Microsoft MVP성태의 닷넷 이야기
.NET Framework: 800. C# - Azure REST API 사용을 위한 인증 획득 [링크 복사], [링크+제목 복사]
조회: 2210
글쓴 사람
홈페이지
첨부 파일

C# - Azure REST API 사용을 위한 인증 획득

지난 글에서,

C# - API를 사용해 Azure에 접근하는 방법
; https://www.sysnet.pe.kr/2/0/11480

이미 잘 만들어진 Azure 라이브러리를 이용한 Azure 서비스 제어를 해봤는데요. 마지막에 REST API를 위한 인증 및 사용법을 설명했지만, 아예 그걸 떼어내서 별도의 글로 정리를 합니다. ^^ 물론, 관련해서는 이미 마이크로소프트의 공식 문서에 다음과 같이 잘 설명하고 있습니다.

Authorize access to Azure Active Directory web applications using the OAuth 2.0 code grant flow
; https://docs.microsoft.com/en-us/azure/active-directory/develop/v1-protocols-oauth-code#request-an-authorization-code

OAuth 2.0 코드 권한 부여 흐름을 사용하여 Azure Active Directory 웹 응용 프로그램에 대한 액세스 권한 부여
; https://docs.microsoft.com/ko-kr/azure/active-directory/develop/v1-protocols-oauth-code#request-an-authorization-code

그래도 ^^ 좀 더 간단하게 정리를 해봤으니 참고가 되실 것입니다.




"Authorize access to Azure Active Directory web applications using the OAuth 2.0 code grant flow" 문서를 보면, 우리가 구해야 할 값은 결국 Azure REST API를 호출할 때마다 함께 전달될 "Authorization: Bearer ...access_token..." 값입니다. 이를 위해 필요한 것은 우선 지난 글에서 설명한,

C# - API를 사용해 Azure에 접근하는 방법
; https://www.sysnet.pe.kr/2/0/11480

IAM 계정입니다. 따라서, Azure CLI를 이용해 다음과 같이,

C:\WINDOWS\system32>az login
Note, we have launched a browser for you to login. For old experience with device code, use "az login --use-device-code"
You have logged in. Now let us find all the subscriptions to which you have access...
[
  {
    "cloudName": "AzureCloud",
    "id": "9757c718-3140-4b9b-b9f9-84ff080353b3",
    "isDefault": true,
    "name": "TestSubs",
    "state": "Enabled",
    "tenantId": "8fcc7edc-6fc9-4b63-ba94-93f2d8584b96",
    "user": {
      "name": "tester@tester.com",
      "type": "user"
    }
  }
]

C:\WINDOWS\system32>az ad sp create-for-rbac --sdk-auth
Retrying role assignment creation: 1/36
Retrying role assignment creation: 2/36
{
  "clientId": "20304878-9518-4506-aea3-a06caae4d55f",
  "clientSecret": "5590caf5-125e-4950-9fe3-9dea908a1059",
  "subscriptionId": "9757c718-3140-4b9b-b9f9-84ff080353b3",
  "tenantId": "8fcc7edc-6fc9-4b63-ba94-93f2d8584b96",
  "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
  "resourceManagerEndpointUrl": "https://management.azure.com/",
  "activeDirectoryGraphResourceId": "https://graph.windows.net/",
  "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
  "galleryEndpointUrl": "https://gallery.azure.com/",
  "managementEndpointUrl": "https://management.core.windows.net/"
}

"az ad ..." 명령어의 결과로 생성한 인증 정보를 C# 소스 코드에 붙여 넣습니다.

