Microsoft MVP성태의 닷넷 이야기
.NET Framework: 1082. Azure Active Directory - Microsoft Graph API 호출 방법 [링크 복사], [링크+제목 복사]
조회: 167
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일

Azure Active Directory - Microsoft Graph API 호출 방법

지난 예제에서,

C# - Azure AD 인증을 지원하는 ASP.NET Core/5+ 웹 애플리케이션 예제 구성
; https://www.sysnet.pe.kr/2/0/12614

Azure AD 인증을 해봤는데요, 그럼 해당 인증 정보를 기반으로 Microsoft Graph도 호출해 보면 좋겠죠? ^^

그리고 이에 대해서는 다음의 문서에 이미 잘 나와 있습니다.

A web app that calls web APIs: Call a web API
; https://docs.microsoft.com/en-us/azure/active-directory/develop/scenario-web-app-call-api-call-api

이번 글에서는 "C# - Azure AD 인증을 지원하는 ASP.NET Core/5+ 웹 애플리케이션 예제 구성" 글에 실은 예제를 바탕으로 위의 글을 적용해 보겠습니다.




우선, appsettings.json에 API 호출을 위한 ClientSecret 또는 ClientCertificates를 지정해야 하는데요,

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "[...client_id...]",
    "TenantId": "[...tenant_id...]"

   // To call an API
   "ClientSecret": "[client_secret_value]",
   "ClientCertificates": [ /* 또는 인증서 지정 */
  ]
 },
 "Graph": {
    "BaseUrl": "https://graph.microsoft.com/v1.0",
    "Scopes": "user.read"
    }
}

이를 위해서는 "C# - Azure AD 인증을 지원하는 ASP.NET Core/5+ 웹 애플리케이션 예제 구성"에서 만들었던 (예제에서는 test-auth-webapp) App에 "Certificates & secrets" 설정을 통해 새로운 ClientSecret을 생성합니다.

user_profile_info_from_aad_2.png

생성 시 단 한번 ClientSecret 값이 보이기 때문에 복사해서 위의 appsettings.json에 붙여주면 됩니다.

이제 코드를 변경해야 하는데요, 이를 위해 패키지를 하나 더 추가하고,

// Install-Package Microsoft.AspNetCore.Authentication.OpenIdConnect
// Install-Package Microsoft.Identity.Web

Install-Package Microsoft.Identity.Web.MicrosoftGraph

Startup.cs의 ConfigureServices에 아래와 같은 코드를 추가합니다.

public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
            .AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
            .EnableTokenAcquisitionToCallDownstreamApi(new string[] { "user.read" })
            .AddMicrosoftGraph(Configuration.GetSection("Graph"))
            .AddInMemoryTokenCaches();

    services.AddControllersWithViews(options =>
    {
        var policy = new AuthorizationPolicyBuilder()
            .RequireAuthenticatedUser()
            .Build();
        options.Filters.Add(new AuthorizeFilter(policy));
    });

    services.AddRazorPages();
}

이렇게 해주면, 이후 AccessToken이 설정된 GraphServiceClient 인스턴스를 생성자를 통해 주입받을 수 있습니다.

using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.Cookies;
using Microsoft.AspNetCore.Mvc.RazorPages;
using Microsoft.Extensions.Logging;
using Microsoft.Graph;
using Microsoft.Identity.Web;
using System.Threading.Tasks;

namespace WebApplication1.Pages
{
    public class IndexModel : PageModel
    {
        private readonly GraphServiceClient _graphServiceClient;
        private readonly ILogger<IndexModel> _logger;

        public IndexModel(ILogger<IndexModel> logger, GraphServiceClient graphServiceClient)
        {
            _logger = logger;
            _graphServiceClient = graphServiceClient;
        }

        public async Task OnGet()
        {
            var user = await _graphServiceClient.Me.Request().GetAsync();

            ViewData["tel"] = user.MobilePhone;
        }
    }
}

위의 코드에서는 MobilePhone 정보를 구하는데, 테스트를 위해 Azure Portal에서 로그인 사용자의 프로파일 정보 중 "Mobile phone"을 수정하고,

microsoft_graph_user_profile_1.png

실행해 보면 정상적으로 동작하는 것을 확인할 수 있습니다. (참고로 GraphServiceClient를 직접 주입받지 않고 ITokenAcquisition을 통해 Access Token을 구한 후 구성하는 것도 가능합니다.)

(첨부 파일은 이 글의 예제 코드를 포함합니다.)




그런데, 저 코드는 그냥 테스트 용도 이외에 실 서버에서는 사용할 수 없습니다. (사실, 테스트로도 무척 불편한 코드입니다.)

