Použití MSAL v národním cloudovém prostředí

Národní cloudy, označované také jako suverénní cloudy, jsou fyzicky izolované instance Azure. Tyto oblasti Azure pomáhají zajistit, aby se v rámci geografických hranic dodržovaly požadavky na rezidenci dat, suverenitu a dodržování předpisů.

Kromě globálního cloudu Microsoftu umožňuje Microsoft Authentication Library (MSAL) vývojářům aplikací v národních cloudech získávat tokeny za účelem ověřování a volání zabezpečených webových rozhraní API. Tato webová rozhraní API můžou být Microsoft Graph nebo jiná rozhraní MICROSOFT API.

Včetně globálního cloudu Azure se ID Microsoft Entra nasadí v následujících národních cloudech:

• Azure Government
• Platforma Microsoft Azure provozovaná společností 21Vianet
• Azure Germany (ukončení 29. října 2021)

Tato příručka ukazuje, jak se přihlásit k pracovním a školním účtům, získat přístupový token a volat rozhraní Microsoft Graph API v cloudovém prostředí Azure Government.

Azure Germany (Microsoft Cloud Deutschland)

Upozorňující

29. října 2021 bude uzavřena služba Azure Germany (Microsoft Cloud Deutschland). Služby a aplikace, které se rozhodnete nemigrovat do oblasti v globálním Azure před tímto datem, budou nedostupné.

Pokud jste aplikaci nemigrovali z Azure Germany, začněte s migrací z Azure Germany podle informací Microsoft Entra.

Požadavky

Než začnete, ujistěte se, že splňujete tyto požadavky.

Volba vhodných identit

Aplikace Azure Government můžou k ověřování uživatelů používat identity Microsoft Entra Government a veřejné identity Microsoft Entra. Protože můžete použít některou z těchto identit, rozhodněte se, který koncový bod autority byste pro svůj scénář měli zvolit:

• Microsoft Entra Public: Běžně se používá, pokud už vaše organizace má veřejného tenanta Microsoft Entra pro podporu Microsoftu 365 (public nebo GCC) nebo jiné aplikace.
• Microsoft Entra Government: Běžně se používá, pokud už vaše organizace má tenanta Microsoft Entra Government pro podporu Office 365 (GCC High nebo DoD) nebo vytváří nového tenanta v Microsoft Entra Government.

Jakmile se rozhodnete, je potřeba vzít v úvahu, kde provádíte registraci aplikace. Pokud pro aplikaci Azure Government zvolíte veřejné identity Microsoft Entra, musíte aplikaci zaregistrovat ve svém tenantovi Microsoft Entra Public.

Získání předplatného Azure Government

Pokud chcete získat předplatné Azure Government, přečtěte si téma Správa a připojení k předplatnému ve službě Azure Government.

Pokud ještě nemáte předplatné Azure Government, vytvořte si bezplatný účet , než začnete.

Podrobnosti o používání národního cloudu s konkrétním programovacím jazykem získáte tak, že zvolíte kartu odpovídající vašemu jazyku:

.NET

Pomocí MSAL.NET můžete přihlásit uživatele, získat tokeny a volat rozhraní Microsoft Graph API v národních cloudech.

Následující kurzy ukazují, jak vytvořit webovou aplikaci ASP.NET Core. Aplikace používá OpenID Připojení k přihlášení uživatelů pomocí pracovního a školního účtu v organizaci, která patří do národního cloudu.

• Pokud se chcete přihlásit k uživatelům a získat tokeny, postupujte podle tohoto kurzu: Sestavte uživatele webové aplikace ASP.NET Core, kteří se přihlašují v suverénních cloudech pomocí platformy Microsoft Identity Platform.
• Pokud chcete volat rozhraní Microsoft Graph API, postupujte podle tohoto kurzu: Použití platformy Microsoft Identity Platform k volání rozhraní Microsoft Graph API z webové aplikace ASP.NET Core jménem uživatele, který se přihlašuje pomocí pracovního a školního účtu v Microsoft National Cloudu.

JavaScript

Povolení MSAL.js aplikace pro suverénní cloudy:

• V závislosti na cloudu zaregistrujte aplikaci na konkrétním portálu. Další informace o tom, jak zvolit portál, najdete v tématu Koncové body registrace aplikací.
• V závislosti na cloudu, který je uvedený dále, použijte některou z ukázek z úložiště s několika změnami konfigurace.
• V závislosti na cloudu, ve které jste aplikaci zaregistrovali, použijte konkrétní autoritu. Další informace o autoritách pro různé cloudy najdete v koncových bodech ověřování Microsoft Entra.
• Volání rozhraní Microsoft Graph API vyžaduje adresu URL koncového bodu specifickou pro cloud, který používáte. Pokud chcete najít koncové body Microsoft Graphu pro všechny národní cloudy, projděte si kořenové koncové body služby Microsoft Graph a Graph Explorer.