using System.IO;
using System.Threading.Tasks;

namespace ConsoleApp1
{
    class Program
    {
        static async Task Main(string[] args)
        {
            AzureRestClient client = new AzureRestClient();

            string authData = "...[json text]...";
            await client.Login(authData);

            return 0;
        }
    }
}

using Newtonsoft.Json;
using System.Collections.Generic;
using System.Net.Http;
using System.Threading.Tasks;

namespace ConsoleApp1
{
    class AzureRestClient
    {
        HttpClient _client;
        string _subscriptionId;
        string _apiVersion = "2017-12-01";

        public AzureRestClient()
        {
            _client = new HttpClient();
        }

        public async Task<bool> Login(string authData)
        {
            AuthInfo authInfo = JsonConvert.DeserializeObject<AuthInfo>(authData);
            if (authInfo == null)
            {
                return false;
            }
        }
    }
}

public class AuthInfo
{
    public string clientId { get; set; }
    public string clientSecret { get; set; }
    public string subscriptionId { get; set; }
    public string tenantId { get; set; }
    public string activeDirectoryEndpointUrl { get; set; }
    public string resourceManagerEndpointUrl { get; set; }
    public string activeDirectoryGraphResourceId { get; set; }
    public string sqlManagementEndpointUrl { get; set; }
    public string galleryEndpointUrl { get; set; }
    public string managementEndpointUrl { get; set; }
}

그다음, AuthInfo 구조체의 정보를 기반으로 OAuth 인증을 받으면 됩니다. (사실, AuthInfo에서 필요한 필드는 3개에 불과합니다.)

public async Task<bool> Login(string authData)
{
    AuthInfo authInfo = JsonConvert.DeserializeObject<AuthInfo>(authData);
    if (authInfo == null)
    {
        return false;
    }

    string oauth2AzureAD = string.Format("https://login.microsoftonline.com/{0}/oauth2/token", authInfo.tenantId);

    var dict = new Dictionary<string, string>();
    dict.Add("grant_type", "client_credentials");
    dict.Add("client_id", authInfo.clientId);
    dict.Add("client_secret", authInfo.clientSecret);
    dict.Add("resource", authInfo.resourceManagerEndpointUrl);
    var client = new HttpClient();
    var req = new HttpRequestMessage(HttpMethod.Post, oauth2AzureAD) { Content = new FormUrlEncodedContent(dict) };
    HttpResponseMessage hrm = await client.SendAsync(req);

    //...

    return true;
}

정상적으로 인증이 되었다면 다음과 같이 결과를 처리할 수 있습니다.

public async Task<bool> Login(string authData)
{
    //...[생략]...
    HttpResponseMessage hrm = await client.SendAsync(req);

    string result = await hrm.Content.ReadAsStringAsync();

    TokenInfo tokenInfo = JsonConvert.DeserializeObject<TokenInfo>(result);
    string tokenType = tokenInfo.token_type;
    string accessToken = tokenInfo.access_token;

    // ...
}

public class TokenInfo
{
    public string token_type { get; set; }
    public string expires_in { get; set; }
    public string ext_expires_in { get; set; }
    public string expires_on { get; set; }
    public string not_before { get; set; }
    public string resource { get; set; }
    public string access_token { get; set; }
}

바로 저렇게 받아온 tokenType과 accessToken을 기반으로 이후의 모든 호출에서 재사용하도록 HTTP 헤더에 설정해 주면 됩니다.

TokenInfo tokenInfo = JsonConvert.DeserializeObject<TokenInfo>(result);
string tokenType = tokenInfo.token_type;
string accessToken = tokenInfo.access_token;

string authHeader = string.Format("{0} {1}", tokenType, accessToken);
_client.DefaultRequestHeaders.Add("Authorization", authHeader);
_subscriptionId = authInfo.subscriptionId;

예를 들어, 다음의 Azure REST API를 호출해 보겠습니다.

Virtual Machines - List All
; https://docs.microsoft.com/en-us/rest/api/compute/virtualmachines/listall

위의 도움말에서 "Try It" 버튼을 누르면,

azure_rest_api_auth_1.png

(인증 후) "REST API Try It" 패널로 진입합니다.

azure_rest_api_auth_2.png

게임 끝이군요. 위의 화면에서 (스크롤하면) 하단 "Run" 버튼을 누르면 Request/Response에 대한 모든 내용을 확인할 수 있습니다. 따라서 위의 정보에 맞게 우리도 호출해 주고 반환된 json 정보를 잘 이용하면 되는 것입니다.

public async Task<VirtualMachineList> GetVMList()
{
    string url = string.Format(
        "https://management.azure.com/subscriptions/{0}/providers/Microsoft.Compute/virtualMachines?api-version={1}", _subscriptionId, _apiVersion);