왜냐하면, 토큰을 메모리에 보관하기 때문입니다.

services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
        .AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
        .EnableTokenAcquisitionToCallDownstreamApi(new string[] { "user.read" })
        .AddMicrosoftGraph(Configuration.GetSection("Graph"))
        .AddInMemoryTokenCaches();

그래서, 서버 프로세스 (개발 중에는 iisexpress.exe)를 다시 실행하게 되면 (로그아웃을 명시적으로 하지 않았기 때문에) 여전히 인증 중이지만 _graphServiceClient 호출 코드에서 다음과 같은 오류가 발생합니다.

Microsoft.Identity.Client.MsalUiRequiredException
  HResult=0x80131500
  Message=No account or login hint was passed to the AcquireTokenSilent call. 
  Source=Microsoft.Identity.Client
  StackTrace:
   at Microsoft.Identity.Client.Internal.Requests.Silent.SilentRequest.<ExecuteAsync>d__5.MoveNext()
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/ExceptionServices/ExceptionDispatchInfo.cs:line 56
   at Microsoft.Identity.Client.Internal.Requests.Silent.SilentRequest.<ExecuteAsync>d__5.MoveNext()

  This exception was originally thrown at this call stack:
    [External Code]
    System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in ExceptionDispatchInfo.cs
    [External Code]

왜냐하면, access token을 "AddInMemoryTokenCaches"에 보관했기 때문에 해당 정보가 더 이상 유효하지 않은 것입니다. (그래서 테스트를 하려면 다시 명시적인 로그아웃을 한 다음, 로그인을 반복하는 식으로 진행해야 합니다.)

이에 대해서는 다음의 문서에서 잘 설명하고 있는데요,

Token cache serialization in MSAL.NET
; https://docs.microsoft.com/en-us/azure/active-directory/develop/msal-net-token-cache-serialization?tabs=aspnetcore

AddInMemoryTokenCaches

In memory token cache serialization. This implementation is great in samples. It's also good in production applications provided you don't mind if the token cache is lost when the web app is restarted. AddInMemoryTokenCaches takes an optional parameter of type MsalMemoryTokenCacheOptions that enables you to specify the duration after which the cache entry will expire unless it's used.


token cache 관련해서 그 외에 AddSessionTokenCaches, AddDistributedTokenCaches를 제공하는데 대개의 경우 현업에서 실 서비스를 하려면 AddDistributedTokenCaches를 사용해야 할 것입니다. (혹은 AddSessionTokenCaches를 사용한다면 외부 세션 저장소를 사용해야 할 듯하고.)

재미있는 것은, 아래의 문서에 소개된,

Acquiring tokens with authorization codes on web apps
; https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/wiki/Acquiring-tokens-with-authorization-codes-on-web-apps

예제 프로젝트를 보면,

Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2
; https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/tree/aspnetcore2-2-signInAndCallGraph

쿠키를 token cache로 사용하는 CookieBasedTokenCacheExtension 예제 코드를 볼 수 있습니다.

active-directory-aspnetcore-webapp-openidconnect-v2/Extensions/AuthPropertiesTokenCacheHelper.cs /
; https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/blob/aspnetcore2-2-signInAndCallGraph/Extensions/AuthPropertiesTokenCacheHelper.cs

이를 사용하는 측에도 주석에 방법을 설명하는데요,

// https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/blob/aspnetcore2-2-signInAndCallGraph/Startup.cs
// Token acquisition service and its cache implementation
services.AddTokenAcquisition()
        .AddDistributedMemoryCache()
        .AddInMemoryTokenCache()
        /* you could use a cookie based token cache by reaplacing the last
            * trew lines by : .AddCookie().AddCookieBasedTokenCache()  */
        ;

실제로 해보면, .AddCookie().AddCookieBasedTokenCache()와 같이 자연스럽게 연결이 안 됩니다. (아마도 MSAL.NET의 전신이었던 Azure AD v2.0/ADAL.NET으로 불리던 시절에 잘 동작했을 것입니다.) 이 부분은 나중에 살펴봐야겠지만, 아마... 시간이 지나면 라이브러리 차원에서 추가되지 않을까...라는 기대를 해봅니다. ^^




만약 다음과 같이 "Invalid version" 오류가 발생한다면?

Microsoft.Graph.ServiceException
  HResult=0x80131500
  Message=Code: BadRequest
Message: Invalid version.
Inner error:
    AdditionalData:
    date: ...[생략]...
    request-id: ...[생략]...
    client-request-id: ...[생략]...
ClientRequestId: ...[생략]...

