Compartir vía


Habilitación de aplicaciones Java WebLogic para que los usuarios inicien sesión y accedan a Microsoft Graph

En este artículo se muestra una aplicación de Java WebLogic que inicia la sesión de los usuarios y obtiene un token de acceso para llamar a Microsoft Graph. Usa la Biblioteca de autenticación de Microsoft (MSAL) para Java.

En el siguiente diagrama se muestra la topología de la aplicación:

Diagrama que muestra la topología de la aplicación.

La aplicación cliente usa MSAL para Java (MSAL4J) para iniciar sesión de un usuario y obtener un token de acceso para Microsoft Graph desde Microsoft Entra ID. El token de acceso demuestra que el usuario está autorizado para acceder al punto de conexión de la API de Microsoft Graph tal como se define en el ámbito.

Requisitos previos

  • Java 8 o versiones posteriores
  • Maven 3
  • Un inquilino de Microsoft Entra ID. Para obtener más información, consulte Cómo obtener un inquilino de Microsoft Entra ID.
  • Una cuenta de usuario en su propio inquilino de Microsoft Entra ID si desea trabajar solo con cuentas en el directorio organizativo, es decir, modo de inquilino único. Si aún no ha creado una cuenta de usuario en el inquilino, debe hacerlo antes de continuar. Para obtener más información, consulte Cómo crear, invitar y eliminar usuarios.
  • Una cuenta de usuario en el inquilino de Microsoft Entra ID de cualquier organización si desea trabajar con cuentas en cualquier directorio organizativo, es decir, en modo multiinquilino. Este ejemplo debe modificarse para trabajar con una cuenta personal de Microsoft. Si aún no ha creado una cuenta de usuario en el inquilino, debe hacerlo antes de continuar. Para obtener más información, consulte Cómo crear, invitar y eliminar usuarios.
  • Una cuenta de Microsoft personal (por ejemplo, Xbox, Hotmail, Live, etc.) si desea trabajar con cuentas personales de Microsoft.

Recomendaciones

Configuración del ejemplo

En las secciones siguientes se muestra cómo configurar la aplicación de ejemplo.

Clonación o descarga del repositorio de ejemplo

Para clonar el ejemplo, abra una ventana de Bash y use el siguiente comando:

git clone https://github.com/Azure-Samples/ms-identity-msal-java-samples.git
cd 3-java-servlet-web-app/2-Authorization-I/call-graph

Como alternativa, vaya al repositorio ms-identity-msal-java-samples y, a continuación, descárguelo como un archivo .zip y extráigalo en el disco duro.

Importante

Para evitar las limitaciones de longitud de la ruta de los archivos en Windows, clone o extraiga el repositorio en un directorio cerca de la raíz del disco duro.

Registro de la aplicación de ejemplo con el inquilino de Microsoft Entra ID

En este ejemplo hay un proyecto. En las secciones siguientes se muestra cómo registrar la aplicación mediante Azure Portal.

Selección del inquilino de Microsoft Entra ID el que quiere crear las aplicaciones

Para elegir el inquilino, siga estos pasos:

  1. Inicie sesión en Azure Portal.

  2. Si su cuenta existe en más de un inquilino de Microsoft Entra ID, seleccione el perfil en la esquina de Azure Portal y seleccione Cambiar directorio para modificar la sesión al inquilino de Microsoft Entra ID que desee.

Registro de la aplicación (java-servlet-webapp-call-graph)

En primer lugar, registre una nueva aplicación en Azure Portal siguiendo las instrucciones de Inicio rápido: Registro de una aplicación en la plataforma de identidades de Microsoft.

A continuación, siga estos pasos para completar el registro:

  1. Vaya a la página de Registros de aplicaciones de la plataforma de identidad de Microsoft para desarrolladores.

  2. Seleccione Nuevo registro.

  3. En la página Registrar una aplicación que aparece, escriba la siguiente información de registro de la aplicación:

    • En la sección Nombre, escriba un nombre significativo de la aplicación, que se mostrará a los usuarios de la aplicación, por ejemplo, java-servlet-webapp-call-graph.

