Acceso a implementaciones nacionales de nube con los SDK de Microsoft Graph

De forma predeterminada, los SDK de Microsoft Graph están configurados para acceder a los datos del servicio global de Microsoft Graph mediante la https://graph.microsoft.com dirección URL raíz para acceder a la API REST de Microsoft Graph. Los desarrolladores pueden invalidar esta configuración para conectarse a implementaciones nacionales de nube de Microsoft Graph.

Requisitos previos

Necesitará la siguiente información para configurar un SDK de Microsoft Graph para conectarse a una implementación en la nube nacional.

• Detalles del registro de la aplicación, como el identificador de cliente, el identificador de inquilino y el certificado o secreto de cliente. El registro de la aplicación debe crearse en el Centro de administración Microsoft Entra correspondiente a la implementación en la nube nacional. Consulte Puntos de conexión raíz del servicio de token y registro de aplicaciones para obtener más información.
• Punto de conexión de token para la implementación de la nube nacional.
• El punto de conexión raíz del servicio Microsoft Graph para la implementación en la nube nacional. Consulte Puntos de conexión raíz del servicio Microsoft Graph y Graph Explorer para obtener una lista de puntos de conexión.

Configuración del SDK

Para conectarse a una implementación de nube nacional, debe configurar el proveedor de autenticación para conectarse al punto de conexión de servicio de token correcto. A continuación, debe configurar el cliente del SDK para conectarse al punto de conexión raíz del servicio Microsoft Graph correcto.

Ámbitos de permiso

Cualquier valor de ámbito de permiso (incluido el .default ámbito) que contenga el dominio de Microsoft Graph DEBE usar el dominio del punto de conexión raíz del servicio Microsoft Graph para la implementación en la nube nacional. Los nombres de ámbito de permisos abreviados, como User.Read o Mail.Send, también son válidos.

• Para el consentimiento incremental o dinámico, User.Read y https://graph.microsoft.us/User.Read son equivalentes para la nube nacional L4 del Gobierno de EE. UU.
• Para los permisos definidos estáticamente, o si usa el flujo de credenciales de cliente para permisos de solo aplicación, https://graph.microsoft.us/.default es el valor de ámbito correcto..default

Ejemplos

En el ejemplo siguiente se configura un proveedor de autenticación interactiva con el SDK de Microsoft Graph para conectarse a la nube nacional de Microsoft Graph for US Government L4.

C#

// Create the InteractiveBrowserCredential using details
// from app registered in the Azure AD for US Government portal
var credential = new InteractiveBrowserCredential(
    "YOUR_TENANT_ID",
    "YOUR_CLIENT_ID",
    new InteractiveBrowserCredentialOptions
    {
        // https://login.microsoftonline.us
        AuthorityHost = AzureAuthorityHosts.AzureGovernment,
        RedirectUri = new Uri("YOUR_REDIRECT_URI"),
    });

// Create the authentication provider
var authProvider = new AzureIdentityAuthenticationProvider(
    credential,
    isCaeEnabled: true,
    scopes: ["https://graph.microsoft.us/.default"]);

// Create the Microsoft Graph client object using
// the Microsoft Graph for US Government L4 endpoint
// NOTE: The API version must be included in the URL
var graphClient = new GraphServiceClient(
    authProvider,
    "https://graph.microsoft.us/v1.0");

Ir

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azcore/cloud"
    "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
    graph "github.com/microsoftgraph/msgraph-sdk-go"
    auth "github.com/microsoftgraph/msgraph-sdk-go-core/authentication"
)

// Create the InteractiveBrowserCredential using details
// from app registered in the Azure AD for US Government portal
credential, _ := azidentity.NewInteractiveBrowserCredential(
    &azidentity.InteractiveBrowserCredentialOptions{
        ClientID: "YOUR_CLIENT_ID",
        TenantID: "YOUR_TENANT_ID",
        ClientOptions: policy.ClientOptions{
            // https://login.microsoftonline.us
            Cloud: cloud.AzureGovernment,
        },
        RedirectURL: "YOUR_REDIRECT_URL",
    })

