API-интерфейс Azure Mysql HTTP REST. Получить JSON Web Token

Question

API-интерфейс Azure Mysql HTTP REST. Получить JSON Web Token

0

Я пытаюсь подключиться к своему Azure Mysql через http rest api (https://docs.microsoft.com/en-us/rest/api/mysql/) без успеха. Проблема в том, что я не могу получить JSON Web Token из своего веб-приложения. Ситуация:

Azure Web App ----- rest api → Azure MySql

Думаю, мне нужно "зарегистрировать" этот ресурс сервера Mysql в активном каталоге, но, похоже, я не могу этого сделать.

Я выполнил этот учебник (https://blogs.msdn.microsoft.com/jpsanders/2017/03/17/accessing-azure-app-services-using-azure-ad-bearer-token-2), но у меня есть тот же Проблема: я не могу зарегистрировать MySql в Azure Active Directory.

Итак, как я могу получить JSON Web Token для Mysql HTTP REST API?

Спасибо!

-------- AD PROPIETARY ROLE ДЛЯ MYSQL RESOURCE (НЕ СЕРВЕР MYSQL) - ---------------- КОД --------- -------------------------------------

    //
// https://blogs.msdn.microsoft.com/jpsanders/2017/03/17/accessing-azure-app-services-using-azure-ad-bearer-token-2/
//
public static class AzureActiveDirectory
{
    // the AD Authority used for login.  For example: https://login.microsoftonline.com/myadnamehere.onmicrosoft.com 
    public static string authority = "";
    // the Application ID of this app.  This is a guid you can get from the Advanced Settings of your Auth setup in the portal
    public static string clientId = "";
    // the key you generate in Azure Active Directory for this application
    public static string clientSecret = "";
    // the Application ID of the app you are going to call.This is a guid you can get from the Advanced Settings of your Auth setup for the targetapp in the portal
    public static string resource = "";


    static public async Task<AuthenticationResult> GetS2SAccessTokenForProdMSAAsync()
    {
        var task =  await GetS2SAccessToken(authority, resource, clientId, clientSecret);
        return task;
    }

    static async Task<AuthenticationResult> GetS2SAccessToken(string authority, string resource, string clientId, string clientSecret)
    {
        var clientCredential = new ClientCredential(clientId, clientSecret); 
        AuthenticationContext context = new AuthenticationContext(authority, false); 
        AuthenticationResult authenticationResult = await context.AcquireTokenAsync(
            resource,  // the resource (app) we are going to access with the token
            clientCredential);  // the client credentials
        return authenticationResult; 
    }

}





  AzureActiveDirectory.authority = "https://login.microsoftonline.com/********/";
        AzureActiveDirectory.clientId = "********";                                             
        AzureActiveDirectory.clientSecret = "********";
        AzureActiveDirectory.resource = "https://management.azure.com/";

        try
        {


            AuthenticationResult token = await AzureActiveDirectory.GetS2SAccessTokenForProdMSAAsync();

            HttpClient client = new HttpClient();
            client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Authorization", "Bearer " + token.AccessToken);
            var resp = await client.GetAsync("https://management.azure.com/subscriptions/*******/resourceGroups/MYSQL/providers/Microsoft.DBforMySQL/servers/shoplister/firewallRules?api-version=2017-12-01");

            Console.WriteLine(resp.StatusCode.ToString());
            Console.WriteLine();

        }
        catch (Exception e) { Console.WriteLine(e); }

--------------- ПОСЛЕ ИЗМЕНЕНИЙ СЕЙЧАС ПОЛУЧЕНИЕ НЕСАНКЦИОНИРОВАННЫХ ---------------

user3742379 07 июнь 2018, в 20:40

Источник

0

Похоже, что этот API предназначен для управления базами данных Azure MySQL, их создания и т. Д. Если вам нужно подключиться к базе данных MySQL, я думаю, что вам следует установить соединение с именем пользователя + паролем на сервере MySQL, как обычно.
juunas 07 июнь 2018, в 18:29
0

Спасибо, но мне нужно соединиться с остальным API для обновления правил брандмауэра Mysql из веб-приложения.
user3742379 08 июнь 2018, в 08:11
1

