我使用 OWIN 中间件创建了一个 WebAPI OData 3.0 Web 服务,该服务配置为使用 Windows Azure Active Directory 进行身份验证。
ODataController 标有[Authorize]属性,IAppBuilder 配置如下:
app.UseWindowsAzureActiveDirectoryBearerAuthentication(
new WindowsAzureActiveDirectoryBearerAuthenticationOptions
{
Tenant = ConfigurationManager.AppSettings["ida:Tenant"],
TokenValidationParameters = new TokenValidationParameters {
ValidAudience = ConfigurationManager.AppSettings["ida:Audience"]
},
});
ida:Tenant是我的 Windows Azure 租赁,并且ida:Audience是应用程序 ID Uri。
现在我想使用 Excel PowerQuery 使用此服务,并使用 AzureAD 中的帐户进行身份验证。但是,当我选择“组织帐户”并尝试“登录”时,出现以下错误:
无法连接。此资源不支持此凭据类型。
在 Fiddler 中,我可以看到请求是使用 Bearer 标头发出的,但它是空的。
我想实现与查询 AzureAD Graph 时类似的行为。
例如,如果我尝试消费https://graph.windows.net/.onmicrosoft.com/users?api-version=2013-04-05,将打开一个单点登录窗口,并且在 Fiddler 中我可以看到传递了一个令牌。
我怎样才能实现这种行为?我缺少什么?
Thanks!
以下是身份验证期间 PowerQuery 和 OData 服务之间的预期流程:
- 当您在构建器中输入服务的 URI 时,单击“确定”,您将收到凭据提示,要求您提供访问该服务的凭据。
- 通常,如果 Azure Active Directory (AAD) 是您的身份提供商,您将选择组织帐户。
当您单击“登录”时,PowerQuery 将向您的服务发送质询请求,这是您看到的空承载。原因是,我们不知道您的身份提供商是什么,也不知道您应该在哪里登录,该请求期待 401/403 响应,其中包含包含身份验证端点 url 的 WWW-Authenticate 标头。
以下是预期的标头格式:WWW-Authenticate Authorization_uri=”token service uri” 引号是可选的。如果我们找不到该标头,您会收到错误消息“无法连接”。不支持此凭证类型”。
- 例如,在您的场景中,令牌服务 uri 是https://login.windows.net
- 当我们收到该响应时,我们将从标头获取 url 并发出登录请求,此时您将看到来自 AAD 的登录页面,并且您将能够使用您的组织凭据登录。
- 我们将等待登录结果,该结果应该是一个令牌,该令牌将用于在您从该服务请求数据时填充标头中的承载。
为了使这项工作正常进行,AAD 中的应用程序对象有两件重要的事情:
- AppIdUris 属性必须具有与您的服务 URI 匹配的通配符 URI。当我们发送登录请求时,我们必须包含一个资源 ID,该资源是我们正在连接的服务的权限。因此,如果您的服务 url 是:myservice.com/myODatafeed.svc,权限包括方案、主机和端口号,则 myservice.com/ 将是权限。对于可能具有不同租户的服务,例如:company1.myservice.com,AppIdUri 必须具有 https://*.myservice.com。否则,只是https://myservice.com.
- 第二件事(这是 AAD 特定的),AAD 目前不支持第一方客户端 (PowerQuery) 到第三方服务(您的服务)的身份验证。但希望很快:)也许就在你完成剩下的事情时:)!
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
