Kurz: Registrace webové aplikace v Pythonu na platformě Microsoft Identity Platform
Tato série kurzů ukazuje, jak vytvořit webovou aplikaci v Pythonu, která přihlašuje uživatele a volá chráněné webové rozhraní API. Knihovnu Microsoft Authentication Library pro Python použijete k ověřování uživatelů v tenantovi Microsoft Entra ID. Nakonec spustíte aplikaci pro přihlášení, zavolání chráněného rozhraní API a odhlášení uživatelů.
V tomto kurzu se naučíte:
- Registrace webové aplikace v Centru pro správu Microsoft Entra a zaznamenání jeho identifikátorů
- Definování platformy a adres URL
- Vytvoření tajného klíče klienta pro webovou aplikaci
- Udělení oprávnění webové aplikaci pro přístup k rozhraní Microsoft Graph API
Požadavky
- Účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si účet zdarma.
- Účet Azure, který používáte, musí mít oprávnění ke správě aplikací. Mezi následující role Microsoft Entra patří požadovaná oprávnění:
- Správce aplikace
- Vývojář aplikace
- Správce cloudové aplikace
Registrace webové aplikace a identifikátorů záznamů v Pythonu
Pokud chcete integrovat možnosti správy identit a přístupu do vaší aplikace, začněte registrací aplikace na platformě Microsoft Identity Platform. Pomocí následujícího postupu zaregistrujte aplikaci v Centru pro správu Microsoft Entra:
- Přihlaste se do Centra pro správu Microsoft Entra.
- Pokud máte přístup k více tenantům, pomocí ikony
Nastavení v horní nabídce přepněte na tenanta, ve kterém chcete aplikaci zaregistrovat z nabídky Adresáře a předplatná.
- Přejděte na Identity>Applications> Registrace aplikací a vyberte Nová registrace.
- Zadejte název aplikace, například python-flask-webapp. Uživatelům vaší aplikace se může zobrazit zobrazované jméno, když aplikaci používají, například při přihlašování. Zobrazovaný název můžete kdykoli změnit.
- V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.
- Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.
Po dokončení registrace se v Centru pro správu Microsoft Entra zobrazí podokno Přehled registrace aplikace. V podokně Přehled si poznamenejte ID adresáře (tenanta) a ID aplikace (klienta), které se má použít v pozdějším kroku.
Přidání identifikátoru URI přesměrování
Pokud chcete přidat identifikátor URI přesměrování pro webovou aplikaci Python Flask, postupujte takto:
- V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
- V části Spravovat vyberte Ověřování.
- V části Konfigurace platformy vyberte Přidat platformu a pak vyberte Web.
- Po výběru webu jako platformy vaší aplikace se zobrazí výzva k zadání identifikátoru URI přesměrování. Přidejte
http://localhost:5000/getAToken
jako identifikátor URI přesměrování pro webovou aplikaci. - Vyberte Konfigurovat.
Konfigurace přihlašovacích údajů
V tomto kurzu použijete tajný klíč klienta, označovaný také jako heslo aplikace k identifikaci aplikace jako důvěrného klienta. Pokud chcete do registrace aplikace přidat tajný klíč klienta, postupujte takto:
- V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
- V části Spravovat vyberte Certifikáty a tajné kódy.
- V části Tajné klíče klienta vyberte Nový tajný klíč klienta.
- V podokně Přidat tajný klíč klienta zadejte popis tajného klíče klienta.
- Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost.
- Životnost tajného klíče klienta je omezená na dva roky (24 měsíců) nebo méně. Nemůžete zadat vlastní životnost delší než 24 měsíců. Microsoft doporučuje nastavit hodnotu vypršení platnosti kratší než 12 měsíců.
- Vyberte Přidat.
- Poznamenejte si hodnotu tajného klíče klienta (ne její ID) pro použití v pozdějším kroku. Tato hodnota tajného kódu se zobrazí jenom jednou, když ji vytvoříte a po opuštění této stránky se nikdy nezobrazí.
I když jste v tomto kurzu použili tajný klíč klienta, doporučujeme před přesunutím aplikace do produkčního prostředí použít certifikát. Další informace o používání certifikátu najdete v těchto pokynech.
Přidat obor
Vzhledem k tomu, že se tato aplikace přihlásí k uživatelům, musíte přidat delegovaná oprávnění:
- V části Spravovat vyberte oprávnění>rozhraní API Přidat oprávnění.
- Ujistěte se, že je vybraná karta Rozhraní API Microsoftu.
- V části Běžně používané rozhraní MICROSOFT API vyberte Microsoft Graph.
- V části Delegovaná oprávnění se ujistěte, že je vybraná možnost User.Read. V případě potřeby použijte vyhledávací pole.
- Vyberte Přidat oprávnění.