    HttpResponseMessage hrm = await _client.GetAsync(url);
    string result = await hrm.Content.ReadAsStringAsync();

    VirtualMachineList list = JsonConvert.DeserializeObject<VirtualMachineList>(result);
    return list;
}

static async Task<int> Main(string[] args)
{
    AzureRestClient client = new AzureRestClient();

    string authData = ..."az ad ..." 명령어의 결과...
    if (await client.Login(authData) == true)
    {
        VirtualMachineList machines = await client.GetVMList();
        foreach (var machine in machines.value)
        {
            Console.WriteLine($"{machine.name} at {machine.location}");
        }
    }            

    return 0;
}

/*
출력 결과:

vm1 at koreacentral
myvm at koreacentral
*/

(첨부 파일은 이 글의 예제 코드를 포함합니다.)




참고로 다음의 글들도 읽어 보면 좋습니다.

Azure Active Directory-Authentication OAuth 2.0-Type Password
; https://medium.com/nearsoft-solutions/azure-active-directory-authentication-oauth-2-0-type-password-e119f9a5ad4c

Azure REST APIs with Postman in 2 Minutes
; https://blog.jongallant.com/2017/11/azure-rest-apis-postman/

SubscriptionCloudCredentials Class
; https://docs.microsoft.com/en-us/previous-versions/azure/reference/dn604052(v%3Dazure.100)

첫 번째 링크의 글이 재미있는데요. OAuth 2의 인증 방식이 "Password", "Client credentials", "Implicit", "Authorization Code" 방식이 있다고 하는데, 그에 의하면 제가 설명한 방식은 "Client credentials"에 해당합니다.

dict.Add("grant_type", "client_credentials");

그리고 저 글에서는 "Password" 방식을 이용한 인증을 한다고 설명합니다. 그런데 좀 이해가 안 되는 면이 있다면, Password 방식은 "username"과 "password" 항목을 빼면 "Client credentials"에서 전달해야 할 값과 동일합니다. 그렇다는 것은 굳이 위험하게 더 많은 정보를 구할 필요 없이 그냥 "client_credentials" 방식으로 해도 될 것 같은데, 왜??? "Password" 방식이 있느냐 하는 것입니다. 혹시 아시는 분은 덧글 부탁드립니다. ^^




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 6/7/2019 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer@outlook.com

비밀번호

댓글 쓴 사람
 



2018-10-25 04시16분
[QNA] 전 완전 초짜입니다. 글 잘보고 있습니다.먼저 감사합니다.
제 소견입니다. 글쓰신건 정독을 안했습니다.. 만약 질문에 맞지 않는 답변이면 언제든~ 삭제하셔도 됩니다.

아주르나, 파이어베이스나 목적(?)은 비슷한 부분이 있지 않나 싶습니다.
전 파이어베이스 문서를 읽었는데.
개요는 게임서버용도로 사용할 수 있게끔 되어있습니다.
개개인별 읽고 쓰고 해야하기에
유저, 비번이 있는게 아닌가 싶습니다.
관리자(개발자) 따로, 사용자 접근이 가능하게..
제가 설명이 많이 부족해서... 앞으로도 글 잘보겠습니다.
[손님]
2018-10-25 05시21분
그러니까, 본문의 마지막에 제가 쓴 질문에 대한 덧글을 단 거죠? 정독을 하셔야 하는데... 일단 그 부분만 다시 설명을 하면.

client_credentials 방식으로 인증을 하는데에는 grant_type, client_id, client_secret, resource 4개의 필드만 채우면 됩니다. 그런데, grant_type을 password로 바꾸는 경우에는 앞의 4가지와 함께 username과 password를 별도로 더 넣어야 합니다. 어차피 인증은 동일한 IAM 계정으로 하게 될텐데 password 유형에서 왜 굳이 2개의 필드를 추가로 더 넣어야 하느냐가... 의문인 것입니다.
정성태
2018-11-14 09시02분
How to Use the ADAL .NET library to Call the Microsoft Graph API in a Console Application (Using Authorization Code Flow)
; https://blogs.msdn.microsoft.com/aaddevsup/2018/11/07/how-to-use-the-adal-net-library-to-call-the-microsoft-graph-api-in-a-console-application-using-authorization-code-flow
정성태

