【Azure Developer】使用 Microsoft Graph API 获取 AAD User 操作示例

Developer,示例,使用 ,AAD · 浏览次数 : 152

小编点评

## azure环境中获取AAD用户信息 **第一步:查询自身用户信息** ```python import azure.mgmt.graph as graph # 设置中国区 Azure 的 Microsoft Graph API Host graph_url = "https://microsoftgraph.chinacloudapi.cn/v1.0/" # 获取用户的 ADD 用户信息 result = graph.get_user_object(graph_url, expand="userPrincipalName") # 打印用户信息 print(result.data) ``` **第二步:获取 Access Token** 使用 `az login` 和 `az account access-token` 命令获取正确的 Access Token。 **注意:** * 由于您在 中国区,需要使用 `az login` 和 `az account access-token` 命令的 `--tenant-id` 参数指定您的 Azure 租户 ID。 * 请确保您已在 Azure 管理平台中创建了用于获取 Access Token 的应用程序。 **第三步:生成正确的 Access Token** 使用以下命令生成正确的 Access Token: ```python # 获取用户的 ID user_id = "your_user_id" # 生成 Access Token result = graph.get_access_token(graph_url, resource="https://microsoftgraph.chinacloudapi.cn/", client_id="your_client_id", client_secret="your_client_secret", grant_type="client_credentials") # 打印 Access Token print(result.data["accessToken"]) ``` **第四步:访问 Microsoft Graph API 获取用户信息** 使用生成的 Access Token,您可以访问 Microsoft Graph API 获取用户信息。例如,以下命令获取所有用户信息: ```python # 获取所有用户信息 result = graph.get_user_object(graph_url, expand="userPrincipalName, email") # 打印用户信息 print(result.data) ``` **附录:其他 Graph API 获取用户信息示例** * 获取全部用户信息:`GET https://microsoftgraph.chinacloudapi.cn/v1.0/users` * 根据邮件查找用户:`GET https://microsoftgraph.chinacloudapi.cn/v1.0/users?$count=true&$filter=startswith(mail,'yourmailaddress')` * 获取特定用户的详细信息:`GET https://microsoftgraph.chinacloudapi.cn/v1.0/users/{user_id}`

正文

问题描述

查看官方文档“ Get a user ” , 产生了一个操作示例的想法,在中国区Azure环境中,演示如何获取AAD User信息。

 

问题解答

使用Microsoft Graph API,演示如何获取AAD User信息,因参考文档是针对Global Azure,所以文档种的URL为:

// Global Azure Microsoft Graph API Host
GET https://graph.microsoft.com/v1.0/me

 需要修改为

// 中国区Azure的Microsoft Graph API Host
GET https://microsoftgraph.chinacloudapi.cn/v1.0//me 

 

第一步:使用 https://microsoftgraph.chinacloudapi.cn/v1.0/me 来查询自己的用户信息,失败!提示需要Access Token

那么:如何来获取Access Token呢? 

 

第二步:使用az login 和az account access-token命令来获取正确的Authentication (Bearer .....) 

1) 设置登录环境为中国区 Azure

2) az login 登录,在弹出框种输入Azure用户名及密码

3) 使用 az account access-token 生成 Access Token

##设置Azure 环境为 Azure China Cloud
az cloud set --name AzureChinaCloud

##登录
az login

## 生成 Access Token
az account get-access-token

当使用以上指令生成的 Access Token 放入 https://microsoftgraph.chinacloudapi.cn/v1.0/me 请求,继续错误。错误消息提示 Audience不对 [Access token validation failure. Invalid audience.] 

jwt.ms 上去解析Access Token后,发现aud使用的是 "https://management.core.chinacloudapi.cn/", 而我们请求的URL 是 https://microsoftgraph.chinacloudapi.cn/

所以,需要在生成Access Token时,指定 aud, 正确命令为: az account get-access-token --resource 'https://microsoftgraph.chinacloudapi.cn/'

## 设置Azure 环境为 Azure China Cloud
az cloud set --name AzureChinaCloud

## 登录
az login

#### 生成 Access Token, 使用默认resource (https://management.core.chinacloudapi.cn/) 作为 aud,
##az account get-access-token

## 修改resource为microsoft graph api
az account get-access-token --resource 'https://microsoftgraph.chinacloudapi.cn/'

 

第三步:生成正确的Access Token,访问 Microsoft Graph API 获取me信息,成功

 

 

第四步:接下来,通过User ID或者UserPrincipalName获取其他用户的信息,一个失误引发的400 Bad Request错误

思考中。。。 。。。

明明只是修改请求中的me为User ID,而且这个User ID就是一个真实用户的ID啊!

