Azure B2C è un servizio PaaS che ci permette con poco sforzo di gestire tutte le dinamiche relative alle utenze dei nostri applicativi: autenticazione, password, MFA, OAuth e SAML. I costi sono talmente bassi che è davvero conveniente delegare tutti gli aspetti degli utenti ad Azure.
Per la gestione, il portale Azure mette a disposizione un'interfaccia indicata per gli amministratori della sottoscrizione, ma poco indicata per gli amministratori delle nostre soluzioni. Non è raro quindi dover realizzare delle interfacce ad hoc per la gestione in autonomia e più semplificata degli stessi.
Tra le tante possibilità, Microsoft mette a disposizione le Graph API che permette anche le operazioni CRUD sugli utenti. Per farlo dobbiamo prima di tutto registrare un'app sul tenant B2C che identifichi appunto il progetto che manipola le utenze. In particolare dobbiamo andare nella sezione API Permissions e aggiungere il permesso User.ReadWrite.All di tipo application, come mostrato nell'immagine.
Non lavoriamo per delega ad un utente, ma come applicativo in modo da poter operare liberamente lato server senza richiedere l'ausilio di un utente amministrativo.
Dobbiamo quindi sfruttare il client credential flow di OIDC per autenticare il nostro applicativo, perciò sempre dal portale, nella sezione Certificates & secrets procediamo alla creazione della chiave.
Nella sezione Overview teniamoci da parte poi l'Application (client) ID e Directory (tenant) ID.
A questo punto possiamo passare al codice e sfruttare due pacchetti NuGet: Microsoft.Graph e Microsoft.Graph.Auth (prerelease). Il primo contiene tutto il modello oggetti per operare con le Graph API, il secondo la parte dedicata all'autenticazione basata su Azure AAD. Con quest'ultimo dobbiamo infatti creare un oggetto, di nome ConfidentialClientApplication, che autonomamente ottenga l'access token e lo rinnovi quando sta per scadere.
// Client per ottenere il token var msalClient = ConfidentialClientApplicationBuilder .Create(configuration["GraphClientId"]) .WithTenantId(configuration["GraphTenantId"]) .WithClientSecret(configuration["GraphClientSecret"]) .Build(); ClientCredentialProvider authProvider = new ClientCredentialProvider(_msalClient); // Crea il client Graph API var graphClient = new GraphServiceClient(authProvider);
Nell'appsettings.json o sfruttando i provider di configurazione, forniamo i tre valori di configurazione che ci siamo precedentemente annotati. Successivamente istanziamo l'oggetto GraphServiceClient sfruttando questo meccanismo di autenticazione. Entrambi gli oggetti creati possono essere statici e sono thread safe, perciò è consigliato farlo, per una questione di ottimizzazione delle prestazioni.
Non ci resta che creare l'utente valorizzando l'oggetto User con le informazioni minime.
var aadUser = new User { PasswordProfile = new PasswordProfile { ForceChangePasswordNextSignIn = false, Password = "Test1234!" }, Identities = new List<ObjectIdentity> { new ObjectIdentity() { SignInType = "emailAddress", Issuer = msalClient.AppConfig.TenantId, }, }, PasswordPolicies = "DisablePasswordExpiration", }; aadUser = await _graphClient.Users.Request().AddAsync(aadUser); string id = aadUser.Id; // Aggiornamento utente await _graphClient.Users[id].Request().UpdateAsync(aadUser); // Cancellazione utente await _graphClient.Users[id].Request().DeleteAsync();
Nell'esempio seguente prepariamo un utente basato su e-mail locale, generiamo una password e disattiviamo la scadenza della stessa. La chiamata al metodo AddAsync procede poi alla creazione dell'utente e ci restituisce la nuova istanza con l'Id valorizzato, per poter fare operazioni aggiuntive, come l'aggiornamento o la cancellazione.
E' importante gestire eventuali eccezioni che si possono presentare se l'e-mail non è univoca o si soddisfano i criteri necessari della password.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Evitare (o ridurre) il repo-jacking sulle GitHub Actions
Eseguire query per recuperare il padre di un record che sfrutta il tipo HierarchyID in Entity Framework
Migliora la resilienza delle applicazioni con .NET e Azure Container Apps
Utilizzare EF.Constant per evitare la parametrizzazione di query SQL
Usare le navigation property in QuickGrid di Blazor
Utilizzare un service principal per accedere a Azure Container Registry
Esporre i propri servizi applicativi con Semantic Kernel e ASP.NET Web API
Generare HTML a runtime a partire da un componente Razor in ASP.NET Core
Usare i servizi di Azure OpenAI e ChatGPT in ASP.NET Core con Semantic Kernel
Applicare un filtro per recuperare alcune issue di GitHub
Utilizzare un numero per gestire la concorrenza ottimistica con SQL Server ed Entity Framework
Hosting di componenti WebAssembly in un'applicazione Blazor static