問題描述
查看官方文檔“ Get a user ” , 產(chǎn)生了一個(gè)操作示例的想法勋眯,在中國區(qū)Azure環(huán)境中觉渴,演示如何獲取AAD User信息。
問題解答
使用Microsoft Graph API努咐,演示如何獲取AAD User信息,因參考文檔是針對(duì)Global Azure,所以文檔種的URL為:
// Global Azure Microsoft Graph API
Host GET https://graph.microsoft.com/v1.0/me
需要修改為
// 中國區(qū)Azure的Microsoft Graph API Host
GET https://microsoftgraph.chinacloudapi.cn/v1.0/me
第一步:使用 https://microsoftgraph.chinacloudapi.cn/v1.0/me 來查詢自己的用戶信息,失斦独伞!提示需要Access Token
那么:如何來獲取Access Token呢喻频?
第二步:使用az login 和az account access-token命令來獲取正確的Authentication (Bearer .....)
設(shè)置登錄環(huán)境為中國區(qū) Azure
az login 登錄缩宜,在彈出框種輸入Azure用戶名及密碼
使用 az account access-token 生成 Access Token
##設(shè)置Azure 環(huán)境為 Azure China Cloud
az cloud set --name AzureChinaCloud
##登錄
az login
## 生成 Access Token
az account get-access-token
當(dāng)使用以上指令生成的 Access Token 放入 https://microsoftgraph.chinacloudapi.cn/v1.0/me 請(qǐng)求,繼續(xù)錯(cuò)誤甥温。錯(cuò)誤消息提示 Audience不對(duì) **[Access token validation failure. Invalid audience.] **
在 jwt.ms 上去解析Access Token后锻煌,發(fā)現(xiàn)aud使用的是 "https://management.core.chinacloudapi.cn/", 而我們請(qǐng)求的URL 是** https://microsoftgraph.chinacloudapi.cn/**
所以,需要在生成Access Token時(shí)姻蚓,指定 aud宋梧, 正確命令為:** az account get-access-token --resource 'https://microsoftgraph.chinacloudapi.cn/'**
## 設(shè)置Azure 環(huán)境為 Azure China Cloud
az cloud set --name AzureChinaCloud
## 登錄
az login
#### 生成 Access Token, 使用默認(rèn)resource (https://management.core.chinacloudapi.cn/) 作為 aud,
##az account get-access-token
## 修改resource為microsoft graph api
az account get-access-token --resource 'https://microsoftgraph.chinacloudapi.cn/'
第三步:生成正確的Access Token史简,訪問 Microsoft Graph API 獲取me信息乃秀,成功
第四步:接下來肛著,通過User ID或者UserPrincipalName獲取其他用戶的信息圆兵,一個(gè)失誤引發(fā)的400 Bad Request錯(cuò)誤
思考中。枢贿。殉农。 。局荚。超凳。
明明只是修改請(qǐng)求中的me為User ID,而且這個(gè)User ID就是一個(gè)真實(shí)用戶的ID耙轮傍!
400 Bad Request, 是URL 不對(duì)嗎首装?
仔細(xì)创夜,仔細(xì)查看Get User接口文檔,原來真是沒有注意細(xì)節(jié)啊仙逻。
通過UserID或者User Principal Name的API URL是 https://microsoftgraph.chinacloudapi.cn/v1.0/users/<user id | user principal name>, 因?yàn)榇中某巯牛瑏G失了/users。
# 正確的
https://microsoftgraph.chinacloudapi.cn/v1.0/users/68b844af-***************************
VS
# 錯(cuò)誤的
https://microsoftgraph.chinacloudapi.cn/v1.0/68b844af-***************************
終于系奉,大功告成檬贰。
附錄:其他Graph API獲取用戶信息示例
1:獲取全部用戶信息
GET https://microsoftgraph.chinacloudapi.cn/v1.0/users
2:根據(jù)mail查找用戶
GET https://microsoftgraph.chinacloudapi.cn/v1.0/users?count=true&filter=startswith(mail,'yourmailaddress')
參考資料
Microsoft Graph API Get a User :https://learn.microsoft.com/en-us/graph/api/user-get?view=graph-rest-1.0&tabs=http
az account get-access-token : https://learn.microsoft.com/en-us/cli/azure/account?view=azure-cli-latest
JWT 解析: https://jwt.ms/
Check endpoints in Azure : https://learn.microsoft.com/en-us/azure/china/resources-developer-guide#check-endpoints-in-azuredevelop
當(dāng)在復(fù)雜的環(huán)境中面臨問題,格物之道需:濁而靜之徐清缺亮,安以動(dòng)之徐生翁涤。 云中,恰是如此!
標(biāo)簽: az account get-access-token, Microsoft Graph API get user, Access token validation failure. Invalid audience, 'https://microsoftgraph.chinacloudapi.cn/'
