Webová aplikace, která přihlašuje uživatele: Konfigurace kódu

Článek
08/01/2024

Tento článek popisuje, jak nakonfigurovat kód pro webovou aplikaci, která přihlašuje uživatele.

Knihovny Microsoftu podporující webové aplikace

K ochraně webové aplikace (a webového rozhraní API) se používají následující knihovny Microsoftu:

Jazyk / architektura	Project on GitHub	Balíček	Dostání z těchto možností	Přihlášení uživatelů	Přístup k webovým rozhraním API	Obecná dostupnost (GA) nebo Public Preview¹
.NET	MSAL.NET	Microsoft.Identity.Client	—			GA
.NET	Microsoft.IdentityModel	Microsoft.IdentityModel	—	²	²	GA
ASP.NET Core	Microsoft.Identity.Web	Microsoft.Identity.Web	Rychlý start			GA
Java	MSAL4J	msal4j	Rychlý start			GA
Spring	spring-cloud-azure-starter-active-directory	spring-cloud-azure-starter-active-directory	Kurz			GA
Node.js	Uzel MSAL	msal-node	Rychlý start			GA
Python	MSAL Python	msal				GA
Python	identita	identita	Rychlý start			--

⁽¹⁾ Univerzální licenční podmínky pro online služby se vztahují na knihovny ve verzi Public Preview.

⁽²⁾ Knihovna Microsoft.IdentityModel ověřuje pouze tokeny – nemůže požádat o ID ani přístupové tokeny.

Vyberte kartu odpovídající platformě, kterou vás zajímá:

Fragmenty kódu v tomto článku a následující kódy se extrahují z přírůstkového kurzu webové aplikace ASP.NET Core, kapitoly 1.

Podrobnosti o úplné implementaci najdete v tomto kurzu.

Konfigurační soubory

Webové aplikace, které přihlašují uživatele pomocí platformy Microsoft Identity Platform, se konfigurují prostřednictvím konfiguračních souborů. Tyto soubory musí určovat následující hodnoty:

Pokud chcete, aby vaše aplikace běžela například v národních cloudech. Mezi různé možnosti patří;
- https://login.microsoftonline.com/ pro veřejný cloud Azure
- https://login.microsoftonline.us/ pro Azure US Government
- https://login.microsoftonline.de/ pro Microsoft Entra Germany
- https://login.partner.microsoftonline.cn/common microsoft Entra China provozovaný společností 21Vianet
Cílová skupina v ID tenanta. Možnosti se liší v závislosti na tom, jestli je vaše aplikace jednoklientská nebo víceklientská.
- Identifikátor GUID tenanta získaný z webu Azure Portal pro přihlášení uživatelů ve vaší organizaci. Můžete také použít název domény.
- organizations přihlášení uživatelů k libovolnému pracovnímu nebo školnímu účtu
- common přihlášení uživatelů pomocí libovolného pracovního nebo školního účtu nebo osobního účtu Microsoft
- consumers přihlášení uživatelů jenom pomocí osobního účtu Microsoft
ID klienta pro vaši aplikaci zkopírované z webu Azure Portal

Můžete také vidět odkazy na autoritu, zřetězení hodnot instance a ID tenanta.

V ASP.NET Core se tato nastavení nacházejí v souboru appsettings.json v části Microsoft Entra ID.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "[Enter the tenantId here]",

    // Client ID (application ID) obtained from the Azure portal
    "ClientId": "[Enter the Client Id here]",
    "CallbackPath": "/signin-oidc",
    "SignedOutCallbackPath": "/signout-oidc"
  }
}

V ASP.NET Core obsahuje jiný soubor (properties\launchSettings.json) adresu URL (applicationUrl) a port TLS/SSL (sslPort) pro vaši aplikaci a různé profily.

{
  "iisSettings": {
    "windowsAuthentication": false,
    "anonymousAuthentication": true,
    "iisExpress": {
      "applicationUrl": "http://localhost:3110/",
      "sslPort": 44321
    }
  },
  "profiles": {
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development"
      }
    },
    "webApp": {
      "commandName": "Project",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development"
      },
      "applicationUrl": "http://localhost:3110/"
    }
  }
}

Na webu Azure Portal musí identifikátory URI přesměrování, které zaregistrujete na stránce Ověřování pro vaši aplikaci, odpovídat těmto adresám URL. Pro dva předchozí konfigurační soubory by byly https://localhost:44321/signin-oidc. Důvodem je http://localhost:3110, ale applicationUrl sslPort je určen (44321). CallbackPath je /signin-oidc, jak je definováno v appsettings.json.

Identifikátor URI odhlášení by https://localhost:44321/signout-oidcbyl nastaven na hodnotu URI odhlášení.

Poznámka:

SignedOutCallbackPath by měl být nastaven na portál nebo aplikaci, aby se zabránilo konfliktu při zpracování události.

