问题描述

查看官方文档“ Get a user ” , 产生了一个操作示例的想法，在中国区Azure环境中，演示如何获取AAD User信息。

问题解答

使用Microsoft Graph API，演示如何获取AAD User信息，因参考文档是针对Global Azure，所以文档种的URL为：

// Global Azure Microsoft Graph API 
Host GET https://graph.microsoft.com/v1.0/me 

需要修改为

// 中国区Azure的Microsoft Graph API Host
GET https://microsoftgraph.chinacloudapi.cn/v1.0/me 

第一步：使用 https://microsoftgraph.chinacloudapi.cn/v1.0/me 来查询自己的用户信息，失败！提示需要Access Token

image.png

那么：如何来获取Access Token呢？

第二步：使用az login 和az account access-token命令来获取正确的Authentication (Bearer .....)

1. 设置登录环境为中国区 Azure

2. az login 登录，在弹出框种输入Azure用户名及密码

3. 使用 az account access-token 生成 Access Token

##设置Azure 环境为 Azure China Cloud
az cloud set --name AzureChinaCloud

##登录
az login

## 生成 Access Token
az account get-access-token

当使用以上指令生成的 Access Token 放入 https://microsoftgraph.chinacloudapi.cn/v1.0/me 请求，继续错误。错误消息提示 Audience不对 **[Access token validation failure. Invalid audience.] **

image.png

在 jwt.ms 上去解析Access Token后，发现aud使用的是 "https://management.core.chinacloudapi.cn/", 而我们请求的URL 是** https://microsoftgraph.chinacloudapi.cn/**

image.png

所以，需要在生成Access Token时，指定 aud， 正确命令为：** az account get-access-token --resource 'https://microsoftgraph.chinacloudapi.cn/'**

## 设置Azure 环境为 Azure China Cloud
az cloud set --name AzureChinaCloud

## 登录
az login

#### 生成 Access Token, 使用默认resource (https://management.core.chinacloudapi.cn/) 作为 aud，
##az account get-access-token

## 修改resource为microsoft graph api
az account get-access-token --resource 'https://microsoftgraph.chinacloudapi.cn/'

第三步：生成正确的Access Token，访问 Microsoft Graph API 获取me信息，成功

image.png

第四步：接下来，通过User ID或者UserPrincipalName获取其他用户的信息，一个失误引发的400 Bad Request错误

image.png

思考中。。。 。。。

明明只是修改请求中的me为User ID，而且这个User ID就是一个真实用户的ID啊！

400 Bad Request， 是URL 不对吗？

仔细，仔细查看Get User接口文档，原来真是没有注意细节啊。

通过UserID或者User Principal Name的API URL是 https://microsoftgraph.chinacloudapi.cn/v1.0/users/<user id | user principal name>, 因为粗心，丢失了/users。

# 正确的
https://microsoftgraph.chinacloudapi.cn/v1.0/users/68b844af-*************************** 

VS 

# 错误的
https://microsoftgraph.chinacloudapi.cn/v1.0/68b844af-***************************

终于，大功告成。

image.png

附录：其他Graph API获取用户信息示例

1：获取全部用户信息

GET https://microsoftgraph.chinacloudapi.cn/v1.0/users

2：根据mail查找用户
GET https://microsoftgraph.chinacloudapi.cn/v1.0/users?count=true&filter=startswith(mail,'yourmailaddress')

参考资料

Microsoft Graph API Get a User ：https://learn.microsoft.com/en-us/graph/api/user-get?view=graph-rest-1.0&tabs=http

az account get-access-token : https://learn.microsoft.com/en-us/cli/azure/account?view=azure-cli-latest

JWT 解析: https://jwt.ms/

Check endpoints in Azure ： https://learn.microsoft.com/en-us/azure/china/resources-developer-guide#check-endpoints-in-azuredevelop

当在复杂的环境中面临问题，格物之道需：浊而静之徐清，安以动之徐生。 云中，恰是如此!

分类: 【Azure Developer】

标签: az account get-access-token, Microsoft Graph API get user, Access token validation failure. Invalid audience, 'https://microsoftgraph.chinacloudapi.cn/'