Microsoft MVP성태의 닷넷 이야기
.NET Framework: 1082. Azure Active Directory - Microsoft Graph API 호출 방법 [링크 복사], [링크+제목 복사]
조회: 1513
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일

Azure Active Directory - Microsoft Graph API 호출 방법

지난 예제에서,

C# - Azure AD 인증을 지원하는 ASP.NET Core/5+ 웹 애플리케이션 예제 구성
; https://www.sysnet.pe.kr/2/0/12614

Azure AD 인증을 해봤는데요, 그럼 해당 인증 정보를 기반으로 Microsoft Graph도 호출해 보면 좋겠죠? ^^

그리고 이에 대해서는 다음의 문서에 이미 잘 나와 있습니다.

A web app that calls web APIs: Call a web API
; https://docs.microsoft.com/en-us/azure/active-directory/develop/scenario-web-app-call-api-call-api

이번 글에서는 "C# - Azure AD 인증을 지원하는 ASP.NET Core/5+ 웹 애플리케이션 예제 구성" 글에 실은 예제를 바탕으로 위의 글을 적용해 보겠습니다.




우선, appsettings.json에 API 호출을 위한 ClientSecret 또는 ClientCertificates를 지정해야 하는데요,

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "[...client_id...]",
    "TenantId": "[...tenant_id...]"

   // To call an API
   "ClientSecret": "[client_secret_value]",
   "ClientCertificates": [ /* 또는 인증서 지정 */
  ]
 },
 "Graph": {
    "BaseUrl": "https://graph.microsoft.com/v1.0",
    "Scopes": "user.read"
    }
}

이를 위해서는 "C# - Azure AD 인증을 지원하는 ASP.NET Core/5+ 웹 애플리케이션 예제 구성"에서 만들었던 (예제에서는 test-auth-webapp) App에 "Certificates & secrets" 설정을 통해 새로운 ClientSecret을 생성합니다.

user_profile_info_from_aad_2.png

생성 시 단 한번 ClientSecret 값이 보이기 때문에 복사해서 위의 appsettings.json에 붙여주면 됩니다.

이제 코드를 변경해야 하는데요, 이를 위해 패키지를 하나 더 추가하고,

// Install-Package Microsoft.AspNetCore.Authentication.OpenIdConnect
// Install-Package Microsoft.Identity.Web

Install-Package Microsoft.Identity.Web.MicrosoftGraph

Startup.cs의 ConfigureServices에 아래와 같은 코드를 추가합니다.

public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
            .AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
            .EnableTokenAcquisitionToCallDownstreamApi(new string[] { "user.read" })
            .AddMicrosoftGraph(Configuration.GetSection("Graph"))
            .AddInMemoryTokenCaches();

    services.AddControllersWithViews(options =>
    {
        var policy = new AuthorizationPolicyBuilder()
            .RequireAuthenticatedUser()
            .Build();
        options.Filters.Add(new AuthorizeFilter(policy));
    });

    services.AddRazorPages();
}

이렇게 해주면, 이후 AccessToken이 설정된 GraphServiceClient 인스턴스를 생성자를 통해 주입받을 수 있습니다.

using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.Cookies;
using Microsoft.AspNetCore.Mvc.RazorPages;
using Microsoft.Extensions.Logging;
using Microsoft.Graph;
using Microsoft.Identity.Web;
using System.Threading.Tasks;

namespace WebApplication1.Pages
{
    public class IndexModel : PageModel
    {
        private readonly GraphServiceClient _graphServiceClient;
        private readonly ILogger<IndexModel> _logger;

        public IndexModel(ILogger<IndexModel> logger, GraphServiceClient graphServiceClient)
        {
            _logger = logger;
            _graphServiceClient = graphServiceClient;
        }

        public async Task OnGet()
        {
            var user = await _graphServiceClient.Me.Request().GetAsync();

            ViewData["tel"] = user.MobilePhone;
        }
    }
}

위의 코드에서는 MobilePhone 정보를 구하는데, 테스트를 위해 Azure Portal에서 로그인 사용자의 프로파일 정보 중 "Mobile phone"을 수정하고,

microsoft_graph_user_profile_1.png

실행해 보면 정상적으로 동작하는 것을 확인할 수 있습니다. (참고로 GraphServiceClient를 직접 주입받지 않고 ITokenAcquisition을 통해 Access Token을 구한 후 구성하는 것도 가능합니다.)

(첨부 파일은 이 글의 예제 코드를 포함합니다.)




그런데, 저 코드는 그냥 테스트 용도 이외에 실 서버에서는 사용할 수 없습니다. (사실, 테스트로도 무척 불편한 코드입니다.)

