Microsoft MVP성태의 닷넷 이야기
.NET Framework: 800. C# - Azure REST API 사용을 위한 인증 획득 [링크 복사], [링크+제목 복사]
조회: 3283
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일

C# - Azure REST API 사용을 위한 인증 획득

지난 글에서,

C# - API를 사용해 Azure에 접근하는 방법
; https://www.sysnet.pe.kr/2/0/11480

이미 잘 만들어진 Azure 라이브러리를 이용한 Azure 서비스 제어를 해봤는데요. 마지막에 REST API를 위한 인증 및 사용법을 설명했지만, 아예 그걸 떼어내서 별도의 글로 정리를 합니다. ^^ 물론, 관련해서는 이미 마이크로소프트의 공식 문서에 다음과 같이 잘 설명하고 있습니다.

Authorize access to Azure Active Directory web applications using the OAuth 2.0 code grant flow
; https://docs.microsoft.com/en-us/azure/active-directory/develop/v1-protocols-oauth-code#request-an-authorization-code

OAuth 2.0 코드 권한 부여 흐름을 사용하여 Azure Active Directory 웹 응용 프로그램에 대한 액세스 권한 부여
; https://docs.microsoft.com/ko-kr/azure/active-directory/develop/v1-protocols-oauth-code#request-an-authorization-code

그래도 ^^ 좀 더 간단하게 정리를 해봤으니 참고가 되실 것입니다.




"Authorize access to Azure Active Directory web applications using the OAuth 2.0 code grant flow" 문서를 보면, 우리가 구해야 할 값은 결국 Azure REST API를 호출할 때마다 함께 전달될 "Authorization: Bearer ...access_token..." 값입니다. 이를 위해 필요한 것은 우선 지난 글에서 설명한,

C# - API를 사용해 Azure에 접근하는 방법
; https://www.sysnet.pe.kr/2/0/11480

IAM 계정입니다. 따라서, Azure CLI를 이용해 다음과 같이,

C:\WINDOWS\system32>az login
Note, we have launched a browser for you to login. For old experience with device code, use "az login --use-device-code"
You have logged in. Now let us find all the subscriptions to which you have access...
[
  {
    "cloudName": "AzureCloud",
    "id": "9757c718-3140-4b9b-b9f9-84ff080353b3",
    "isDefault": true,
    "name": "TestSubs",
    "state": "Enabled",
    "tenantId": "8fcc7edc-6fc9-4b63-ba94-93f2d8584b96",
    "user": {
      "name": "tester@tester.com",
      "type": "user"
    }
  }
]

C:\WINDOWS\system32>az ad sp create-for-rbac --sdk-auth
Retrying role assignment creation: 1/36
Retrying role assignment creation: 2/36
{
  "clientId": "20304878-9518-4506-aea3-a06caae4d55f",
  "clientSecret": "5590caf5-125e-4950-9fe3-9dea908a1059",
  "subscriptionId": "9757c718-3140-4b9b-b9f9-84ff080353b3",
  "tenantId": "8fcc7edc-6fc9-4b63-ba94-93f2d8584b96",
  "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
  "resourceManagerEndpointUrl": "https://management.azure.com/",
  "activeDirectoryGraphResourceId": "https://graph.windows.net/",
  "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
  "galleryEndpointUrl": "https://gallery.azure.com/",
  "managementEndpointUrl": "https://management.core.windows.net/"
}
(위의 'az ad sp ...' 명령어로 생성된 계정은 https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps 경로에서 확인할 수 있습니다.)

"az ad ..." 명령어의 결과로 출력된 인증 정보를 C# 소스 코드에 붙여 넣습니다.