// Create the authentication provider
authProvider, _ := auth.NewAzureIdentityAuthenticationProviderWithScopes(credential,
    []string{"https://graph.microsoft.us/.default"})

// Create a request adapter using the auth provider
adapter, _ := graph.NewGraphRequestAdapter(authProvider)

// Set the service root to the
// Microsoft Graph for US Government L4 endpoint
// NOTE: The API version must be included in the URL
adapter.SetBaseUrl("https://graph.microsoft.us/v1.0")

// Create a Graph client using request adapter
graphClient := graph.NewGraphServiceClient(adapter)

Java

// Create the InteractiveBrowserCredential using details
// from app registered in the Azure AD for US Government portal
final InteractiveBrowserCredential credential = new InteractiveBrowserCredentialBuilder()
    .clientId("YOUR_CLIENT_ID").tenantId("YOUR_TENANT_ID")
    // https://login.microsoftonline.us
    .authorityHost(AzureAuthorityHosts.AZURE_GOVERNMENT)
    .redirectUrl("YOUR_REDIRECT_URI").build();

final String[] scopes = new String[] {"https://graph.microsoft.us/.default"};

// Create the authentication provider
if (null == scopes || null == credential) {
    throw new Exception("Unexpected error");
}

final GraphServiceClient graphClient = new GraphServiceClient(credential, scopes);
// Set the service root to the
// Microsoft Graph for US Government L4 endpoint
// NOTE: The API version must be included in the URL
graphClient.getRequestAdapter().setBaseUrl("https://graph.microsoft.us/v1.0");

PHP

$scopes = ['https://graph.microsoft.us/.default'];

// Create the Microsoft Graph client object using
// the Microsoft Graph for US Government L4 endpoint
// $tokenRequestContext is one of the token context classes
// from Microsoft\Kiota\Authentication\Oauth
$graphClient = new GraphServiceClient($tokenRequestContext, $scopes, NationalCloud::US_GOV);

PowerShell

Connect-MgGraph -Environment USGov -ClientId 'YOUR_CLIENT_ID' `
  -TenantId 'YOUR_TENANT_ID' -Scopes 'https://graph.microsoft.us/.default'

Python

scopes = ['https://graph.microsoft.us/.default']

credential = InteractiveBrowserCredential(
    tenant_id='YOUR_TENANT_ID',
    client_id='YOUR_CLIENT_ID',
    redirect_uri='YOUR_REDIRECT_URI')

auth_provider = AzureIdentityAuthenticationProvider(credential, scopes=scopes)

# Create the HTTP client using
# the Microsoft Graph for US Government L4 endpoint
http_client = GraphClientFactory.create_with_default_middleware(
    host=NationalClouds.US_GOV)

adapter = GraphRequestAdapter(auth_provider, http_client)

graph_client = GraphServiceClient(request_adapter=adapter)

TypeScript

// Create the InteractiveBrowserCredential using details
// from app registered in the Azure AD for US Government portal
const credential = new InteractiveBrowserCredential({
  clientId: 'YOUR_CLIENT_ID',
  tenantId: 'YOUR_TENANT_ID',
  // https://login.microsoftonline.us
  authorityHost: AzureAuthorityHosts.AzureGovernment,
  redirectUri: 'YOUR_REDIRECT_URI',
});

// Create the authentication provider
const authProvider = new TokenCredentialAuthenticationProvider(credential, {
  scopes: ['https://graph.microsoft.us/.default'],
});

// Create the Microsoft Graph client object using
// the Microsoft Graph for US Government L4 endpoint
// NOTE: Do not include the version in the baseUrl
const graphClient = Client.initWithMiddleware({
  authProvider: authProvider,
  baseUrl: 'https://graph.microsoft.us',
});