왜냐하면, 토큰을 메모리에 보관하기 때문입니다.

services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
        .AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
        .EnableTokenAcquisitionToCallDownstreamApi(new string[] { "user.read" })
        .AddMicrosoftGraph(Configuration.GetSection("Graph"))
        .AddInMemoryTokenCaches();

그래서, 서버 프로세스 (개발 중에는 iisexpress.exe)를 다시 실행하게 되면 (로그아웃을 명시적으로 하지 않았기 때문에) 여전히 인증 중이지만 _graphServiceClient 호출 코드에서 다음과 같은 오류가 발생합니다.

Microsoft.Identity.Client.MsalUiRequiredException
  HResult=0x80131500
  Message=No account or login hint was passed to the AcquireTokenSilent call. 
  Source=Microsoft.Identity.Client
  StackTrace:
   at Microsoft.Identity.Client.Internal.Requests.Silent.SilentRequest.<ExecuteAsync>d__5.MoveNext()
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/ExceptionServices/ExceptionDispatchInfo.cs:line 56
   at Microsoft.Identity.Client.Internal.Requests.Silent.SilentRequest.<ExecuteAsync>d__5.MoveNext()

  This exception was originally thrown at this call stack:
    [External Code]
    System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in ExceptionDispatchInfo.cs
    [External Code]

왜냐하면, access token을 "AddInMemoryTokenCaches"에 보관했기 때문에 해당 정보가 더 이상 유효하지 않은 것입니다. (그래서 테스트를 하려면 다시 명시적인 로그아웃을 한 다음, 로그인을 반복하는 식으로 진행해야 합니다.)

이에 대해서는 다음의 문서에서 잘 설명하고 있는데요,

Token cache serialization in MSAL.NET
; https://docs.microsoft.com/en-us/azure/active-directory/develop/msal-net-token-cache-serialization?tabs=aspnetcore

AddInMemoryTokenCaches

In memory token cache serialization. This implementation is great in samples. It's also good in production applications provided you don't mind if the token cache is lost when the web app is restarted. AddInMemoryTokenCaches takes an optional parameter of type MsalMemoryTokenCacheOptions that enables you to specify the duration after which the cache entry will expire unless it's used.


token cache 관련해서 그 외에 AddSessionTokenCaches, AddDistributedTokenCaches를 제공하는데 대개의 경우 현업에서 실 서비스를 하려면 AddDistributedTokenCaches를 사용해야 할 것입니다. (혹은 AddSessionTokenCaches를 사용한다면 외부 세션 저장소를 사용해야 할 듯하고.)

재미있는 것은, 아래의 문서에 소개된,

Acquiring tokens with authorization codes on web apps
; https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/wiki/Acquiring-tokens-with-authorization-codes-on-web-apps

예제 프로젝트를 보면,

Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2
; https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/tree/aspnetcore2-2-signInAndCallGraph

쿠키를 token cache로 사용하는 CookieBasedTokenCacheExtension 예제 코드를 볼 수 있습니다.

active-directory-aspnetcore-webapp-openidconnect-v2/Extensions/AuthPropertiesTokenCacheHelper.cs /
; https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/blob/aspnetcore2-2-signInAndCallGraph/Extensions/AuthPropertiesTokenCacheHelper.cs

이를 사용하는 측에도 주석에 방법을 설명하는데요,

// https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/blob/aspnetcore2-2-signInAndCallGraph/Startup.cs
// Token acquisition service and its cache implementation
services.AddTokenAcquisition()
        .AddDistributedMemoryCache()
        .AddInMemoryTokenCache()
        /* you could use a cookie based token cache by reaplacing the last
            * trew lines by : .AddCookie().AddCookieBasedTokenCache()  */
        ;

실제로 해보면, .AddCookie().AddCookieBasedTokenCache()와 같이 자연스럽게 연결이 안 됩니다. (아마도 MSAL.NET의 전신이었던 Azure AD v2.0/ADAL.NET으로 불리던 시절에 잘 동작했을 것입니다.) 이 부분은 나중에 살펴봐야겠지만, 아마... 시간이 지나면 라이브러리 차원에서 추가되지 않을까...라는 기대를 해봅니다. ^^




만약 다음과 같이 "Invalid version" 오류가 발생한다면?

Microsoft.Graph.ServiceException
  HResult=0x80131500
  Message=Code: BadRequest
Message: Invalid version.
Inner error:
    AdditionalData:
    date: ...[생략]...
    request-id: ...[생략]...
    client-request-id: ...[생략]...
ClientRequestId: ...[생략]...

  Source=Microsoft.Graph.Core
  StackTrace:
   at Microsoft.Graph.HttpProvider.<SendAsync>d__18.MoveNext()
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/ExceptionServices/ExceptionDispatchInfo.cs:line 56
   at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task) in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 173
   at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 150
   at System.Runtime.CompilerServices.ConfiguredTaskAwaitable`1.ConfiguredTaskAwaiter.GetResult() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 551
   at Microsoft.Graph.BaseRequest.<SendRequestAsync>d__38.MoveNext()

  This exception was originally thrown at this call stack:
    [External Code]
    System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in ExceptionDispatchInfo.cs
    System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(System.Threading.Tasks.Task) in TaskAwaiter.cs
    System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(System.Threading.Tasks.Task) in TaskAwaiter.cs
    System.Runtime.CompilerServices.ConfiguredTaskAwaitable<TResult>.ConfiguredTaskAwaiter.GetResult() in TaskAwaiter.cs
    [External Code]

appsettings.json 파일의 "Graph" 경로를 잘 못 설정해서 그런 것입니다.

