使用 Microsoft Graph API 获取 Azure AD 用户的 Entra ID

使用 Microsoft Graph API 获取 Azure AD 用户的 Entra ID
Gerald Girard
2024年3月26日星期二 下午3:29:35
GraphAPI

使用 Microsoft Graph API 解锁用户数据

Microsoft Graph API 集成到 .Net Web 应用程序中已成为寻求利用 Azure Active Directory (AD) 信息(包括基于电子邮件地址检索 Entra ID 等用户详细信息)的开发人员的基石。在管理基于云的应用程序中的用户访问和组成员身份时,此功能至关重要。该过程包括在 Azure 门户中注册应用程序、设置身份验证以及仔细配置 API 权限,以确保对用户数据的安全且经过授权的访问。

然而,开发人员经常遇到挑战,例如尽管看似设置了正确的权限,但在尝试获取用户数据时收到“权限不足”错误。此问题凸显了管理 API 权限的复杂性,并强调了了解 Microsoft Graph 权限模型细节的重要性。排查此类错误需要深入研究应用程序的权限配置并透彻理解 Graph API 文档,才能有效解决访问问题。

命令 描述
Azure.Identity 提供 Azure 身份验证所需的类(包括凭据)的命名空间。
Microsoft.Graph 包含与 Graph API 交互的客户端库的命名空间,支持与 Azure AD、Office 365 和其他 Microsoft 云服务进行操作。
GraphServiceClient 通过单个端点提供对 Microsoft Graph REST Web API 的访问,以与数百万用户的数据进行交互。
ClientSecretCredential 表示使用客户端密钥对服务主体进行身份验证的凭据,用于机密客户端应用程序。
TokenCredentialOptions 提供选项来配置发送到令牌服务的请求,例如用于身份验证的授权主机。
.Users.Request().Filter() 使用特定筛选器从 Microsoft Graph API 请求用户数据(例如电子邮件地址)的方法。
ServiceException 表示调用 Microsoft Graph 服务时发生的错误。
System.Net.HttpStatusCode.Forbidden 表示服务器理解该请求但拒绝授权。用于处理“权限不足”错误。

揭开用于 Azure AD 用户管理的 Microsoft Graph API 集成

提供的脚本可作为使用 C# .NET 与 Microsoft Graph API 交互的综合指南,专门用于根据 Azure AD 用户的电子邮件地址检索其 Entra ID。这些脚本的核心是通过 GraphServiceClient 对象与 Microsoft Graph 建立安全连接,并通过 Azure 中必要的凭据和权限设置来启用。第一个关键步骤涉及使用 Azure 应用程序注册详细信息(包括租户 ID、客户端 ID 和客户端密钥)配置 MicrosoftGraphService。此设置对于使用客户端凭据流对应用程序进行身份验证至关重要,确保应用程序可以在授予的权限下安全地访问 Microsoft Graph API。 GraphServiceClient 实例化后,它充当针对 Graph API 发出请求的网关,封装与 Microsoft 云服务通信所需的所有必要标头、令牌和请求配置。

设置完成后,脚本重点执行特定的 Graph API 请求以检索用户信息。 GetUserByEmailAsync 方法封装了根据提供的电子邮件地址在 Graph API 中查询用户对象的逻辑。这是通过使用 .Users.Request().Filter() 方法来实现的,该方法使用适当的 OData 过滤器构造图形 API 查询,以仅返回与给定电子邮件匹配的用户。处理潜在错误(例如“权限不足”)对于诊断权限相关问题至关重要。通过捕获 ServiceException 并检查其 StatusCode 可以解决此问题。此类详细的错误处理有助于开发与 Microsoft Graph 交互的强大应用程序,提供有关 API 调用期间遇到的任何问题的性质的清晰反馈,从而促进更顺畅的集成过程并确保对 Azure AD 中的用户数据进行安全、授权的访问。

使用 Microsoft Graph API 获取 Azure AD 用户 Entra ID

C# .NET 实现

using Azure.Identity;
using Microsoft.Graph;
using System.Threading.Tasks;
public class MicrosoftGraphService
{
    private readonly GraphServiceClient _graphServiceClient;
    public MicrosoftGraphService(IConfiguration configuration)
    {
        var tenantId = configuration["MicrosoftGraph:TenantId"];
        var clientId = configuration["MicrosoftGraph:ClientId"];
        var clientSecret = configuration["MicrosoftGraph:Secret"];
        var clientSecretCredential = new ClientSecretCredential(tenantId, clientId, clientSecret, new TokenCredentialOptions { AuthorityHost = AzureAuthorityHosts.AzurePublicCloud });
        _graphServiceClient = new GraphServiceClient(clientSecretCredential, new[] { "https://graph.microsoft.com/.default" });
    }
    public async Task<User> GetUserByEmailAsync(string emailAddress)
    {
        try
        {
            var user = await _graphServiceClient.Users.Request().Filter($"mail eq '{emailAddress}'").GetAsync();
            if (user.CurrentPage.Count > 0)
                return user.CurrentPage[0];
            else
                return null;
        }
        catch (ServiceException ex)
        {
            // Handle exception
            return null;
        }
    }
}

