查看官方文档“ Get a user ” , 产生了一个操作示例的想法,在中国区Azure环境中,演示如何获取AAD User信息。
使用Microsoft Graph API,演示如何获取AAD User信息,因参考文档是针对Global Azure,所以文档种的URL为:
// Global Azure Microsoft Graph API Host
GET https://graph.microsoft.com/v1.0/me
需要修改为
// 中国区Azure的Microsoft Graph API Host GET https://microsoftgraph.chinacloudapi.cn/v1.0//me
那么:如何来获取Access Token呢?
1) 设置登录环境为中国区 Azure
2) az login 登录,在弹出框种输入Azure用户名及密码
3) 使用 az account access-token 生成 Access Token
##设置Azure 环境为 Azure China Cloud az cloud set --name AzureChinaCloud ##登录 az login ## 生成 Access Token az account get-access-token
当使用以上指令生成的 Access Token 放入 https://microsoftgraph.chinacloudapi.cn/v1.0/me 请求,继续错误。错误消息提示 Audience不对 [Access token validation failure. Invalid audience.]
在 jwt.ms 上去解析Access Token后,发现aud使用的是 "https://management.core.chinacloudapi.cn/", 而我们请求的URL 是 https://microsoftgraph.chinacloudapi.cn/
所以,需要在生成Access Token时,指定 aud, 正确命令为: az account get-access-token --resource 'https://microsoftgraph.chinacloudapi.cn/'
## 设置Azure 环境为 Azure China Cloud az cloud set --name AzureChinaCloud ## 登录 az login #### 生成 Access Token, 使用默认resource (https://management.core.chinacloudapi.cn/) 作为 aud, ##az account get-access-token ## 修改resource为microsoft graph api az account get-access-token --resource 'https://microsoftgraph.chinacloudapi.cn/'
思考中。。。 。。。
明明只是修改请求中的me为User ID,而且这个User ID就是一个真实用户的ID啊!
400 Bad Request, 是URL 不对吗?
仔细,仔细查看Get User接口文档,原来真是没有注意细节啊。
通过UserID或者User Principal Name的API URL是 https://microsoftgraph.chinacloudapi.cn/v1.0/users/<user id | user principal name>, 因为粗心,丢失了/users。
# 正确的 https://microsoftgraph.chinacloudapi.cn/v1.0/users/68b844af-*************************** VS # 错误的 https://microsoftgraph.chinacloudapi.cn/v1.0/68b844af-***************************
终于,大功告成。
1:获取全部用户信息
GET https://microsoftgraph.chinacloudapi.cn/v1.0/users
2:根据mail查找用户
GET https://microsoftgraph.chinacloudapi.cn/v1.0/users?$count=true&$filter=startswith(mail,'yourmailaddress')
Microsoft Graph API Get a User :https://learn.microsoft.com/en-us/graph/api/user-get?view=graph-rest-1.0&tabs=http
az account get-access-token : https://learn.microsoft.com/en-us/cli/azure/account?view=azure-cli-latest
JWT 解析: https://jwt.ms/
Check endpoints in Azure : https://learn.microsoft.com/en-us/azure/china/resources-developer-guide#check-endpoints-in-azuredevelop