使用 Adal 代表用户访问 Azure KeyVault

2024-05-19

以下是控制台应用程序和 ClientID，RedirectUri 来自 azure Active Directory 中创建的本机应用程序。

var authContext = new AuthenticationContext(string.Format("https://login.windows.net/{0}","common"),new FileCache());
var token = authContext.AcquireToken("https://management.core.windows.net/", ClientID, RedirectUri, PromptBehavior.Auto);

我现在有了与管理 api 对话的令牌。

 using (var client = new KeyVaultManagementClient(new TokenCloudCredentials(SubscriptionId, token.AccessToken)))
 {
     var a = client.Vaults.List(resourceGroup, 10);
     foreach(var vault in a.Vaults)
     {
           var vaultInfo = client.Vaults.Get(resourceGroup, vault.Name);
           Console.WriteLine(JsonConvert.SerializeObject(vaultInfo.Vault, Formatting.Indented));
           //Verifying that the AccessPolicies contains my object id (pasting idtoken into jwt.io and compare with oid claim) Success.

           // Now its time to talk with keyvault
           var keyvault = new KeyVaultClient(GetAccessTokenAsync);
           var secrets = keyvault.GetSecretsAsync(vaultInfo.Vault.Properties.VaultUri).GetAwaiter().GetResult();

     }

 }


 private static Task<string> GetAccessTokenAsync(string authority, string resource, string scope)
 {
         var context = new AuthenticationContext(authority, new FileCache());
        var result = context.AcquireToken(resource, new ClientCredential(AppClientId,AppKey));

        return Task.FromResult(result.AccessToken);

 }

以上工作正常，但要求我在我的 AD 上创建一个可以与 keyvault 通信的单独应用程序。我想使用自己的 ID 与 keyvault 进行通信，但我不知道如何获取 keyvault 客户端所需的访问令牌。

我是否需要更新 azure 手册上的清单并添加允许我的控制台应用程序代表用户获取 keyvault 的令牌？需要在 GetAccessTokenAsync 中更改哪些代码才能使其正常工作。

我尝试仅向其提供来自公共端点的初始令牌请求的访问或 ID 令牌。有人对如何代表我自己的 ID 而不是应用程序与 azure key Vault 进行对话有一些建议吗？

Update

因此，查看标头，我发现我的令牌缺少Vault.azure.net作为资源，因此尝试：

var testtoken = authContext.AcquireToken("https://vault.azure.net", ClientID, RedirectUri);

给出以下错误：

AADSTS65005：客户端应用程序已请求访问资源 'https://vault.azure.net https://vault.azure.net'。此请求失败，因为客户端尚未在其 requiredResourceAccess 列表中指定此资源。

并查看当前清单：

"requiredResourceAccess": [
    {
      "resourceAppId": "797f4846-ba00-4fd7-ba43-dac1f8f63013",
      "resourceAccess": [
        {
          "id": "41094075-9dad-400e-a0bd-54e686782033",
          "type": "Scope"
        }
      ]
    },
    {
      "resourceAppId": "00000002-0000-0000-c000-000000000000",
      "resourceAccess": [
        {
          "id": "311a71cc-e848-46a1-bdf8-97ff7156d8e6",
          "type": "Scope"
        }
      ]
    }
  ],

我如何知道 keyvault 的作用域和 ResourceAppId 使用什么 guid？

临时解决方案

在我知道如何获取resourceAppId和相关信息之前，我正在使用模拟powershell工具的老技巧。

 var vaultToken = authContext.AcquireToken("https://vault.azure.net", "1950a258-227b-4e31-a9cf-717495945fc2", new Uri("urn:ietf:wg:oauth:2.0:oob"));
 var keyvault = new KeyVaultClient((_, b, c) => Task.FromResult(vaultToken.AccessToken));    
 var secrets = keyvault.GetSecretsAsync(vaultInfo.Vault.Properties.VaultUri).GetAwaiter().GetResult();

source: http://www.s-innovations.net/Blog/2014/02/12/Controlling-the-login-flow-when-using-ADAL-for-WAML http://www.s-innovations.net/Blog/2014/02/12/Controlling-the-login-flow-when-using-ADAL-for-WAML在使用 powershells clientid 之前，另请阅读博客文章中的 @bradygaster 评论。

你走在正确的轨道上！您需要配置 AAD，以便能够专门授权用户访问 KeyVault。尝试将以下内容添加到您的清单中。

{
      "resourceAppId": "cfa8b339-82a2-471a-a3c9-0fc0be7a4093",
      "resourceAccess": [
        {
          "id": "f53da476-18e3-4152-8e01-aec403e6edc0",
          "type": "Scope"
        }
      ]
}

如果这不起作用，您可以通过访问旧式方法来完成此操作旧门户 https://manage.windowsazure.com，导航到 AAD、AAD 租户、应用程序，然后在“配置”选项卡的“其他应用程序的权限”部分下添加“Azure Key Vault”。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)