Rychlý start: Přihlášení uživatelů a volání webového rozhraní API v ukázkové mobilní aplikaci

platí pro: pracovní nájemníci externí nájemníci (více informací)

Než začnete, použijte výběr Zvolte typ tenanta v horní části stránky k výběru typu tenanta. Microsoft Entra ID poskytuje dvě konfigurace tenantů, pro pracovníky a externí. Konfigurace tenanta pracovních sil je určená pro zaměstnance, interní aplikace a další organizační prostředky. Externí tenant je určený pro vaše aplikace určené pro zákazníky.

Tato příručka ukazuje, jak nakonfigurovat ukázkovou mobilní aplikaci pro přihlášení uživatelů a volat webové rozhraní API ASP.NET Core.

Android

V tomto článku provedete následující úlohy:

• Zaregistrujte aplikaci v Centru pro správu Microsoft Entra.
• Přidejte adresu URL pro přesměrování platformy.
• Povolte toky veřejných klientů.
• Aktualizujte ukázkový soubor konfiguračního kódu pro Android tak, aby použil vaše vlastní externí ID Microsoft Entra pro podrobnosti o tenantovi zákazníka.
• Spusťte a otestujte ukázkovou mobilní aplikaci pro Android.
• Zavolejte chráněné webové rozhraní API

iOS/macOS

V tomto článku provedete následující úlohy:

• Zaregistrujte aplikaci v Centru pro správu Microsoft Entra.
• Přidejte adresu URL pro přesměrování platformy.
• Povolte toky veřejných klientů.
• Aktualizujte ukázkový soubor konfiguračního kódu pro iOS tak, aby pro podrobnosti o tenantovi zákazníka používal vlastní externí ID Microsoft Entra.
• Spusťte a otestujte ukázkovou mobilní aplikaci pro iOS.

Požadavky

Android

• Android Studio.

• Externí nájemník. Pokud ho ještě nemáte, zaregistrujte se pro bezplatnou zkušební verzi.

• Registrace rozhraní API, která zveřejňuje alespoň jeden obor (delegovaná oprávnění) a jednu roli aplikace (oprávnění aplikace), jako je ToDoList.Read. Pokud jste to ještě neudělali, postupujte podle pokynů pro volání rozhraní API v ukázkové mobilní aplikaci pro Android, abyste měli funkční chráněné webové rozhraní API ASP.NET Core. Ujistěte se, že jste dokončili následující kroky:

  • Registrace aplikace webového rozhraní API
  • Konfigurace oborů rozhraní API
  • Konfigurace rolí aplikací
  • Konfigurace volitelných nároků
  • Klonování nebo stažení ukázkového webového rozhraní API
  • Konfigurace a spuštění ukázkového webového rozhraní API

iOS/macOS

• Xcode.

• Externí nájemník. Pokud ještě nemáte účet, zaregistrujte se na bezplatnou zkušební verzi.

• Registrace rozhraní API, která zveřejňuje alespoň jeden obor (delegovaná oprávnění) a jednu roli aplikace (oprávnění aplikace), jako je ToDoList.Read. Pokud jste to ještě neudělali, postupujte podle pokynů pro volání API v ukázkové mobilní aplikaci pro iOS, abyste měli chráněné a funkční webové rozhraní API ASP.NET Core. Ujistěte se, že jste dokončili následující kroky:

  • Zaregistrujte aplikaci webového rozhraní API.
  • Nakonfigurujte obory rozhraní API.
  • Nakonfigurujte role aplikací.
  • Konfigurace volitelných nároků
  • Naklonujte nebo stáhněte ukázkové webové rozhraní API.
  • Konfigurace a spuštění ukázkového webového rozhraní API

Registrace aplikace

Aby vaše aplikace mohla přihlašovat uživatele pomocí Microsoft Entra, musí být Microsoft Entra External ID obeznámen s aplikací, kterou vytvoříte. Registrace aplikace vytvoří vztah důvěryhodnosti mezi aplikací a Microsoft Entra. Když zaregistrujete aplikaci, externí ID vygeneruje jedinečný identifikátor označovaný jako ID aplikace (klient), což je hodnota použitá k identifikaci aplikace při vytváření žádostí o ověření.