V ASP.NET je aplikace nakonfigurována prostřednictvím souboru appsettings.json , řádky 12 až 15.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "[Enter the tenantId here]",
    "ClientId": "[Enter the Client Id here]",
  }
}

Na webu Azure Portal musí identifikátory URI odpovědí, které zaregistrujete na stránce Ověřování pro vaši aplikaci, odpovídat těmto adresám URL. To znamená, že by měly být https://localhost:44326/.

V Javě se konfigurace nachází v souboru application.properties umístěném v části src/main/resources.

aad.clientId=Enter_the_Application_Id_here
aad.authority=https://login.microsoftonline.com/Enter_the_Tenant_Info_Here/
aad.secretKey=Enter_the_Client_Secret_Here
aad.redirectUriSignin=http://localhost:8080/msal4jsample/secure/aad
aad.redirectUriGraph=http://localhost:8080/msal4jsample/graph/me

Na webu Azure Portal musí identifikátory URI odpovědí, které zaregistrujete na stránce Ověřování vaší aplikace, odpovídat redirectUri instancím, které aplikace definuje. To znamená, že by měly být http://localhost:8080/msal4jsample/secure/aad a http://localhost:8080/msal4jsample/graph/me.

V této části se parametry konfigurace nacházejí ve formátu .env.dev jako proměnné prostředí:

CLOUD_INSTANCE="Enter_the_Cloud_Instance_Id_Here" # cloud instance string should end with a trailing slash
TENANT_ID="Enter_the_Tenant_Info_Here"
CLIENT_ID="Enter_the_Application_Id_Here"
CLIENT_SECRET="Enter_the_Client_Secret_Here"

REDIRECT_URI="http://localhost:3000/auth/redirect"
POST_LOGOUT_REDIRECT_URI="http://localhost:3000"

GRAPH_API_ENDPOINT="Enter_the_Graph_Endpoint_Here" # graph api endpoint string should end with a trailing slash

EXPRESS_SESSION_SECRET="Enter_the_Express_Session_Secret_Here"

Tyto parametry slouží k vytvoření objektu konfigurace v souboru authConfig.js , který se nakonec použije k inicializaci uzlu MSAL:

/*
 * Copyright (c) Microsoft Corporation. All rights reserved.
 * Licensed under the MIT License.
 */

require('dotenv').config({ path: '.env.dev' });

/**
 * Configuration object to be passed to MSAL instance on creation.
 * For a full list of MSAL Node configuration parameters, visit:
 * https://github.com/AzureAD/microsoft-authentication-library-for-js/blob/dev/lib/msal-node/docs/configuration.md
 */
const msalConfig = {
    auth: {
        clientId: process.env.CLIENT_ID, // 'Application (client) ID' of app registration in Azure portal - this value is a GUID
        authority: process.env.CLOUD_INSTANCE + process.env.TENANT_ID, // Full directory URL, in the form of https://login.microsoftonline.com/<tenant>
        clientSecret: process.env.CLIENT_SECRET // Client secret generated from the app registration in Azure portal
    },
    system: {
        loggerOptions: {
            loggerCallback(loglevel, message, containsPii) {
                console.log(message);
            },
            piiLoggingEnabled: false,
            logLevel: 3,
        }
    }
}

const REDIRECT_URI = process.env.REDIRECT_URI;
const POST_LOGOUT_REDIRECT_URI = process.env.POST_LOGOUT_REDIRECT_URI;
const GRAPH_ME_ENDPOINT = process.env.GRAPH_API_ENDPOINT + "v1.0/me";

module.exports = {
    msalConfig,
    REDIRECT_URI,
    POST_LOGOUT_REDIRECT_URI,
    GRAPH_ME_ENDPOINT
};

Na webu Azure Portal musí identifikátory URI odpovědí, které zaregistrujete na stránce Ověřování vaší aplikace, odpovídat instancím redirectUri, které aplikace definuje (http://localhost:3000/auth/redirect).

Kvůli jednoduchosti v tomto článku je tajný klíč klienta uložen v konfiguračním souboru. V produkční aplikaci zvažte použití trezoru klíčů nebo proměnné prostředí. Ještě lepší možností je použít certifikát.

Parametry konfigurace jsou nastaveny ve formátu .env jako proměnné prostředí:

# Note: If you are using Azure App Service, go to your app's Configuration,
# and then set the following values into your app's "Application settings".