... 16  17  18  19  20  21  22  23  24  25  26  27  28  [29]  30  ...
NoWriterDateCnt.TitleFile(s)
11521정성태5/15/20182003개발 환경 구성: 377. Azure - 원하는 성능 데이터로 모니터링 대시보드 구성
11520정성태5/12/20182625.NET Framework: 748. C# 7.1 - 참조 어셈블리(Ref Assemblies)
11519정성태3/13/20192818개발 환경 구성: 376. ASP.NET Web Application 프로젝트의 FileSystem 배포(Publish) 시 Before/After Task 설정 방법 [1]
11518정성태5/11/20182514.NET Framework: 747. C# 7.0에서도 부분적으로 가능해진 "타입 추론을 통한 튜플의 변수명 자동 지정"
11517정성태5/10/20182801.NET Framework: 746. Azure runbook 예제 - 6시간 동안 수행 중인 VM을 중지 [1]파일 다운로드1
11516정성태5/9/20182148.NET Framework: 745. Azure runbook을 PowerShell 또는 C# 코드로 실행하는 방법파일 다운로드1
11515정성태6/8/20182522.NET Framework: 744. C# 6 - Expression bodied function
11514정성태5/3/20183969오류 유형: 466. Bitvise - Error in component session/transport/kexHandler [2]
11513정성태5/10/20184900.NET Framework: 743. C# 언어의 공변성과 반공변성 [5]파일 다운로드1
11512정성태5/3/20182231개발 환경 구성: 375. Azure runbook 실행 시 "Errors", "All Logs"에 오류 메시지가 출력되는 경우
11511정성태5/2/20182580개발 환경 구성: 374. Azure - Runbook 기능 소개
11510정성태4/30/20184219.NET Framework: 742. windbg로 확인하는 Finalizer를 가진 객체의 GC 과정파일 다운로드1
11509정성태4/28/20183689.NET Framework: 741. windbg로 확인하는 객체의 GC 여부
11508정성태4/23/20182945개발 환경 구성: 373. MSBuild를 이용해 프로젝트 배포 후 결과물을 zip 파일로 압축하는 방법파일 다운로드1
11507정성태9/29/20183163개발 환경 구성: 372. MSBuild - 빌드 전/후, 배포 전/후 실행하고 싶은 Task 정의
11506정성태6/27/20186107.NET Framework: 740. C#에서 enum을 boxing 없이 int로 변환하기 - 두 번째 이야기 [7]파일 다운로드1
11505정성태4/19/20182531개발 환경 구성: 371. Azure Web App 확장 예제 - Simple WebSite Extension
11504정성태4/19/20182683오류 유형: 465. Azure Web App 확장 - Extplorer File manager 적용 시 오류
11503정성태4/19/20182637오류 유형: 464. PowerShell - Start-Service 명령 오류 (Service 'xxx' cannot be started)
11502정성태5/12/20183684개발 환경 구성: 370. Azure VM/App Services(Web Apps)에 Let's Encrypt 무료 인증서 적용 방법 [2]
11501정성태4/17/20182415개발 환경 구성: 369. New-AzureRmADServicePrincipal로 생성한 계정의 clientSecret, key 값을 구하는 방법파일 다운로드1
11500정성태4/17/20182744개발 환경 구성: 368. PowerShell로 접근하는 Azure의 Access control 보안과 Azure Active Directory의 계정 관리 서비스
11499정성태4/17/20182315개발 환경 구성: 367. Azure - New-AzureRmADServicePrincipal / New-AzureRmRoleAssignment 명령어
11498정성태4/17/20182330개발 환경 구성: 366. Actvie Azure Directory의 사용자 유형 구분 - Guest/Member
11497정성태4/17/20182463개발 환경 구성: 365. Azure 리소스의 액세스 제어(Access control) 별로 사용자에게 권한을 할당하는 방법 [2]
11496정성태4/17/20182079개발 환경 구성: 364. Azure Portal에서 구독(Subscriptions) 메뉴가 보이지 않는 경우
... 16  17  18  19  20  21  22  23  24  25  26  27  28  [29]  30  ...