시나리오: Web API가 Web API를 대신 호출(대리 호출 시나리오)

사용자 역할을 하는 또 다른 Web API를 호출하는 Web API를 빌드하는 방법을 알아봅니다.

이 문서를 읽기 전에 AD FS 개념 및 On-Behalf_Of 흐름을 숙지해야 합니다.

Overview

• 아래 다이어그램에 표시되지 않은 클라이언트(웹 앱)는 보호된 웹 API를 호출하고 "권한 부여" Http 헤더에 JWT 전달자 토큰을 제공합니다.

• 보호된 Web API는 토큰의 유효성을 검사하고 MSAL AcquireTokenOnBehalfOf 메서드를 사용하여 AD FS에서 다른 토큰을 요청하여 사용자를 대신하여 두 번째 웹 API(다운스트림 웹 API라는 이름)를 호출할 수 있게 합니다.

• 보호된 웹 API는 이 토큰으로 다운스트림 API를 호출합니다. AcquireTokenSilentlater를 호출하여 다른 다운스트림 API에 대한 토큰을 요청할 수도 있습니다(그러나 여전히 동일한 사용자를 대신함). AcquireTokenSilent는 필요할 때 토큰을 새로 고칩니다.

  

To better understand how to configure on behalf of auth scenario in AD FS, let's use a sample available here and walkthrough the app registration and code configuration steps.

Pre-requisites

• GitHub 클라이언트 도구
• AD FS 2019 이상 구성 및 실행
• Visual Studio 2013 이상

AD FS에 앱 등록

이 섹션는 네이티브 앱을 공용 클라이언트로 등록하고 Web API를 AD FS에서 RP(신뢰 당사자)로 등록하는 방법을 설명합니다.

1. In AD FS Management, right-click on Application Groups and select Add Application Group.

2. On the Application Group Wizard, for the Name enter WebApiToWebApi and under Client-Server applications select the Native application accessing a Web API template. Click Next.

   

3. Copy the Client Identifier value. It will be used later as the value for ClientId in the application's App.config file. Enter the following for Redirect URI: - https://ToDoListClient. Click Add. Click Next.

   

4. On the Configure Web API screen, enter the Identifier:https://localhost:44321/. Click Add. Click Next. This value will be used later in the application's App.config and Web.Config files.

   

5. On the Apply Access Control Policy screen, select Permit everyone and click Next.

   

6. On the Configure Application Permissions screen, select openid and user_impersonation. Click Next.

   

7. On the Summary screen, click Next.

8. On the Complete screen, click Close.

9. In AD FS Management, click on Application Groups and select WebApiToWebApi application group. Right-click and select Properties.

   

10. On WebApiToWebApi properties screen, click Add application….

    

11. Under Standalone applications, select Server application.

    

12. On Server Application screen, add https://localhost:44321/ as the Client Identifier and Redirect URI.

    

13. 애플리케이션 자격 증명 구성 화면에서 공유 비밀 생성을 선택합니다. 나중에 사용할 비밀을 복사합니다.

    

14. On the Summary screen, click Next.

15. On the Complete screen, click Close.

16. In AD FS Management, click on Application Groups and select WebApiToWebApi application group. Right-click and select Properties.

    

17. On WebApiToWebApi properties screen, click Add application….

    

18. Under Standalone applications, select Web API.

    

19. On Configure Web API, add https://localhost:44300 as the Identifier.

    

20. On the Apply Access Control Policy screen, select Permit everyone and click Next.

    

21. On the Configure Application Permissions screen, click Next.

    

22. On the Summary screen, click Next.

23. On the Complete screen, click Close.

24. WebApiToWebApi – Web API 2 속성 화면에서 확인 클릭

25. WebApiToWebApi 속성 화면에서 WebApiToWebApi – Web API를 선택하고 편집…을 클릭합니다.

    

26. WebApiToWebApi – Web API 속성 화면에서 발급 변환 규칙 탭을 선택하고 규칙 추가…를 클릭합니다.

    

27. 추가 변환 클레임 규칙 마법사의 드롭다운에서 사용자 지정 규칙으로 클레임 전송을 선택하고 다음을 클릭합니다.

    

28. Enter PassAllClaims in Claim rule name: field and x:[] => issue(claim=x); claim rule in Custom rule: field and click Finish.