400 Bad Request, 是URL 不对吗? 

仔细,仔细查看Get User接口文档,原来真是没有注意细节啊。

通过UserID或者User Principal Name的API URL是 https://microsoftgraph.chinacloudapi.cn/v1.0/users/<user id | user principal name>,  因为粗心,丢失了/users。

# 正确的
https://microsoftgraph.chinacloudapi.cn/v1.0/users/68b844af-***************************

VS

# 错误的
https://microsoftgraph.chinacloudapi.cn/v1.0/68b844af-***************************

终于,大功告成。

 

附录:其他Graph API获取用户信息示例

1:获取全部用户信息

GET https://microsoftgraph.chinacloudapi.cn/v1.0/users

2:根据mail查找用户

GET https://microsoftgraph.chinacloudapi.cn/v1.0/users?$count=true&$filter=startswith(mail,'yourmailaddress')

 

 

参考资料

 Microsoft Graph API Get a User :https://learn.microsoft.com/en-us/graph/api/user-get?view=graph-rest-1.0&tabs=http

az account get-access-token : https://learn.microsoft.com/en-us/cli/azure/account?view=azure-cli-latest

JWT 解析: https://jwt.ms/

 

 

与【Azure Developer】使用 Microsoft Graph API 获取 AAD User 操作示例相似的内容:

【Azure Developer】使用 Microsoft Graph API 获取 AAD User 操作示例

问题描述 查看官方文档“ Get a user ” , 产生了一个操作示例的想法,在中国区Azure环境中,演示如何获取AAD User信息。 问题解答 使用Microsoft Graph API,演示如何获取AAD User信息,因参考文档是针对Global Azure,所以文档种的URL为: /

【Azure Developer】使用 Microsoft Graph API查看用户状态和登录记录

问题描述 通过Microsoft Graph的API如何来查看用户信息和登录记录呢? 问题解答 第一步:需要一个授权Token 比如一个拥有查看用户权限的Azure账号,通过Azure CLI 命令获取到一个Access Token az cloud set --name AzureChinaClo

【Azure Developer】开发模式下使用AAD账号访问Azure Blob的相关参考

问题描述 开发模式下使用AAD账号访问Azure Blob的流程参考文件 问题解答 第一步:先在AAD中注册一个APP,步骤可参考: 将应用程序注册到 Microsoft 标识平台 :https://docs.azure.cn/zh-cn/active-directory/develop/quick

【Azure Developer】Github Action使用Azure/login@v1插件登录遇见错误的替代方案

问题描述 在使用 Github Action - Azure/login@v1 的插件时候,登录中国区Azure遇见了问题。 Login YAML 内容: - name: 'Login via Azure CLI' uses: Azure/login@v1.4.6 with: creds: ${{

【Azure Developer】在Github Action中使用Azure/functions-container-action@v1配置Function App并成功部署Function Image

问题描述 使用Github Action,通过 Azure/functions-container-action@v1 插件来完成 yaml 文件的配置,并成功部署Function Image 的过程记录。 操作步骤 第一步: 准备Function的镜像文件 如在VS Code中,通过Termina

【Azure Developer】Azure AD 注册应用的 OAuth 2.0 v2 终结点获取的 Token 解析出来依旧为v1, 这是什么情况!

问题描述 使用 Azure AD 注册应用 Oauth2 v2.0的终结点(OAuth 2.0 token endpoint (v2): https://login.partner.microsoftonline.cn//oauth2/v2.0/token ) 获取T

【Azure Developer】Go语言调用Azure SDK如何登录到中国区Azure环境

问题描述 在 “使用 Azure SDK for Go 进行 Azure 身份验证” 文章中的 Go 示例代码进行登录Azure时,默认指向的是Globa Azure。当只修改AAD AZURE_CLIENT_ID , AZURE_TENANT_ID 和 AZURE_CLIENT_SECRET参数值

【Azure Developer】一个复制Redis Key到另一个Redis服务的工具(redis_copy_net8)

介绍一个简单的工具,用于将Redis数据从一个redis端点复制到另一个redis端点,基于原始存储库转换为.NET 8:https://github.com/LuBu0505/redis-copy-net8

【Azure Developer】如何通过Azure Portal快速获取到对应操作的API并转换为Python代码

问题描述 对于Azure资源进行配置操作,门户上可以正常操作。但是想通过Python代码实现,这样可以批量处理。那么在没有SDK的情况下,是否有快速办法呢? 问题解答 当然可以,Azure Portal上操作的所有资源都是通过REST API来实现的,所以只要找到正确的API,就可以通过浏览器中抓取

【Azure Developer】.Net 简单示例 "文字动图显示" Typing to SVG

问题描述 看见一个有趣的页面,可以把输入的文字信息,直接输出SVG图片,还可以实现动图模式。 示例URL: https://readme-typing-svg.demolab.com/?font=Fira+Code&pause=1000&color=F7F7F7&background=233911F