Následující kroky ukazují, jak zaregistrovat aplikaci v Centru pro správu Microsoft Entra:

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako Vývojář aplikací.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

3. Přejděte na Identity>Applications>App registrations.

4. Vyberte + Nová registrace.

5. Na stránce pro registraci aplikace se zobrazí;

   1. Zadejte smysluplnou aplikaci Název, která se zobrazí uživatelům aplikace, například ciam-client-app .
   2. V části Podporované typy účtůvyberte Pouze účty v tomto organizačním adresáři.

6. Vyberte Zaregistrovat.

7. Po úspěšné registraci se zobrazí podokno Přehled aplikace. Poznamenejte si ID aplikace (klienta), které se má použít ve zdrojovém kódu aplikace.

Přidejte adresu URL pro přesměrování platformy

Android

Pokud chcete zadat typ aplikace pro registraci aplikace, postupujte takto:

1. V části Spravovatvyberte Ověřování.
2. Na stránce konfigurace platformy vyberte Přidat platformua pak vyberte možnost Android.
3. Zadejte název balíčku projektu. Pokud jste si stáhli vzorový kód, tato hodnota je com.azuresamples.msaldelegatedandroidkotlinsampleapp.
4. V sekci Hash podpisu podokna Konfigurace aplikace pro Android vyberte Generování vývojového hash podpisu. To se změní pro každé vývojové prostředí. Zkopírujte a spusťte příkaz KeyTool pro váš operační systém ve vašem terminálu.
5. Zadejte hodnotu hash Signature vygenerovanou nástrojem KeyTool.
6. Vyberte Konfigurovat.
7. Zkopírujte konfigurace MSAL z podokna konfigurace Androidu a uložte ho pro pozdější konfiguraci aplikace.
8. Vyberte Hotovo.

iOS/macOS

Pokud chcete zadat typ aplikace pro registraci aplikace, postupujte takto:

1. V části Spravovatvyberte Ověřování.
2. Na stránce konfigurace platformy vyberte možnost Přidat platformua pak vyberte možnost iOS / macOS.
3. Zadejte ID balíčku projektu. Pokud jste si stáhli vzorový kód, tato hodnota je com.microsoft.identitysample.ciam.MSALiOS.
4. Vyberte Konfigurovat a uložte MSAL konfiguraci , která se zobrazí v panelu konfigurace pro iOS a macOS, abyste ji mohli zadat, když budete později konfigurovat vaši aplikaci.
5. Vyberte Hotovo.

Povolit veřejný klientský tok

Pokud chcete aplikaci identifikovat jako veřejného klienta, postupujte takto:

1. V části Spravovatvyberte Ověřování.

2. V části Upřesnit nastavenív části Povolit toky veřejných klientůvyberte Ano.

3. Vyberte Uložit a uložte změny.

Udělení souhlasu správce

Po registraci aplikace se přiřadí oprávnění User.Read. Vzhledem k tomu, že je tenant externím tenantem, nemohou uživatelé zákazníka sami s tímto oprávněním souhlasit. Jako správce tenanta musíte souhlasit s tímto oprávněním jménem všech uživatelů v tenantovi:

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete tak její stránku Přehled.

2. V části Spravovatvyberte oprávnění rozhraní API.

   1. Vyberte Udělit souhlas správce pro <název vašeho tenanta>a pak vyberte Ano.
   2. Vyberte Aktualizovata ověřte, že se v části Stav objeví text Uděleno pro <název vašeho tenanta> jako oprávnění.

Udělení oprávnění webového rozhraní API ukázkové aplikaci

Jakmile zaregistrujete klientskou aplikaci, webové rozhraní API a zpřístupníte API vytvořením oborů, můžete nakonfigurovat oprávnění klienta k rozhraní API pomocí následujících kroků:

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete tak její stránku Přehled.