Ах, хорошо. Затем вам нужно зарегистрировать приложение в Azure AD и назначить приложению роль на ресурсе mysql. Затем вы можете получить токены доступа для вызова API из Azure AD, используя поток учетных данных клиента.
juunas 08 июнь 2018, в 08:12
0

Я сделал то, что вы сказали, но всегда получал: «приложение с именем« ... »не было найдено в арендаторе с именем« ... ». На какой идентификатор ресурса я должен ссылаться? я добавил свое веб-приложение в группу контроля доступа к ресурсам, которая содержит Mysql Server, но не знаю, как на него ссылаться
user3742379 08 июнь 2018, в 10:54
1

URI ресурса будет https://management.azure.com/ я полагаю. Это идентификатор API, который вы хотите вызвать.
juunas 08 июнь 2018, в 10:55
0

Отлично, кажется, я в своем последнем шаге, чтобы сделать это. Теперь я получаю сообщение об ошибке, когда получаю оставшийся вызов API: 403-Forbidden. Я проверил clientId и clientsecret. Ресурс - management.azure.com, а права доступа - login.microsoftonline.com {Directoyrid} / oauth2 / token. И , наконец, URL называется это: management.azure.com/subscriptions ? {Суб-идентификатор} /resourceGroups/MYSQL/providers/Microsoft.DBforMySQL/servers/ {имя-сервера-мое} / firewallRules апи-версия = 2017-12- 01 И у моего веб-приложения есть проповеднический ролл в группе MYSQL .... что, вероятно, вызывает 'ForbiddenError'? Большое спасибо еще раз!
user3742379 08 июнь 2018, в 14:46
0

Я забыл Токен, который я получаю, имеет нулевые значения idToken, TenanId и Userinfo, но я получаю строковое значение accesstoken
user3742379 08 июнь 2018, в 15:05
1

Полномочия должны быть https://login.microsoftonline.com/tenant-id-here/
juunas 08 июнь 2018, в 15:05
0

И вам необходимо прикрепить токен доступа как Authorization: Bearer tokengoeshere токен на Authorization: Bearer tokengoeshere
juunas 08 июнь 2018, в 15:06
0

Спасибо за терпение, джуны! Я новичок в Azure, и мне действительно нужен этот сервис. Теперь я получаю несанкционированный. У меня есть веб-приложение в качестве основной роли в группе ресурсов «MYSQL» (которая содержит сервер MySQL). Может быть, я должен получить токен пользователя, чем токен доступа? Все вроде нормально, есть идеи? :-)
user3742379 08 июнь 2018, в 16:21
0

Может быть, редактирование какого-либо значения в файле манифеста WebApp в AD?
user3742379 08 июнь 2018, в 16:49
0

error = "invalid_token", error_description = "Схема аутентификации Авторизации не поддерживается."
user3742379 08 июнь 2018, в 17:05
0

Странно, не могли бы вы поделиться кодом?
juunas 08 июнь 2018, в 17:17
0

juunas я только что добавил информацию, надежда помогает тебе
user3742379 08 июнь 2018, в 17:43
1

Я вижу вашу проблему :) Вам нужно указать заголовок авторизации как new AuthenticationHeaderValue("Bearer", token.AccessToken)
juunas 08 июнь 2018, в 17:51
0

client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue ("Носитель", token.AccessToken); -------> Теперь получаю «Запрещено»: ((
user3742379 08 июнь 2018, в 17:58
1

Хм, ну, это улучшение, но не уверен, почему это происходит сейчас. Вы можете проверить токен доступа, полученный по адресу jwt.ms, и убедиться, что у него есть правильный Azure Ad Tenant ID. Также дважды проверьте, что это то же самое приложение, которое вы назначили на портале Azure. Возможно, вы дали роль приложению с тем же именем.
juunas 08 июнь 2018, в 18:01
0

Оно работает! да, проблема была в дублировании имени в роли и приложении. У вас всегда будет пиво, если вы приедете в Барселону ... с уважением! :-)
user3742379 09 июнь 2018, в 09:58