"Graph": {
    "BaseUrl": "https://graph.microsoft.com/",
    "Scopes": "user.read"
}

위와 같이 하면 안 되고, 하위에 버전까지 명시를 해야 합니다.

"Graph": {
    "BaseUrl": "https://graph.microsoft.com/v1.0",
    "Scopes": "user.read"
}




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]






[최초 등록일: ]
[최종 수정일: 7/30/2021]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 




1  2  3  4  5  6  7  [8]  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12891정성태12/23/2021633스크립트: 38. 파이썬 - uwsgi의 --master 옵션
12890정성태12/23/2021672VC++: 152. Golang - (문자가 아닌) 바이트 위치를 반환하는 strings.IndexRune 함수
12889정성태12/22/20211060.NET Framework: 1123. C# - (SharpDX + DXGI) 화면 캡처한 이미지를 빠르게 JPG로 변환하는 방법파일 다운로드1
12888정성태12/21/2021858.NET Framework: 1122. C# - ImageCodecInfo 사용 시 System.Drawing.Image와 System.Drawing.Bitmap에 따른 Save 성능 차이파일 다운로드1
12887정성태12/21/2021892오류 유형: 777. OpenCVSharp4를 사용한 프로그램 실행 시 "The type initializer for 'OpenCvSharp.Internal.NativeMethods' threw an exception." 예외 발생
12886정성태12/20/2021727스크립트: 37. 파이썬 - uwsgi의 --enable-threads 옵션
12885정성태12/20/2021482오류 유형: 776. uwsgi-plugin-python3 환경에서 MySQLdb 사용 환경
12884정성태12/20/2021475개발 환경 구성: 620. Windows 10+에서 WMI root/Microsoft/Windows/WindowsUpdate 네임스페이스 제거
12883정성태12/19/2021644오류 유형: 775. uwsgi-plugin-python3 환경에서 "ModuleNotFoundError: No module named 'django'" 오류 발생
12882정성태12/18/2021531개발 환경 구성: 619. Windows Server에서 WSL을 위한 리눅스 배포본을 설치하는 방법
12881정성태12/17/2021607개발 환경 구성: 618. WSL Ubuntu 20.04에서 파이썬을 위한 uwsgi 설치 방법 (2)
12880정성태12/16/2021602VS.NET IDE: 170. Visual Studio에서 .NET Core/5+ 역어셈블 소스코드 확인하는 방법
12879정성태12/16/20212377오류 유형: 774. Windows Server 2022 + docker desktop 설치 시 WSL 2로 선택한 경우 "Failed to deploy distro docker-desktop to ..." 오류 발생
12878정성태12/15/2021677개발 환경 구성: 617. 윈도우 WSL 환경에서 같은 종류의 리눅스를 다중으로 설치하는 방법
12877정성태12/15/2021548스크립트: 36. 파이썬 - pymysql 기본 예제 코드
12876정성태12/14/2021583개발 환경 구성: 616. Custom Sources를 이용한 Azure Monitor Metric 만들기
12875정성태12/13/2021562스크립트: 35. python - time.sleep(...) 호출 시 hang이 걸리는 듯한 문제
12874정성태12/13/2021478오류 유형: 773. shell script 실행 시 "$'\r': command not found" 오류
12873정성태12/12/2021701오류 유형: 772. 리눅스 - PATH에 등록했는데도 "command not found"가 나온다면?
12872정성태12/12/2021606개발 환경 구성: 615. GoLang과 Python 빌드가 모두 가능한 docker 이미지 만들기
12871정성태12/12/20211343오류 유형: 771. docker: Error response from daemon: OCI runtime create failed
12870정성태12/9/2021548개발 환경 구성: 614. 파이썬 - PyPI 패키지 만들기 (4) package_data 옵션
12869정성태12/8/2021644개발 환경 구성: 613. git clone 실행 시 fingerprint 묻는 단계를 생략하는 방법
12868정성태12/7/2021514오류 유형: 770. twine 업로드 시 "HTTPError: 400 Bad Request ..." 오류
12867정성태12/7/2021568개발 환경 구성: 612. 파이썬 - PyPI 패키지 만들기 (3) entry_points 옵션
12866정성태12/7/20212288오류 유형: 769. "docker build ..." 시 "failed to solve with frontend dockerfile.v0: failed to read dockerfile ..." 오류
1  2  3  4  5  6  7  [8]  9  10  11  12  13  14  15  ...