    

29. WebApiToWebApi – Web API 속성 화면에서 확인 클릭

30. WebApiToWebApi 속성 화면에서 WebApiToWebApi – Web API 2를 선택하고 편집… 클릭
    

31. WebApiToWebApi – Web API 2 속성 화면에서 발급 변환 규칙 탭을 선택하고 규칙 추가…를 클릭합니다.

32. 변환 클레임 규칙 마법사의 화면에서 드롭다운 메뉴에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택하고 다음을 클릭하십시오.

33. PassAllClaims를 Claim rule name: 필드에 입력하고, 그리고 x:[] => issue(claim=x); claim rule를 Custom rule: 필드에 입력한 다음 마침을 클릭합니다.

    

34. WebApiToWebApi – Web API 2 속성 화면과 WebApiToWebApi 속성 화면에서 확인을 각각 클릭합니다.

Code Configuration

이 섹션는 다른 Web API를 호출하도록 Web API를 구성하는 방법을 설명합니다.

1. Download the sample from here

2. Visual Studio를 사용하여 샘플 열기

3. App.config 파일을 엽니다. 다음을 수정합니다.

   • ida:Authority - https://[당신의 AD FS 호스트 이름]/adfs/ 를 입력하세요.

   • ida:ClientId - 위의 AD FS 섹션에서 앱 등록의 #3 값을 입력합니다.

   • ida:RedirectUri - 위의 AD FS 섹션에서 앱 등록의 #3 값을 입력합니다.

   • todo:TodoListResourceId – 위의 AD FS 섹션에서 앱 등록에서 #4의 식별자 값 입력

   • ida: todo:TodoListBaseAddress - 위의 AD FS 섹션에서 앱 등록에서 #4의 식별자 값을 입력합니다.

     

4. ToDoListService 아래의 Web.config 파일을 엽니다. 다음을 수정합니다.

   • ida:Audience - 위의 AD FS 섹션에서 앱 등록에서 #12의 클라이언트 식별자 값을 입력합니다.

   • ida:ClientId - 위의 AD FS 섹션에서 앱 등록에서 #12의 클라이언트 식별자 값을 입력합니다.

   • Ida: ClientSecret - 위의 AD FS 섹션에서 앱 등록에서 #13에서 복사한 공유 비밀을 입력합니다.

   • ida:RedirectUri - 위의 AD FS 섹션에서 앱 등록의 #12에서 RedirectUri 값을 입력합니다.

   • ida: AdfsMetadataEndpoint - https://[AD FS 호스트 이름]/federationmetadata/2007-06/federationmetadata.xml에 접속합니다.

   • ida:OBOWebAPIBase - 위의 AD FS 섹션에서 앱 등록에서 #19의 식별자 값을 입력합니다.

   • ida:Authority - 입력 https://[your AD FS hostname]/adfs

     

5. WebAPIOBO 아래의 Web.config 파일을 엽니다. 다음을 수정합니다.

   • ida: AdfsMetadataEndpoint - https://[AD FS 호스트 이름]/federationmetadata/2007-06/federationmetadata.xml에 접속합니다.

   • ida:Audience - 위의 AD FS 섹션에서 앱 등록에서 #12의 클라이언트 식별자 값을 입력합니다.

     

샘플 테스트

이 섹션은 위에서 구성한 샘플을 테스트하는 방법을 보여줍니다.

코드가 변경되면 솔루션을 다시 빌드

1. Visual Studio에서 솔루션을 마우스 오른쪽 단추로 클릭하고 시작 프로젝트 설정... 선택

   

2. On the Properties pages make sure Action is set to Start for each of the Projects, except TodoListSPA.

   

3. Visual Studio 맨 위에서 녹색 화살표를 클릭합니다.

   

4. On the Native App's Main Screen, click on Sign In.

   

   네이티브 앱 화면이 표시되지 않으면 시스템에 프로젝트 리포지토리가 저장된 폴더에서 *msalcache.bin 파일을 검색하여 제거합니다.

5. AD FS 로그인 페이지로 리디렉션될 수 있습니다. 로그인하세요.

   

6. 로그인한 후에 할 일 만들기 항목에서 Web Api 호출에 대한 텍스트 Web Api를 입력합니다. Click Add item. 그러면 Web API(To Do List Service)를 호출한 다음 Web API 2(WebAPIOBO)를 호출하여 캐시에 항목을 추가합니다.

   

Next Steps

AD FS OpenID Connect/OAuth 흐름 및 애플리케이션 시나리오