using System.IO;
using System.Threading.Tasks;

namespace ConsoleApp1
{
    class Program
    {
        static async Task Main(string[] args)
        {
            AzureRestClient client = new AzureRestClient();

            string authData = "...[json text]...";
            await client.Login(authData);

            return 0;
        }
    }
}

using Newtonsoft.Json;
using System.Collections.Generic;
using System.Net.Http;
using System.Threading.Tasks;

namespace ConsoleApp1
{
    class AzureRestClient
    {
        HttpClient _client;
        string _subscriptionId;
        string _apiVersion = "2017-12-01";

        public AzureRestClient()
        {
            _client = new HttpClient();
        }

        public async Task<bool> Login(string authData)
        {
            AuthInfo authInfo = JsonConvert.DeserializeObject<AuthInfo>(authData);
            if (authInfo == null)
            {
                return false;
            }
        }
    }
}

public class AuthInfo
{
    public string clientId { get; set; }
    public string clientSecret { get; set; }
    public string subscriptionId { get; set; }
    public string tenantId { get; set; }
    public string activeDirectoryEndpointUrl { get; set; }
    public string resourceManagerEndpointUrl { get; set; }
    public string activeDirectoryGraphResourceId { get; set; }
    public string sqlManagementEndpointUrl { get; set; }
    public string galleryEndpointUrl { get; set; }
    public string managementEndpointUrl { get; set; }
}

그다음, AuthInfo 구조체의 정보를 기반으로 OAuth 인증을 받으면 됩니다. (사실, AuthInfo에서 필요한 필드는 3개에 불과합니다.)

public async Task<bool> Login(string authData)
{
    AuthInfo authInfo = JsonConvert.DeserializeObject<AuthInfo>(authData);
    if (authInfo == null)
    {
        return false;
    }

    string oauth2AzureAD = string.Format("https://login.microsoftonline.com/{0}/oauth2/token", authInfo.tenantId);

    var dict = new Dictionary<string, string>();
    dict.Add("grant_type", "client_credentials");
    dict.Add("client_id", authInfo.clientId);
    dict.Add("client_secret", authInfo.clientSecret);
    dict.Add("resource", authInfo.resourceManagerEndpointUrl);
    var client = new HttpClient();
    var req = new HttpRequestMessage(HttpMethod.Post, oauth2AzureAD) { Content = new FormUrlEncodedContent(dict) };
    HttpResponseMessage hrm = await client.SendAsync(req);

    //...

    return true;
}

정상적으로 인증이 되었다면 다음과 같이 결과를 처리할 수 있습니다.

public async Task<bool> Login(string authData)
{
    //...[생략]...
    HttpResponseMessage hrm = await client.SendAsync(req);

    string result = await hrm.Content.ReadAsStringAsync();

    TokenInfo tokenInfo = JsonConvert.DeserializeObject<TokenInfo>(result);
    string tokenType = tokenInfo.token_type;
    string accessToken = tokenInfo.access_token;

    // ...
}

public class TokenInfo
{
    public string token_type { get; set; }
    public string expires_in { get; set; }
    public string ext_expires_in { get; set; }
    public string expires_on { get; set; }
    public string not_before { get; set; }
    public string resource { get; set; }
    public string access_token { get; set; }
}

바로 저렇게 받아온 tokenType과 accessToken을 기반으로 이후의 모든 호출에서 재사용하도록 HTTP 헤더에 설정해 주면 됩니다.

TokenInfo tokenInfo = JsonConvert.DeserializeObject<TokenInfo>(result);
string tokenType = tokenInfo.token_type;
string accessToken = tokenInfo.access_token;

string authHeader = string.Format("{0} {1}", tokenType, accessToken);
_client.DefaultRequestHeaders.Add("Authorization", authHeader);
_subscriptionId = authInfo.subscriptionId;

예를 들어, 다음의 Azure REST API를 호출해 보겠습니다.

Virtual Machines - List All
; https://docs.microsoft.com/en-us/rest/api/compute/virtualmachines/listall

위의 도움말에서 "Try It" 버튼을 누르면,

azure_rest_api_auth_1.png

(인증 후) "REST API Try It" 패널로 진입합니다.

azure_rest_api_auth_2.png

게임 끝이군요. 위의 화면에서 (스크롤하면) 하단 "Run" 버튼을 누르면 Request/Response에 대한 모든 내용을 확인할 수 있습니다. 따라서 위의 정보에 맞게 우리도 호출해 주고 반환된 json 정보를 잘 이용하면 되는 것입니다.

public async Task<VirtualMachineList> GetVMList()
{
    string url = string.Format(
        "https://management.azure.com/subscriptions/{0}/providers/Microsoft.Compute/virtualMachines?api-version={1}", _subscriptionId, _apiVersion);