Показать ещё 16 комментариев

Теги:

mysql

azure

rest

http

api

1 ответ

Ещё вопросы

Похоже, что этот API предназначен для управления базами данных Azure MySQL, их создания и т. Д. Если вам нужно подключиться к базе данных MySQL, я думаю, что вам следует установить соединение с именем пользователя + паролем на сервере MySQL, как обычно.
Спасибо, но мне нужно соединиться с остальным API для обновления правил брандмауэра Mysql из веб-приложения.
Ах, хорошо. Затем вам нужно зарегистрировать приложение в Azure AD и назначить приложению роль на ресурсе mysql. Затем вы можете получить токены доступа для вызова API из Azure AD, используя поток учетных данных клиента.
Я сделал то, что вы сказали, но всегда получал: «приложение с именем« ... »не было найдено в арендаторе с именем« ... ». На какой идентификатор ресурса я должен ссылаться? я добавил свое веб-приложение в группу контроля доступа к ресурсам, которая содержит Mysql Server, но не знаю, как на него ссылаться
URI ресурса будет https://management.azure.com/ я полагаю. Это идентификатор API, который вы хотите вызвать.
Отлично, кажется, я в своем последнем шаге, чтобы сделать это. Теперь я получаю сообщение об ошибке, когда получаю оставшийся вызов API: 403-Forbidden. Я проверил clientId и clientsecret. Ресурс - management.azure.com, а права доступа - login.microsoftonline.com {Directoyrid} / oauth2 / token. И , наконец, URL называется это: management.azure.com/subscriptions ? {Суб-идентификатор} /resourceGroups/MYSQL/providers/Microsoft.DBforMySQL/servers/ {имя-сервера-мое} / firewallRules апи-версия = 2017-12- 01 И у моего веб-приложения есть проповеднический ролл в группе MYSQL .... что, вероятно, вызывает 'ForbiddenError'? Большое спасибо еще раз!
Я забыл Токен, который я получаю, имеет нулевые значения idToken, TenanId и Userinfo, но я получаю строковое значение accesstoken
Полномочия должны быть https://login.microsoftonline.com/tenant-id-here/
И вам необходимо прикрепить токен доступа как Authorization: Bearer tokengoeshere токен на Authorization: Bearer tokengoeshere
Спасибо за терпение, джуны! Я новичок в Azure, и мне действительно нужен этот сервис. Теперь я получаю несанкционированный. У меня есть веб-приложение в качестве основной роли в группе ресурсов «MYSQL» (которая содержит сервер MySQL). Может быть, я должен получить токен пользователя, чем токен доступа? Все вроде нормально, есть идеи? :-)
Может быть, редактирование какого-либо значения в файле манифеста WebApp в AD?
error = "invalid_token", error_description = "Схема аутентификации Авторизации не поддерживается."
Странно, не могли бы вы поделиться кодом?
juunas я только что добавил информацию, надежда помогает тебе
Я вижу вашу проблему :) Вам нужно указать заголовок авторизации как new AuthenticationHeaderValue("Bearer", token.AccessToken)
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue ("Носитель", token.AccessToken); -------> Теперь получаю «Запрещено»: ((
Хм, ну, это улучшение, но не уверен, почему это происходит сейчас. Вы можете проверить токен доступа, полученный по адресу jwt.ms, и убедиться, что у него есть правильный Azure Ad Tenant ID. Также дважды проверьте, что это то же самое приложение, которое вы назначили на портале Azure. Возможно, вы дали роль приложению с тем же именем.
Оно работает! да, проблема была в дублировании имени в роли и приложении. У вас всегда будет пиво, если вы приедете в Барселону ... с уважением! :-)

juunas · Answer 1 · 2018-06-10T08-53-00.000Z

Я комментирую важные моменты нашей дискуссии в комментариях, которые привели к решению:

Используйте https://management.azure.com в качестве идентификатора resource при приобретении токена доступа
Используйте https://login.microsoftonline.com/tenant-id-here/ в качестве полномочий (вы также можете использовать проверенное имя домена вместо id). Это определяет, какой арендатор AAD вы аутентифицируете
Маркер доступа должен быть присоединен с new AuthenticationHeaderValue("Bearer", token.AccessToken) на С#, так что результирующий заголовок является Authorization: Bearer tokengoeshere
Наконец, убедитесь, что вы предоставили разрешения для правильного приложения. Могут быть приложения с одинаковым или похожим именем.