2. V části Spravovatvyberte oprávnění rozhraní API.

3. V části Nakonfigurovaná oprávněnívyberte Přidat oprávnění.

4. Vyberte kartu pro rozhraní API, která používá moje organizace.

5. V seznamu rozhraní API vyberte rozhraní API, například ciam-ToDoList-api.

6. Vyberte možnost Delegovaná oprávnění.

7. V seznamu oprávnění vyberte ToDoList.Read, ToDoList.ReadWrite (v případě potřeby použijte vyhledávací pole).

8. Vyberte tlačítko Přidat oprávnění.

9. V tomto okamžiku jste správně přiřadili oprávnění. Vzhledem k tomu, že se jedná o tenanta zákazníka, nemohou běžní uživatelé sami odsouhlasit tato oprávnění. Abyste to vyřešili, musíte jako správce udělit souhlas s těmito oprávněními jménem všech uživatelů v tenantovi:

   1. Vyberte Udělit souhlas správce pro <název vašeho tenanta>, poté zvolte Ano.

   2. Vyberte Aktualizovata potom ověřte, že uděleno pro <název vašeho tenanta,> se zobrazí v části Stav pro obě oprávnění.

10. V seznamu Konfigurovaná oprávnění vyberte ToDoList.Read a oprávnění ToDoList.ReadWrite, po jednom a zkopírujte úplný identifikátor URI oprávnění pro pozdější použití. Úplný identifikátor URI oprávnění vypadá podobně jako api://{clientId}/{ToDoList.Read} nebo api://{clientId}/{ToDoList.ReadWrite}.

Klonování ukázkové mobilní aplikace

Android

Pokud chcete získat ukázkovou aplikaci, můžete ji buď naklonovat z GitHubu, nebo si ji stáhnout jako soubor .zip.

• Pokud chcete ukázku naklonovat, otevřete příkazový řádek a přejděte do umístění, kam chcete projekt vytvořit, a zadejte následující příkaz:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-browser-delegated-android-sample
  

iOS/macOS

Pokud chcete získat ukázkovou aplikaci, můžete ji buď naklonovat z GitHubu, nebo si ji stáhnout jako soubor .zip.

• Pokud chcete ukázku naklonovat, otevřete příkazový řádek a přejděte do umístění, kam chcete projekt vytvořit, a zadejte následující příkaz:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-browser-delegated-ios-sample.git
  

Konfigurace ukázkové mobilní aplikace pro Android

Android

Pokud chcete povolit ověřování a přístup k prostředkům webového rozhraní API, nakonfigurujte ukázku pomocí následujícího postupu:

1. V Android Studiu otevřete projekt, který jste naklonovali.

2. Otevřete soubor /app/src/main/res/raw/auth_config_ciam.json.

3. Vyhledejte zástupný symbol:

   • Enter_the_Application_Id_Here a nahraďte ho ID aplikace (klient) aplikace, kterou jste zaregistrovali dříve.
   • Enter_the_Redirect_Uri_Here a nahraďte ji hodnotou redirect_uri v konfiguračním souboru knihovny MSAL (Microsoft Authentication Library), který jste stáhli dříve při přidání adresy URL pro přesměrování platformy.
   • Enter_the_Tenant_Subdomain_Here a nahraďte ji subdoménou adresáře (nájemce). Pokud je například primární doména vašeho tenanta contoso.onmicrosoft.com, použijte contoso. Pokud subdoménu tenanta neznáte, přečtěte si, jak přečíst podrobnosti o tenantovi.

4. Otevřete soubor /app/src/main/AndroidManifest.xml.

5. Vyhledejte zástupný symbol:

   • Nahraďte ENTER_YOUR_SIGNATURE_HASH_HERE a místo ní použijte hodnotu podpisu hash , kterou jste vygenerovali dříve při přidání adresy URL přesměrování platformy.

