將AAD圖形API作爲特定用戶查詢

Question

• 我有一個webapi，它是由服務代表用戶調用的。
• 我有用戶ID，但不是他們的身份驗證令牌。

我的目的是檢查這個用戶是否屬於一個指定的組。

• 我有一個應用程序，並能對權威性的圖形，買我的要求是由我組織的限制，所以我無法查詢該用戶。
• 我創建了一個可訪問圖API的服務帳戶。
• 我工作過這個例子：https://github.com/Azure-Samples/active-directory-dotnet-graphapi-console/blob/master/GraphConsoleAppV3/AuthenticationHelper.cs

我試圖連接到與服務帳戶的圖形，但我不知道怎麼樣。我試過看過UserPasswordCredential，但AcquireTokenAsync並不把它當作一個參數，但它確實需要一個UserAssertion我很難找到正確構建該對象的文檔。

任何幫助，將不勝感激。

Answer 1

如果您使用.Net Framework進行開發，則AcquireTokenAsync確實使用UserPasswordCredential提供了計算方法。

這是給你參考的代碼示例：

AuthenticationContext authenticationContext = new AuthenticationContext(UserModeConstants.AuthString, false); 
string resrouce = ""; 
string clientId = ""; 
string userName = ""; 
string password = ""; 
UserPasswordCredential userPasswordCredential = new UserPasswordCredential(userName, password); 
var token= authenticationContext.AcquireTokenAsync(resrouce, clientId, userPasswordCredential).Result.AccessToken; 

我使用的版本3.13.5.907 Microsoft.IdentityModel.Clients.ActiveDirectory。此方法僅適用於您在Azure AD上註冊的本地客戶端應用程序，因爲它不提供憑據。如果您希望它適用於Web應用程序/ Web API，則可以直接發出HTTP請求，如下所示：

POST: https://login.microsoftonline.com/xxxxx.onmicrosoft.com/oauth2/token 

Content-Type: application/x-www-form-urlencoded 
resource={resource}&client_id={clientId}&grant_type=password&username={userName}&password={password}&scope=openid&client_secret={clientSecret}