CLIENT_ID=<client id>
CLIENT_SECRET=<client secret>

# Expects a full authority URL such as "https://login.microsoftonline.com/TENANT_GUID"
# or "https://login.microsoftonline.com/contoso.onmicrosoft.com".
# Alternatively, leave it undefined if you are building a multi-tenant app in world-wide cloud
#AUTHORITY=<authority url>

Na tyto proměnné prostředí se odkazuje v app_config.py:

import os

# Application (client) ID of app registration
CLIENT_ID = os.getenv("CLIENT_ID")
# Application's generated client secret: never check this into source control!
CLIENT_SECRET = os.getenv("CLIENT_SECRET")

# You can configure your authority via environment variable
# Defaults to a multi-tenant app in world-wide cloud
AUTHORITY = os.getenv("AUTHORITY", "https://login.microsoftonline.com/common")

REDIRECT_PATH = "/getAToken"  # Used for forming an absolute URL to your redirect URI.
# The absolute URL must match the redirect URI you set
# in the app's registration in the Azure portal.

# You can find more Microsoft Graph API endpoints from Graph Explorer
# https://developer.microsoft.com/en-us/graph/graph-explorer
ENDPOINT = 'https://graph.microsoft.com/v1.0/users'  # This resource requires no admin consent

# You can find the proper permission names from this document
# https://docs.microsoft.com/en-us/graph/permissions-reference
SCOPE = ["User.ReadBasic.All"]

# Tells the Flask-session extension to store sessions in the filesystem
SESSION_TYPE = "filesystem"
# Using the file system will not work in most production systems,
# it's better to use a database-backed session store instead.

Soubor .env by nikdy neměl být vrácen do správy zdrojového kódu, protože obsahuje tajné kódy. Ukázka rychlého startu obsahuje soubor .gitignore , který brání vrácení souboru .env se změnami.

# Environments
.env

Inicializační kód

Rozdíly v inicializačním kódu jsou závislé na platformě. Pro ASP.NET Core a ASP.NET se přihlášení uživatelů deleguje do middlewaru OpenID Connect. Šablona ASP.NET nebo ASP.NET Core generuje webové aplikace pro koncový bod Azure AD verze 1.0. K přizpůsobení některých konfigurací se vyžaduje platforma Microsoft Identity Platform.

Ve ASP.NET core webových aplikacích (a webových rozhraních API) je aplikace chráněná, protože máte Authorize atribut na kontroleru nebo akcích kontroleru. Tento atribut zkontroluje, jestli je uživatel ověřený. Před vydáním rozhraní .NET 6 se inicializace kódu nacházela v Startup.cs souboru. Nové projekty ASP.NET Core s .NET 6 už neobsahují Startup.cs soubor. Probíhá jeho místo je soubor Program.cs . Zbývající část tohoto kurzu se týká .NET 5 nebo nižší.

Poznámka:

Pokud chcete začít přímo s novými šablonami ASP.NET Core pro platformu Microsoft Identity Platform, které využívají Microsoft.Identity.Web, můžete si stáhnout balíček NuGet ve verzi Preview obsahující šablony projektů pro .NET 5.0. Po instalaci pak můžete přímo vytvořit instanci webových aplikací ASP.NET Core (MVC nebo Blazor). Podrobnosti najdete v šablonách projektů webové aplikace Microsoft.Identity.Web. Jedná se o nejjednodušší přístup, protože pro vás provede všechny následující kroky.

Pokud chcete projekt spustit s aktuálním výchozím webovým projektem ASP.NET Core v sadě Visual Studio nebo pomocí dotnet new mvc --auth SingleOrg nebo dotnet new webapp --auth SingleOrg, uvidíte kód podobný tomuto:

 services.AddAuthentication(AzureADDefaults.AuthenticationScheme)
         .AddAzureAD(options => Configuration.Bind("AzureAd", options));

Tento kód používá starší balíček NuGet Microsoft.AspNetCore.Authentication.AzureAD.UI , který se používá k vytvoření aplikace Azure Active Directory verze 1.0. Tento článek vysvětluje, jak vytvořit aplikaci Microsoft Identity Platform v2.0, která tento kód nahrazuje.

Přidejte do projektu balíčky NuGet Microsoft.Identity.Web a Microsoft.Identity.Web.UI . Microsoft.AspNetCore.Authentication.AzureAD.UI Pokud je balíček NuGet k dispozici, odeberte ho.

Aktualizujte kód ConfigureServices tak, aby používal metody AddMicrosoftIdentityWebApp a AddMicrosoftIdentityUI metody.

public class Startup
{
 ...
 // This method gets called by the runtime. Use this method to add services to the container.
 public void ConfigureServices(IServiceCollection services)
 {
  services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
         .AddMicrosoftIdentityWebApp(Configuration, "AzureAd");

  services.AddRazorPages().AddMvcOptions(options =>
  {
   var policy = new AuthorizationPolicyBuilder()
                 .RequireAuthenticatedUser()
                 .Build();
   options.Filters.Add(new AuthorizeFilter(policy));
  }).AddMicrosoftIdentityUI();

Configure V metodě v Startup.cs povolte ověřování pomocí volání app.UseAuthentication(); a app.MapControllers();.

// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
 // more code here
 app.UseAuthentication();
 app.UseAuthorization();

 app.MapRazorPages();
 app.MapControllers();
 // more code here
}

V kódu:

Metoda AddMicrosoftIdentityWebApp rozšíření je definována v Microsoft.Identity.Web, která;
- Konfiguruje možnosti pro čtení konfiguračního souboru (tady v části Microsoft Entra ID).
- Nakonfiguruje možnosti OpenID Connect tak, aby autorita byla platformou Microsoft Identity Platform.
- Ověří vystavitele tokenu.
- Zajišťuje mapování deklarací identity odpovídající názvu z preferred_username deklarace identity v tokenu ID.
Kromě objektu konfigurace můžete při volání AddMicrosoftIdentityWebAppzadat název oddílu konfigurace . Ve výchozím nastavení je to AzureAd.
AddMicrosoftIdentityWebApp obsahuje další parametry pro pokročilé scénáře. Například trasování událostí middlewaru OpenID Connect vám může pomoct vyřešit potíže s webovou aplikací, pokud ověřování nefunguje. Nastavení volitelného parametru subscribeToOpenIdConnectMiddlewareDiagnosticsEvents true vám ukáže, jak se informace zpracovávají sadou middlewaru ASP.NET Core, když postupuje z odpovědi HTTP na identitu uživatele v HttpContext.User.
Metoda AddMicrosoftIdentityUI rozšíření je definována v rozhraní Microsoft.Identity.Web.UI. Poskytuje výchozí kontroler pro zpracování přihlášení a odhlášení.

Další informace o tom, jak Microsoft.Identity.Web umožňuje vytvářet webové aplikace, najdete v tématu Web Apps v microsoft-identity-web.

Kód související s ověřováním ve webové aplikaci ASP.NET a webových rozhraních API se nachází v souboru App_Start/Startup.Auth.cs .

 public void ConfigureAuth(IAppBuilder app)
 {
  app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);

  app.UseCookieAuthentication(new CookieAuthenticationOptions());

  OwinTokenAcquirerFactory factory = TokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>();
  factory.Build();
  app.AddMicrosoftIdentityWebApi(factory);
 }

Ukázka v Javě používá architekturu Spring. Aplikace je chráněná, protože implementujete filtr, který zachytí každou odpověď HTTP. V rychlém startu pro webové aplikace v Javě je AuthFilter tento filtr v src/main/java/com/microsoft/azure/msalwebsample/AuthFilter.java.

Filtr zpracuje tok autorizačního kódu OAuth 2.0 a zkontroluje, jestli je uživatel ověřený (isAuthenticated() metoda). Pokud uživatel není ověřený, vypočítá adresu URL koncových bodů autorizace Microsoft Entra a přesměruje prohlížeč na tento identifikátor URI.

Jakmile odpověď dorazí obsahující autorizační kód, získá token pomocí jazyka MSAL Java. Když nakonec obdrží token z koncového bodu tokenu (na identifikátoru URI přesměrování), uživatel se přihlásí.

Podrobnosti najdete v doFilter() metodě v AuthFilter.java.

Poznámka:

Kód je doFilter() napsán v trochu jiném pořadí, ale tok je popsaný.

Podrobnosti o toku autorizačního kódu, který tato metoda aktivuje, najdete na platformě Microsoft Identity Platform a toku autorizačního kódu OAuth 2.0.

Ukázka uzlu používá architekturu Express. Knihovna MSAL se inicializuje v obslužné rutině trasy ověřování :

var express = require('express');

const authProvider = require('../auth/AuthProvider');
const { REDIRECT_URI, POST_LOGOUT_REDIRECT_URI } = require('../authConfig');

const router = express.Router();

router.get('/signin', authProvider.login({
    scopes: [],
    redirectUri: REDIRECT_URI,
    successRedirect: '/'

Ukázka Pythonu je sestavená s architekturou Flask, i když se dají použít i jiné architektury, jako je Django. Aplikace Flask se inicializuje s konfigurací aplikace v horní části app.py:

import identity
import identity.web
import requests
from flask import Flask, redirect, render_template, request, session, url_for
from flask_session import Session

import app_config

app = Flask(__name__)
app.config.from_object(app_config)
Session(app)

Pak kód vytvoří auth objekt pomocí balíčku identity.

auth = identity.web.Auth(
    session=session,
    authority=app.config["AUTHORITY"],
    client_id=app.config["CLIENT_ID"],
    client_credential=app.config["CLIENT_SECRET"],
)

Další krok

Přihlaste se a odhlaste se.

Sdílet prostřednictvím

Webová aplikace, která přihlašuje uživatele: Konfigurace kódu

Knihovny Microsoftu podporující webové aplikace

Konfigurační soubory

Inicializační kód

Další krok

Váš názor

Další materiály