    HttpResponseMessage hrm = await _client.GetAsync(url);
    string result = await hrm.Content.ReadAsStringAsync();

    VirtualMachineList list = JsonConvert.DeserializeObject<VirtualMachineList>(result);
    return list;
}

static async Task<int> Main(string[] args)
{
    AzureRestClient client = new AzureRestClient();

    string authData = ..."az ad ..." 명령어의 결과...
    if (await client.Login(authData) == true)
    {
        VirtualMachineList machines = await client.GetVMList();
        foreach (var machine in machines.value)
        {
            Console.WriteLine($"{machine.name} at {machine.location}");
        }
    }            

    return 0;
}

/*
출력 결과:

vm1 at koreacentral
myvm at koreacentral
*/

(첨부 파일은 이 글의 예제 코드를 포함합니다.)




참고로 다음의 글들도 읽어 보면 좋습니다.

Azure Active Directory-Authentication OAuth 2.0-Type Password
; https://medium.com/nearsoft-solutions/azure-active-directory-authentication-oauth-2-0-type-password-e119f9a5ad4c

Azure REST APIs with Postman in 2 Minutes
; https://blog.jongallant.com/2017/11/azure-rest-apis-postman/

SubscriptionCloudCredentials Class
; https://docs.microsoft.com/en-us/previous-versions/azure/reference/dn604052(v%3Dazure.100)

첫 번째 링크의 글이 재미있는데요. OAuth 2의 인증 방식이 "Password", "Client credentials", "Implicit", "Authorization Code" 방식이 있다고 하는데, 그에 의하면 제가 설명한 방식은 "Client credentials"에 해당합니다.

dict.Add("grant_type", "client_credentials");

그리고 저 글에서는 "Password" 방식을 이용한 인증을 한다고 설명합니다. 그런데 좀 이해가 안 되는 면이 있다면, Password 방식은 "username"과 "password" 항목을 빼면 "Client credentials"에서 전달해야 할 값과 동일합니다. 그렇다는 것은 굳이 위험하게 더 많은 정보를 구할 필요 없이 그냥 "client_credentials" 방식으로 해도 될 것 같은데, 왜??? "Password" 방식이 있느냐 하는 것입니다. 혹시 아시는 분은 덧글 부탁드립니다. ^^




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]



donaricano-btn



[최초 등록일: ]
[최종 수정일: 7/6/2020 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer@outlook.com

비밀번호

댓글 쓴 사람
 



2018-10-25 04시16분
[QNA] 전 완전 초짜입니다. 글 잘보고 있습니다.먼저 감사합니다.
제 소견입니다. 글쓰신건 정독을 안했습니다.. 만약 질문에 맞지 않는 답변이면 언제든~ 삭제하셔도 됩니다.

아주르나, 파이어베이스나 목적(?)은 비슷한 부분이 있지 않나 싶습니다.
전 파이어베이스 문서를 읽었는데.
개요는 게임서버용도로 사용할 수 있게끔 되어있습니다.
개개인별 읽고 쓰고 해야하기에
유저, 비번이 있는게 아닌가 싶습니다.
관리자(개발자) 따로, 사용자 접근이 가능하게..
제가 설명이 많이 부족해서... 앞으로도 글 잘보겠습니다.
[손님]
2018-10-25 05시21분
그러니까, 본문의 마지막에 제가 쓴 질문에 대한 덧글을 단 거죠? 정독을 하셔야 하는데... 일단 그 부분만 다시 설명을 하면.

client_credentials 방식으로 인증을 하는데에는 grant_type, client_id, client_secret, resource 4개의 필드만 채우면 됩니다. 그런데, grant_type을 password로 바꾸는 경우에는 앞의 4가지와 함께 username과 password를 별도로 더 넣어야 합니다. 어차피 인증은 동일한 IAM 계정으로 하게 될텐데 password 유형에서 왜 굳이 2개의 필드를 추가로 더 넣어야 하느냐가... 의문인 것입니다.
정성태
2018-11-14 09시02분
How to Use the ADAL .NET library to Call the Microsoft Graph API in a Console Application (Using Authorization Code Flow)
; https://blogs.msdn.microsoft.com/aaddevsup/2018/11/07/how-to-use-the-adal-net-library-to-call-the-microsoft-graph-api-in-a-console-application-using-authorization-code-flow
정성태

