的 Application (client) ID 值。
   • ClientSecret - 在 Microsoft Entra 管理中心为应用程序创建的客户端密码。 输入客户端密码 的值 。
   • ClientObjectId - 客户端应用程序的对象 ID。 用您之前从已注册应用程序概述页中记录的Object ID值替换引号中的文本。

在编辑器中，打开 .env 文件，然后替换占位符：

• Enter_the_Application_Id_Here 使用之前注册的应用程序（客户端）ID。
• Enter_the_Tenant_Id_Here 使用员工租户的租户 ID。
• Enter_the_Client_Secret_Here 使用之前创建的客户端密钥。
• 带 Enter_the_Cloud_Instance_Id_Here 的 https://login.partner.microsoftonline.cn。
• 带 Enter_the_Graph_Endpoint_Here 的 https://microsoftgraph.chinacloudapi.cn/。

1. 导航到 1-Call-MsGraph-WithSecret 目录。

2. 在编辑器中，打开 parameters.json 文件并替换占位符：

   • Enter_the_Application_Id_Here 使用之前注册的应用程序（客户端）ID。
   • Enter_the_Tenant_Id_Here 使用员工租户的租户 ID。
   • Enter_the_Client_Secret_Here 使用之前创建的客户端密钥。

1. 导航到 msal-client-credential-secret 目录。

2. 请在编辑器中打开 src\main\resources\application.properties 文件，并替换其中的占位符。

   • Enter_the_Application_Id_Here 使用之前注册的应用程序（客户端）ID。
   • Enter_the_Tenant_Id_Here 使用员工租户的租户 ID。
   • Enter_the_Client_Secret_Here 使用之前创建的客户端密钥。

在控制台窗口中，运行以下命令以生成并运行应用程序：

dotnet run

应用程序成功运行后，它会显示类似于以下代码片段的响应（为简洁起见缩短）：

{
"@odata.context": "https://microsoftgraph.chinacloudapi.cn/v1.0/$metadata#applications/$entity",
"id": "00001111-aaaa-2222-bbbb-3333cccc4444",
"deletedDateTime": null,
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"applicationTemplateId": null,
"disabledByMicrosoftStatus": null,
"createdDateTime": "2021-01-17T15:30:55Z",
"displayName": "identity-dotnet-console-app",
"description": null,
"groupMembershipClaims": null,
...
}

守护程序应用程序可以代表自身（而不是用户）获取一个令牌。 用户无法与守护程序应用程序交互，因为它需要自己的标识。 这种类型的应用程序通过使用其应用程序标识来请求访问令牌，方法是显示其应用程序 ID、凭据（机密或证书）和应用程序 ID URI。 守护程序应用程序使用标准的 OAuth 2.0 客户端凭据授予流 来获取访问令牌。

应用从Microsoft标识平台获取访问令牌。 访问令牌的使用范围限定于 Microsoft Graph API。 然后，应用使用访问令牌从 Microsoft Graph API 请求自己的应用程序注册详细信息。 只要访问令牌具有正确的权限，应用就可以从 Microsoft 图形 API 请求任何资源。

此示例演示无人参与的作业或 Windows 服务如何使用应用程序标识而不是用户的标识运行。

1. 若要安装依赖项，请运行以下命令：

   npm install
   

2. 使用以下命令运行应用程序：

   node . --op getUsers
   

如果应用程序成功运行，应该能够看到一个 JSON 格式的输出，表示工作租户中所有用户的列表。 它类似于以下代码片段：

{
  '@odata.context': 'https://microsoftgraph.chinacloudapi.cn/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.partner.onmschina.cn',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

守护程序应用程序可以代表自身（而不是用户）获取一个令牌。 用户无法与守护程序应用程序交互，因为它需要自己的标识。 这种类型的应用程序通过使用其应用程序标识来请求访问令牌，方法是显示其应用程序 ID、凭据（机密或证书）和应用程序 ID URI。 守护程序应用程序使用标准的 OAuth 2.0 客户端凭据授予流 来获取访问令牌。