6. Otevřete soubor /app/src/main/java/com/azuresamples/msaldelegatedandroidkotlinsampleapp/MainActivity.kt.

7. Vyhledejte vlastnost s názvem WEB_API_BASE_URL a nastavte adresu URL na webové rozhraní API.

8. Vyhledejte vlastnost s názvem scopes a nastavte obory zaznamenané v . Nastavte oprávnění webového rozhraní API pro ukázkovou aplikaci pro Android.

   private const val scopes = "" // Developers should set the respective scopes of their web API here. For example, private const val scopes = "api://{clientId}/{ToDoList.Read} api://{clientId}/{ToDoList.ReadWrite}"
   

Nakonfigurovali jste aplikaci a je připravená ke spuštění.

iOS/macOS

Pokud chcete povolit ověřování a přístup k prostředkům webového rozhraní API, nakonfigurujte ukázku pomocí následujícího postupu:

1. V Xcode otevřete projekt, který jste naklonovali.

2. Otevřete soubor /MSALiOS/Configuration.swift.

3. Vyhledejte zástupný symbol:

   • Enter_the_Application_Id_Here a nahraďte ho ID aplikace (klient) aplikace, kterou jste zaregistrovali dříve.
   • Enter_the_Redirect_URI_Here a nahraďte ji hodnotou kRedirectUri v konfiguračním souboru knihovny MsAL (Microsoft Authentication Library), který jste si stáhli dříve při přidání adresy URL pro přesměrování platformy.
   • Enter_the_Protected_API_Full_URL_Here a nahraďte ji adresou URL webového rozhraní API. Enter_the_Protected_API_Full_URL_Here by měl zahrnovat základní URL (nasazenou adresu URL webového API) a koncový bod (/api/todolist) pro naše webové API ASP.NET.
   • Enter_the_Protected_API_Scopes_Here a nahraďte jej obory zaznamenanými v Udělte oprávnění webového rozhraní API ukázkové aplikaci pro iOS.
   • Enter_the_Tenant_Subdomain_Here a nahraďte ji subdoménou Adresáře (tenanta). Pokud je například primární doména vašeho tenanta contoso.onmicrosoft.com, použijte contoso. Pokud subdoménu tenanta neznáte, přečtěte si, jak přečíst podrobnosti o tenantovi.

Nakonfigurovali jste aplikaci a je připravená ke spuštění.

Spuštění ukázkové aplikace a volání webového rozhraní API

Android

Aplikaci sestavíte a spustíte takto:

1. Na panelu nástrojů vyberte aplikaci z nabídky Konfigurace spuštění.

2. V nabídce cílového zařízení vyberte zařízení, na které chcete aplikaci spustit.

   Pokud nemáte nakonfigurovaná žádná zařízení, musíte buď vytvořit virtuální zařízení s Androidem, abyste mohli použít Android Emulator, nebo připojit fyzické zařízení s Androidem.

3. Vyberte tlačítko Spustit.

4. Vyberte Získat token interaktivně a požádejte o přístupový token.

5. Vyberte rozhraní API – proveďte příkaz GET pro volání dříve nastaveného ASP.NET Core webového rozhraní API. Úspěšné volání webového rozhraní API vrátí http 200, zatímco HTTP 403 označuje neoprávněný přístup.

iOS/macOS

Aplikaci sestavíte a spustíte takto:

1. Pokud chcete sestavit a spustit kód, vyberte Spustit v nabídce Product v Xcode. Po úspěšném sestavení spustí Xcode ukázkovou aplikaci v simulátoru.
2. Vyberte Získat token interaktivně pro požadavek na přístupový token.
3. Vyberte API – Proveďte GET ke zpřístupnění dříve nastaveného webového rozhraní API ASP.NET Core. Úspěšné volání webového rozhraní API vrátí 200HTTP, zatímco 403 HTTP označuje neoprávněný přístup.

Související obsah

Android

• Přihlášení uživatelů v ukázkové mobilní aplikaci Android (Kotlin) pomocí nativního ověřování.
• Povolitresetování hesla .
• Přizpůsobit výchozí branding.
• Konfigurace přihlášení pomocí Google.

iOS/macOS

• přihlášení uživatelů v ukázkové mobilní aplikaci pro iOS (Swift) pomocí nativního ověřování.
• Povolit resetování hesla.
• Přizpůsobit výchozí značku.
• Konfigurace přihlášení pomocí Google.