1  2  3  4  5  6  7  8  [9]  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12291정성태8/15/2020648오류 유형: 638. error 1297: Device driver does not install on any devices, use primitive driver if this is intended.
12290정성태10/26/20201012.NET Framework: 931. C# - IP 주소에 따른 국가별 위치 확인 [7]파일 다운로드1
12289정성태8/6/2020592개발 환경 구성: 502. Portainer에 윈도우 컨테이너를 등록하는 방법
12288정성태8/5/2020532오류 유형: 637. WCF - The protocol 'net.tcp' does not have an implementation of HostedTransportConfiguration type registered.
12287정성태8/5/2020450오류 유형: 636. C# - libdl.so를 DllImport로 연결 시 docker container 내에서 System.DllNotFoundException 예외 발생
12286정성태8/5/2020556개발 환경 구성: 501. .NET Core 용 container 이미지 만들 때 unzip이 필요한 경우
12285정성태8/4/2020928오류 유형: 635. 윈도우 10 업데이트 - 0xc1900209 [2]
12284정성태8/26/2020798디버깅 기술: 169. Hyper-V의 VM에 대한 메모리 덤프를 뜨는 방법
12283정성태8/3/2020508디버깅 기술: 168. windbg - 필터 드라이버 확인하는 확장 명령어(!fltkd)
12282정성태8/2/2020461디버깅 기술: 167. windbg 디버깅 사례: AppDomain 간의 static 변수 사용으로 인한 crash (2)
12281정성태8/2/2020788개발 환경 구성: 500. (PDB 연결이 없는) DLL의 소스 코드 디버깅을 dotPeek 도구로 해결하는 방법
12280정성태8/2/2020723오류 유형: 634. 오라클 (평생) 무료 클라우드 VM 생성 후 SSH 접속 시 키 오류 발생
12279정성태7/29/2020486개발 환경 구성: 499. 닷넷에서 접근해보는 InterSystems의 Cache 데이터베이스파일 다운로드1
12278정성태8/2/2020427VS.NET IDE: 149. ("Binary was not built with debug information" 상태로) 소스 코드 디버깅이 안되는 경우
12277정성태8/2/2020725개발 환경 구성: 498. DEVPATH 환경 변수의 사용 예 - .NET Reflector의 (PDB 연결이 없는) DLL의 소스 코드 디버깅
12276정성태7/23/2020666.NET Framework: 930. 개발자를 위한 닷넷 어셈블리 바인딩 - DEVPATH 환경 변수
12275정성태7/28/2020617개발 환경 구성: 497. 닷넷에서 접근해보는 InterSystems의 IRIS Data Platform 데이터베이스파일 다운로드1
12274정성태7/21/2020658개발 환경 구성: 496. Azure - Blob Storage Account의 Location 이전 방법파일 다운로드1
12273정성태7/20/2020741개발 환경 구성: 495. Azure - Location이 다른 웹/DB 서버의 경우 발생하는 성능 하락
12272정성태7/16/2020468.NET Framework: 929. (StrongName의 버전 구분이 필요 없는) .NET Core 어셈블리 바인딩 규칙파일 다운로드1
12271정성태7/16/2020531.NET Framework: 928. .NET Framework의 Strong-named 어셈블리 바인딩 (2) - 런타임에 바인딩 리디렉션파일 다운로드1
12270정성태7/16/2020830오류 유형: 633. SSL_CTX_use_certificate_file - error:140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small
12269정성태7/16/2020461오류 유형: 632. .NET Core 웹 응용 프로그램 - The process was terminated due to an unhandled exception.
12268정성태7/15/2020511오류 유형: 631. .NET Core 웹 응용 프로그램 오류 - HTTP Error 500.35 - ANCM Multiple In-Process Applications in same Process
12267정성태7/15/2020755.NET Framework: 927. C# - 윈도우 프로그램에서 Credential Manager를 이용한 보안 정보 저장파일 다운로드1
12266정성태7/14/2020587오류 유형: 630. 사용자 계정을 지정해 CreateService API로 서비스를 등록한 경우 "Error 1069: The service did not start due to a logon failure." 오류발생
1  2  3  4  5  6  7  8  [9]  10  11  12  13  14  15  ...