应用从Microsoft标识平台获取访问令牌。 访问令牌的使用范围限定于 Microsoft Graph API。 然后，应用使用访问令牌从 Microsoft Graph API 读取租户中的所有用户。 只要访问令牌具有正确的权限，应用就可以从 Microsoft 图形 API 请求任何资源。 在这种情况下，我们授予了应用 User.Read.All 应用权限，以便读取所有用户的完整配置文件。

此示例演示无人参与的作业或 Windows 服务如何使用应用程序标识而不是用户的标识运行。

1. 若要安装依赖项，请运行以下命令：

   pip install -r requirements.txt
   

2. 若要运行应用程序，请使用以下命令：

   python confidential_client_secret_sample.py parameters.json
   

如果应用程序成功运行，您应该会看到一个以 JSON 格式呈现的输出，显示您的员工租户中所有用户的列表。 它类似于以下代码片段：

{
  '@odata.context': 'https://microsoftgraph.chinacloudapi.cn/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.partner.onmschina.cn',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

守护程序应用程序可以代表自身（而不是用户）获取一个令牌。 用户无法与守护程序应用程序交互，因为它需要自己的标识。 这种类型的应用程序通过使用其应用程序标识来请求访问令牌，方法是显示其应用程序 ID、凭据（机密或证书）和应用程序 ID URI。 守护程序应用程序使用标准的 OAuth 2.0 客户端凭据授予流 来获取访问令牌。

应用从Microsoft标识平台获取访问令牌。 访问令牌的使用范围限定于 Microsoft Graph API。 然后，应用使用访问令牌从 Microsoft Graph API 读取租户中的所有用户。 只要访问令牌具有正确的权限，应用就可以从 Microsoft 图形 API 请求任何资源。 在这种情况下，我们授予了应用 User.Read.All 应用权限，以便读取所有用户的完整配置文件。

此示例演示无人参与的作业或 Windows 服务如何使用应用程序标识而不是用户的标识运行。

可以通过在 IDE 中运行 ClientCredentialGrant.java 的主方法来测试示例应用程序。

1. 在控制台中运行以下命令：

   $ mvn clean compile assembly:single
   

   此命令在 /targets 目录中生成msal-client-credential-secret-1.0.0.jar文件。

2. 导航到 /targets 目录，然后使用以下命令运行 Java 可执行文件：

   $ java -jar msal-client-credential-secret-1.0.0.jar
   

如果应用成功运行，您应该会看到 JSON 格式的输出，展示劳动力租户中所有用户的列表。 它类似于以下代码片段：

{
  '@odata.context': 'https://microsoftgraph.chinacloudapi.cn/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.partner.onmschina.cn',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

守护程序应用程序可以代表自身（而不是用户）获取一个令牌。 用户无法与守护程序应用程序交互，因为它需要自己的标识。 这种类型的应用程序通过使用其应用程序标识来请求访问令牌，方法是显示其应用程序 ID、凭据（机密或证书）和应用程序 ID URI。 守护程序应用程序使用标准的 OAuth 2.0 客户端凭据授予流 来获取访问令牌。

应用从Microsoft标识平台获取访问令牌。 访问令牌的使用范围限定于 Microsoft Graph API。 然后，应用使用访问令牌从 Microsoft Graph API 读取租户中的所有用户。 只要访问令牌具有正确的权限，应用就可以从 Microsoft 图形 API 请求任何资源。 在这种情况下，我们授予了应用 User.Read.All 应用权限，以便读取所有用户的完整配置文件。

此示例演示无人参与的作业或 Windows 服务如何使用应用程序标识而不是用户的标识运行。

• 通过系列 教程构建此 ASP.NET Web 应用，了解如何将应用程序注册到Microsoft标识平台。

• 快速入门：将 ASP.NET Web 应用部署到 Azure 应用服务

• 了解如何 生成调用 Web API 的 Node.js 守护程序应用程序。

• 了解如何 生成调用 Web API 的 Python 守护程序应用程序

• 了解如何 生成调用 Web API 的 Java 守护程序应用程序