Tady je příklad autority:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Tady je příklad koncového bodu Microsoft Graphu s oborem:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Tady je minimální kód pro ověřování uživatele v suverénním cloudu a volání Microsoft Graphu:

const msalConfig = {
    auth: {
        clientId: "Enter_the_Application_Id_Here",
        authority: "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here",
        redirectUri: "/",
    }
};

// Initialize MSAL
const msalObj = new PublicClientApplication(msalConfig);

// Get token using popup experience
try {
    const graphToken = await msalObj.acquireTokenPopup({
        scopes: ["User.Read"]
    });
} catch(error) {
    console.log(error)
}

// Call the Graph API
const headers = new Headers();
const bearer = `Bearer ${graphToken}`;

headers.append("Authorization", bearer);

fetch("https://graph.microsoft.us/v1.0/me", {
    method: "GET",
    headers: headers
})

Python

Povolení aplikace MSAL v Pythonu pro suverénní cloudy:

• V závislosti na cloudu zaregistrujte aplikaci na konkrétním portálu. Další informace o tom, jak zvolit portál, najdete v tématu Koncové body registrace aplikací.

• V závislosti na cloudu, který je uvedený dále, použijte některou z ukázek z úložiště s několika změnami konfigurace.

• V závislosti na cloudu, ve které jste aplikaci zaregistrovali, použijte konkrétní autoritu. Další informace o autoritách pro různé cloudy najdete v koncových bodech ověřování Microsoft Entra.

  Tady je příklad autority:

  "authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"
  

• Volání rozhraní Microsoft Graph API vyžaduje adresu URL koncového bodu specifickou pro cloud, který používáte. Pokud chcete najít koncové body Microsoft Graphu pro všechny národní cloudy, projděte si kořenové koncové body služby Microsoft Graph a Graph Explorer.

  Tady je příklad koncového bodu Microsoft Graphu s oborem:

  "endpoint" : "https://graph.microsoft.us/v1.0/me"
  "scope": "User.Read"
  

Java

Povolení msal pro aplikaci v Javě pro suverénní cloudy:

• V závislosti na cloudu zaregistrujte aplikaci na konkrétním portálu. Další informace o tom, jak zvolit portál, najdete v tématu Koncové body registrace aplikací.
• Použijte některou z ukázek z úložiště s několika změnami konfigurace v závislosti na cloudu, které jsou uvedeny dále.
• V závislosti na cloudu, ve které jste aplikaci zaregistrovali, použijte konkrétní autoritu. Další informace o autoritách pro různé cloudy najdete v koncových bodech ověřování Microsoft Entra.

Tady je příklad autority:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

• Volání rozhraní Microsoft Graph API vyžaduje adresu URL koncového bodu specifickou pro cloud, který používáte. Pokud chcete najít koncové body Microsoft Graphu pro všechny národní cloudy, projděte si kořenové koncové body služby Microsoft Graph a Graph Explorer.

Tady je příklad koncového bodu grafu s rozsahem:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Objective-C

MSAL pro iOS a macOS lze použít k získání tokenů v národních cloudech, ale při vytváření MSALPublicClientApplicationvyžaduje další konfiguraci .

Pokud například chcete, aby vaše aplikace byla víceklientskou aplikací v národním cloudu (tady pro státní správu USA), mohli byste napsat:

MSALAADAuthority *aadAuthority =
                [[MSALAADAuthority alloc] initWithCloudInstance:MSALAzureUsGovernmentCloudInstance
                                                   audienceType:MSALAzureADMultipleOrgsAudience
                                                      rawTenant:nil
                                                          error:nil];

MSALPublicClientApplicationConfig *config =
                [[MSALPublicClientApplicationConfig alloc] initWithClientId:@"<your-client-id-here>"
                                                                redirectUri:@"<your-redirect-uri-here>"
                                                                  authority:aadAuthority];

NSError *applicationError = nil;
MSALPublicClientApplication *application =
                [[MSALPublicClientApplication alloc] initWithConfiguration:config error:&applicationError];

Swift

MSAL pro iOS a macOS lze použít k získání tokenů v národních cloudech, ale při vytváření MSALPublicClientApplicationvyžaduje další konfiguraci .

Pokud například chcete, aby vaše aplikace byla víceklientskou aplikací v národním cloudu (tady pro státní správu USA), mohli byste napsat:

let authority = try? MSALAADAuthority(cloudInstance: .usGovernmentCloudInstance, audienceType: .azureADMultipleOrgsAudience, rawTenant: nil)

let config = MSALPublicClientApplicationConfig(clientId: "<your-client-id-here>", redirectUri: "<your-redirect-uri-here>", authority: authority)
if let application = try? MSALPublicClientApplication(configuration: config) { /* Use application */}

Další kroky

Seznam adres URL webu Azure Portal a koncových bodů tokenů pro každý cloud najdete v části Koncové body ověřování národního cloudu.

Dokumentace k národnímu cloudu:

• Azure Government
• Microsoft Azure provozovaný společností 21Vianet
• Azure Germany (zavření 29. října 2021)