图 API 请求的错误处理和权限验证

C# .NET 错误处理方法

public async Task<GraphUser> GetUserAsync(string emailAddress)
{
    try
    {
        var foundUser = await _graphServiceClient.Users[emailAddress].Request().GetAsync();
        return new GraphUser()
        {
            UserId = foundUser.Id,
            DisplayName = foundUser.DisplayName,
            Email = emailAddress
        };
    }
    catch (ServiceException ex) when (ex.StatusCode == System.Net.HttpStatusCode.Forbidden)
    {
        // Log the insufficient permissions error
        Console.WriteLine("Insufficient privileges to complete the operation.");
        return null;
    }
    catch
    {
        // Handle other exceptions
        return null;
    }
}

使用 .NET 应用程序中的 Microsoft Graph API 提高安全性和效率

除了检索用户详细信息之外,探索 Microsoft Graph API 还可以揭示其在增强应用程序安全性和运营效率方面的巨大潜力。 Microsoft Graph API 提供了用于访问 Microsoft 云服务数据的统一端点,包括 Azure Active Directory、Office 365 等。这种集成使开发人员能够利用广泛的数据来构建丰富的上下文感知应用程序。一个关键方面是管理应用程序权限和安全性,确保应用程序仅具有执行其任务所需的访问权限。这不仅遵循最小权限原则,还简化了应用程序权限的管理,从而减少了潜在安全漏洞的范围。

此外,Microsoft Graph API 对差异查询的支持可以显着优化数据同步任务,减少网络流量并提高应用程序响应能力。通过仅获取自上次查询以来的更改,应用程序可以有效地了解最新数据,而无需检索整个数据集的开销。此功能与 Microsoft Graph 丰富的查询和筛选选项相结合,可以开发高效且响应迅速的应用程序,这些应用程序可以对 Microsoft 生态系统中的变化做出实时反应。

面向 .NET 开发人员的 Microsoft Graph API 基本常见问题解答

  1. 问题: 什么是 Microsoft Graph API?
  2. 回答: Microsoft Graph API 是一个统一的 RESTful Web API,使应用程序能够跨 Microsoft 365 服务访问大量数据,包括 Azure Active Directory、Exchange Online、SharePoint 等。
  3. 问题: 如何在 .NET 应用程序中使用 Microsoft Graph API 进行身份验证?
  4. 回答: 使用 Microsoft Graph API 进行身份验证通常涉及使用 OAuth 2.0 协议从 Microsoft 身份平台获取令牌。在 .NET 中,这可以使用 Microsoft 身份验证库 (MSAL) 或 Azure Identity 库来实现。
  5. 问题: 我可以使用 Microsoft Graph API 管理 Azure AD 用户和组吗?
  6. 回答: 是的,Microsoft Graph API 提供了用于管理 Azure AD 用户和组的全面功能,包括创建、更新、删除和检索用户和组对象。
  7. 问题: 在 Microsoft Graph API 中使用用户所需的常见权限范围有哪些?
  8. 回答: 用户相关操作的常见权限范围包括 User.Read、User.ReadWrite、User.ReadBasic.All、User.Read.All 和 User.ReadWrite.All,具体取决于所需的访问级别。
  9. 问题: 使用 Microsoft Graph API 时如何处理错误和权限不足?
  10. 回答: 错误处理涉及捕获 API 引发的异常并检查错误代码。权限不足通常需要在 Azure 门户中检查和调整授予应用程序的权限范围。

使用 Microsoft Graph API 结束集成之旅

Microsoft Graph API 集成到 .NET 应用程序中以访问 Azure Active Directory 信息(包括通过电子邮件地址检索用户的 Entra ID),展示了访问便利性和安全性之间的复杂平衡。这一探索表明,即使采用正确的设置(应用程序注册、身份验证流程配置和权限授予),开发人员也可能面临“权限不足”错误等障碍。这些挑战凸显了深入了解 Microsoft Graph 的权限模型和 Azure AD 环境的重要性。成功应对这些挑战不仅可以增强应用程序安全性,还可以确保无缝的用户管理体验。因此,虽然 Graph API 提供了用于管理 AD 用户的强大工具,但对 API 权限配置的细致关注和仔细的错误处理至关重要。对 Graph API 集成进行设置和故障排除的过程对于开发人员来说是一个宝贵的学习曲线,强调了精确权限设置的重要性以及在构建安全高效的应用程序时全面的错误处理策略的需要。