  Source=Microsoft.Graph.Core
  StackTrace:
   at Microsoft.Graph.HttpProvider.<SendAsync>d__18.MoveNext()
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/ExceptionServices/ExceptionDispatchInfo.cs:line 56
   at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task) in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 173
   at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 150
   at System.Runtime.CompilerServices.ConfiguredTaskAwaitable`1.ConfiguredTaskAwaiter.GetResult() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 551
   at Microsoft.Graph.BaseRequest.<SendRequestAsync>d__38.MoveNext()

  This exception was originally thrown at this call stack:
    [External Code]
    System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in ExceptionDispatchInfo.cs
    System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(System.Threading.Tasks.Task) in TaskAwaiter.cs
    System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(System.Threading.Tasks.Task) in TaskAwaiter.cs
    System.Runtime.CompilerServices.ConfiguredTaskAwaitable<TResult>.ConfiguredTaskAwaiter.GetResult() in TaskAwaiter.cs
    [External Code]

appsettings.json 파일의 "Graph" 경로를 잘 못 설정해서 그런 것입니다.

"Graph": {
    "BaseUrl": "https://graph.microsoft.com/",
    "Scopes": "user.read"
}

위와 같이 하면 안 되고, 하위에 버전까지 명시를 해야 합니다.

"Graph": {
    "BaseUrl": "https://graph.microsoft.com/v1.0",
    "Scopes": "user.read"
}




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]


donaricano-btn



[최초 등록일: ]
[최종 수정일: 7/30/2021

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 쓴 사람
 




[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12839정성태9/15/2021335.NET Framework: 1118. C# 10 - (17) 제네릭 타입의 특성 적용파일 다운로드1
12838정성태9/13/2021319.NET Framework: 1117. C# - Task에 전달한 Action, Func 유형에 따라 달라지는 async/await 비동기 처리 [2]파일 다운로드1
12837정성태9/11/2021161VC++: 151. Golang - fmt.Errorf, errors.Is, errors.As 설명
12836정성태9/10/2021119Linux: 45. 리눅스 - 실행 중인 다른 프로그램의 출력을 확인하는 방법
12835정성태9/7/2021173.NET Framework: 1116. C# 10 - (16) CallerArgumentExpression 특성 추가파일 다운로드1
12834정성태9/7/202198오류 유형: 762. Visual Studio 2019 Build Tools - 'C:\Program' is not recognized as an internal or external command, operable program or batch file.
12833정성태9/6/2021197VC++: 150. Golang - TCP client/server echo 예제 코드파일 다운로드1
12832정성태9/6/202196VC++: 149. Golang - 인터페이스 포인터가 의미 있을까요?
12831정성태9/6/2021129VC++: 148. Golang - 채널에 따른 다중 작업 처리파일 다운로드1
12830정성태9/6/2021124오류 유형: 761. Internet Explorer에서 파일 다운로드 시 "Your current security settings do not allow this file to be downloaded." 오류
12829정성태9/5/2021218.NET Framework: 1115. C# 10 - (15) 구조체 타입에 기본 생성자 정의 가능파일 다운로드1
12828정성태9/4/2021252.NET Framework: 1114. C# 10 - (14) 단일 파일 내에 적용되는 namespace 선언파일 다운로드1
12827정성태9/4/2021122스크립트: 27. 파이썬 - 웹 페이지 데이터 수집을 위한 scrapy Crawler 사용법 요약
12826정성태9/3/2021184.NET Framework: 1113. C# 10 - (13) 문자열 보간 성능 개선파일 다운로드1
12825정성태9/3/202175개발 환경 구성: 603. GoLand - WSL 환경과 연동
12824정성태9/2/2021203오류 유형: 760. 파이썬 tensorflow - Dst tensor is not initialized. 오류 메시지
12823정성태9/2/2021174스크립트: 26. 파이썬 - PyCharm을 이용한 fork 디버그 방법
12822정성태9/1/2021112오류 유형: 759. 파이썬 tensorflow - ValueError: Shapes (...) and (...) are incompatible
12821정성태9/1/2021157.NET Framework: 1112. C# - .NET 6부터 공개된 ISpanFormattable 사용법
12820정성태9/1/202190VC++: 147. Golang - try/catch에 대응하는 panic/recover파일 다운로드1
12819정성태8/31/2021192.NET Framework: 1111. C# - FormattableString 타입
12818정성태8/31/2021135Windows: 198. 윈도우 - 작업 관리자에서 (tensorflow 등으로 인한) GPU 연산 부하 보는 방법
12817정성태8/31/202185스크립트: 25. 파이썬 - 윈도우 환경에서 directml을 이용한 tensorflow의 AMD GPU 사용 방법
12816정성태8/30/2021436스크립트: 24. 파이썬 - tensorflow 2.6 NVidia GPU 사용 방법 [2]
12815정성태8/30/2021216개발 환경 구성: 602. WSL 2 - docker-desktop-data, docker-desktop (%LOCALAPPDATA%\Docker\wsl\data\ext4.vhdx) 파일을 다른 디렉터리로 옮기는 방법
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...