401ベアラトークンを使用してAzure APIアプリケーションにREST呼び出しを許可しない

Question

Azureディレクトリに2つのアプリケーションを作成しました.1つはAPIサーバ用、もう1つはAPIクライアント用でした。私は、次の方法を使用して、私のAPIアプリケーションに要求を送信しようとしたが「不正」になっ保つ

tenant_id = "abc123-abc123-abc123" 
context = adal.AuthenticationContext('https://login.microsoftonline.com/' + tenant_id) 
token = context.acquire_token_with_username_password(
     'https://myapiserver.azurewebsites.net/', 
     'myuser', 
     'mypassword', 
     'my_apiclient_client_id' 
     ) 

：

私は、Python ADALライブラリを使用していますし、正常に次のコードを使用してトークンを取得することができます

at = token['accessToken'] 
id_token = "Bearer {0}".format(at) 
response = requests.get('https://myapiserver.azurewebsites.net/', headers={"Authorization": id_token}) 

loginurlからmyuser/mypassを使用して正常にログインできました。 Azure ADのサーバーアプリケーションへのクライアントアプリケーションへのアクセスも許可しました。

Answer 1

Azure Python SDKの現在のリリースでは、サービス主体による認証がサポートされています。まだADALライブラリを使用した認証はサポートしていません。多分将来のリリースでそれが可能になるでしょう。

詳細はhttps://azure-sdk-for-python.readthedocs.io/en/latest/resourcemanagement.html#authenticationを参照してください。

ADALが利用可能なプラットフォームについては、Azure Active Directory Authentication Librariesも参照してください。

Answer 2

@Derek、 Azure Portalで問題のURLを設定できますか？誤った問題URLを設定すると、同じエラーが発生する可能性があります。あなたのコードが正しいようです。

私の経験上のベースには、AzureのADにあなたのアプリケーションを追加し、クライアントのIDを取得する必要があります。（私はあなたがこれを行っていると確信しています。）そして、あなたは上の課題のURLをテキストボックスにテナントIDと入力を取得することができますAzureのポータル。

注：古いポータル（manage.windowsazure.com）で

、下のコマンドバーで、[表示エンドポイントをクリックし、連邦メタデータドキュメントのURLをコピーして、そのドキュメントをダウンロードしたり、それに移動しますブラウザ。 ルートEntityDescriptor要素内には、https://sts.windows.net/の形式のentityID属性と、テナント固有のGUID（「テナントID」と呼ばれる）が必要です。この値をコピーして、発行者のURLとして使用します。後でこれを使用するようにアプリケーションを設定します。

私のデモは、以下の通りである：

import adal 
import requests 

TenantURL='https://login.microsoftonline.com/*******' 
context = adal.AuthenticationContext(TenantURL) 
RESOURCE = 'http://wi****.azurewebsites.net' 
ClientID='****' 
ClientSect='7****' 
token_response = context.acquire_token_with_client_credentials(
    RESOURCE, 
    ClientID, 
    ClientSect 
) 
access_token = token_response.get('accessToken') 
print(access_token) 
id_token = "Bearer {0}".format(access_token) 
response = requests.get(RESOURCE, headers={"Authorization": id_token}) 
print(response) 

それを修正してみてください。すべてのアップデート、私に教えてください。

Answer 3

質問は長い間前に投稿されましたが、私は答えを提供しようとします。私はここで全く同じ問題を抱えていたので、私はこの質問を見つけました。 adalライブラリでトークンを正常に取得できましたが、トークンを取得したリソースにアクセスできませんでした。

私たちは.Netでシンプルなコンソールアプリを使い、全く同じパラメータを使用していました。また、.NETアプリケーションで取得したトークンをコピーしてPythonリクエストで使用することもできます（これは明らかですが、リクエストをどのように組み立てるかに問題はないと確信しています）。

問題のソースは、最終的にadal pythonパッケージのoauth2_clientにありました。 .Netとpythonアプリケーションが送信した実際のHTTPリクエストを比較すると、微妙な違いはpythonアプリケーションが明示的にapi-version=1.0を要求するPOST要求を送信したことです。

POST https://login.microsoftonline.com/common//oauth2/token?api-version=1.0 

は、私は私のリソースにアクセスすることができ、アダルライブラリに oauth2_client.pyに次の行を変更したら。

たちはgithubのにライブラリにパッチを適用するためにプル要求に取り組んでいる

return urlparse(self._token_endpoint) 

に、方法_create_token_urlに

return urlparse('{}?{}'.format(self._token_endpoint, urlencode(parameters))) 

を変更しました。