技術文章 » 【Azure Developer】使用 Microsoft Graph API 獲取 AAD User 操作範例

【Azure Developer】使用 Microsoft Graph API 獲取 AAD User 操作範例

2023-04-13 21:00:42

問題描述

檢視官方檔案「 Get a user 」 , 產生了一個操作範例的想法,在中國區Azure環境中,演示如何獲取AAD User資訊。

 

問題解答

使用Microsoft Graph API,演示如何獲取AAD User資訊,因參考檔案是針對Global Azure,所以檔案種的URL為:

// Global Azure Microsoft Graph API Host
GET https://graph.microsoft.com/v1.0/me

 需要修改為

// 中國區Azure的Microsoft Graph API Host
GET https://microsoftgraph.chinacloudapi.cn/v1.0//me

 

第一步:使用 https://microsoftgraph.chinacloudapi.cn/v1.0/me 來查詢自己的使用者資訊,失敗!提示需要Access Token

那麼:如何來獲取Access Token呢? 

 

第二步:使用az login 和az account access-token命令來獲取正確的Authentication (Bearer .....) 

1) 設定登入環境為中國區 Azure

2) az login 登入,在彈出框種輸入Azure使用者名稱及密碼

3) 使用 az account access-token 生成 Access Token

##設定Azure 環境為 Azure China Cloud
az cloud set --name AzureChinaCloud

##登入
az login

## 生成 Access Token
az account get-access-token

當使用以上指令生成的 Access Token 放入 https://microsoftgraph.chinacloudapi.cn/v1.0/me 請求,繼續錯誤。錯誤訊息提示 Audience不對 [Access token validation failure. Invalid audience.] 

jwt.ms 上去解析Access Token後,發現aud使用的是 "https://management.core.chinacloudapi.cn/", 而我們請求的URL 是 https://microsoftgraph.chinacloudapi.cn/

所以,需要在生成Access Token時,指定 aud, 正確命令為: az account get-access-token --resource 'https://microsoftgraph.chinacloudapi.cn/'

## 設定Azure 環境為 Azure China Cloud
az cloud set --name AzureChinaCloud

## 登入
az login

#### 生成 Access Token, 使用預設resource (https://management.core.chinacloudapi.cn/) 作為 aud,
##az account get-access-token

## 修改resource為microsoft graph api
az account get-access-token --resource 'https://microsoftgraph.chinacloudapi.cn/'

 

第三步:生成正確的Access Token,存取 Microsoft Graph API 獲取me資訊,成功

 

 

第四步:接下來,通過User ID或者UserPrincipalName獲取其他使用者的資訊,一個失誤引發的400 Bad Request錯誤

思考中。。。 。。。

明明只是修改請求中的me為User ID,而且這個User ID就是一個真實使用者的ID啊!

400 Bad Request, 是URL 不對嗎? 

仔細,仔細檢視Get User介面檔案,原來真是沒有注意細節啊。

通過UserID或者User Principal Name的API URL是 https://microsoftgraph.chinacloudapi.cn/v1.0/users/<user id | user principal name>,  因為粗心,丟失了/users。

# 正確的
https://microsoftgraph.chinacloudapi.cn/v1.0/users/68b844af-***************************

VS

# 錯誤的
https://microsoftgraph.chinacloudapi.cn/v1.0/68b844af-***************************

終於,大功告成。

 

附錄:其他Graph API獲取使用者資訊範例

1:獲取全部使用者資訊

GET https://microsoftgraph.chinacloudapi.cn/v1.0/users

2:根據mail查詢使用者

GET https://microsoftgraph.chinacloudapi.cn/v1.0/users?$count=true&$filter=startswith(mail,'yourmailaddress')

 

 

參考資料

 Microsoft Graph API Get a User :https://learn.microsoft.com/en-us/graph/api/user-get?view=graph-rest-1.0&tabs=http

az account get-access-token : https://learn.microsoft.com/en-us/cli/azure/account?view=azure-cli-latest

JWT 解析: https://jwt.ms/

Check endpoints in Azure : https://learn.microsoft.com/en-us/azure/china/resources-developer-guide