私はAzure ADからすべてのユーザー情報を取得するためにAzure Graph APIを使用しています。その後、それらのユーザーを自分のアプリケーションに追加しています。ログインページでは、ユーザー名とパスワードを入力する必要があります。自分のテーブルに自分のパスワードを保存したくないのですが、認証チェックをしたいのです。これを行うグラフAPIに休憩サービスはありますか?Graph APIを使用してインポートされたAzure ADユーザーを認証します。
ログインページでは、ユーザー名とパスワードを入力する必要があります。自分のテーブルに自分のパスワードを保存したくないのですが、認証チェックをしたいのです。これを行うグラフAPIに休憩サービスはありますか?
これは、グラフAPIに関する休憩サービスに関連していません。それはあなたのサービスをどのように保護するかによって決まります。
たとえば、MicrosoftはAzure ADによって保護されているAzure Graph APIを提供しています。 Azure ADは、OAuth 2.0をサポートして、保護されたリソースにアクセスするアクセストークンを取得します。
説明したシナリオでは、OAuth 2.0コード許可フローを使用することができます。このフローの詳細手順については、次の図を参照してください:ここでは
は、ご参考のために、このフローを使用するコードサンプルです:
私のログインポータルは、ユーザー名とパスワードを要求します。ユーザー名を入力すると、クライアントID、テナントID、および秘密鍵(アクセストークンの作成に使用しています)を取得できます。今私はこのアクセストークンを使ってAzure ADに接続することができます。これは設定中に3つのフィールドが正しく提供されたことを意味し、有効なOauthです。私はあなたのAzue広告の資格情報を使って自分のアプリケーションにログインしようとしているユーザーを認証したいと思っています – Jerry
@ Jerry今問題がありましたか?私はあなたが扱っていた質問に従うことができません。 –
うん。 OAuthトークンを使用してAzureディレクトリからユーザーをインポートできます。インポートされたユーザーが自分のアプリケーションにログインしようとしたとき、私は彼らが紺碧のADの正しい資格情報を入力しているかどうかチェックしたいと思います。現在、私はこのサービスを呼び出してユーザーのパスワードプロファイルを取得し、入力したパスワードとパスワードを比較しています。 https://graph.windows.net/%s/users/"+userName+"/?api-version=2013-04-05これは適切な方法のようには見えず、さらにこのサービスではパスワードをnullにしています – Jerry
それはさあなたのデータベースにユーザー名/パスワードを格納するのは悪い考えです。一般的なアプローチは、アプリケーションがAzure ADに認証のためにアプリケーションをリダイレクトさせ、Azure ADにユーザーに関する情報を含むクレームを返送させることです。その情報をデータベースに保存して、アプリケーションに再度ログインしたときにその情報を識別することができます。 –
自分のパスワードをデータベースに保存していません。 SAMLベースの認証を提供しています。さらに私は彼らが自分の資格情報を提供する私の通常のログインページを通してログインできるようにしたいと思っています。私はそれをどこにも保管しないだろう。 Azure AD APIを使用して認証する必要があります。 – Jerry