    • En Tipos de cuenta admitidos, seleccione una de las siguientes opciones:

      • Seleccione Solo las cuentas de este directorio organizativo si va a crear una aplicación para que solo la utilicen los usuarios de su inquilino, es decir, una aplicación de inquilino.
      • Seleccione Cuentas de cualquier directorio de la organización si desea que los usuarios de cualquier inquilino de Microsoft Entra ID puedan usar su aplicación, es decir, una aplicación multiinquilino.
      • Seleccione Cuentas de un directorio organizativo y cuentas de Microsoft personales para el conjunto más amplio de clientes, es decir, una aplicación multiinquilino que también admite cuentas personales de Microsoft.
    • Seleccione Cuentas personales de Microsoft para que solo las utilicen los usuarios de cuentas Microsoft personales (por ejemplo, cuentas de Hotmail, Live, Skype o Xbox).

    • En la sección URI de redirección, seleccione Web en el cuadro combinado y escriba los siguientes URI de redirección: http://localhost:8080/msal4j-servlet-graph/auth/redirect.

  4. Seleccione Registrar para crear la aplicación.

  5. En la página de registro de la aplicación, busque y copie el valor del identificador de la aplicación (cliente) para usarlo más adelante. Este valor se usa en el archivo o los archivos de configuración de la aplicación.

  6. Seleccione Guardar para guardar los cambios.

  7. En la página de registro de la aplicación, seleccione Certificados y secretos en el panel de navegación para abrir la página donde puede generar secretos y cargar certificados.

  8. En la sección Secretos de cliente, seleccione Nuevo secreto de cliente.

  9. Escriba una descripción, por ejemplo, secreto de aplicación.

  10. Seleccione una de las duraciones disponibles: En 1 año, En 2 años o No caduca nunca.

  11. Seleccione Agregar. Se muestra el valor generado.

  12. Copie y guarde el valor generado para usarlo en pasos posteriores. Necesita este valor para los archivos de configuración del código. Este valor no volverá a aparecer y no podrá recuperarlo por ningún otro medio. Por lo tanto, asegúrese de guardarlo desde Azure Portal antes de navegar a cualquier otra pantalla o panel.

  13. En la página de registro de la aplicación, seleccione Permisos de API en el panel de navegación para abrir la página y agregar acceso a las API que necesita la aplicación.

  14. Selecciona Agregar permisos.

  15. Asegúrese de que la pestaña API de Microsoft esté seleccionada.

  16. En la sección API de Microsoft más usadas, seleccione Microsoft Graph.

  17. En la sección Permisos delegados, seleccione User.Read en la lista. Si es necesario, utilice el cuadro de búsqueda.

  18. Seleccione Agregar permisos.


Configuración de la aplicación (java-servlet-webapp-call-graph) para usar el registro de la aplicación

Siga estos pasos para configurar la aplicación:

Nota:

En los pasos siguientes, ClientID es igual que Application ID o AppId.

  1. Abra el proyecto en su IDE.

  2. Abra el archivo ./src/main/resources/authentication.properties.

  3. Busque la cadena {enter-your-tenant-id-here}. Reemplace el valor existente por uno de los siguientes valores:

    • El identificador de inquilino de Microsoft Entra ID si registró la aplicación con la opción Solo cuentas de este directorio organizativo.
    • La palabra organizations si registró la aplicación con la opción Cuentas de cualquier directorio organizativo.
    • La palabra common si registró la aplicación con la opción Cuentas de cualquier directorio organizativo y cuentas de Microsoft personales.
    • La palabra consumers si registró la aplicación con la opción Cuentas personales de Microsoft.
  4. Busque la cadena {enter-your-client-id-here} y reemplace el valor existente por el identificador de aplicación o clientId de la aplicación java-servlet-webapp-call-graph que ha copiado de Azure Portal.

  5. Busque la cadena {enter-your-client-secret-here} y reemplace el valor existente por el valor que ha guardado durante la creación de la aplicación java-servlet-webapp-call-graph en Azure Portal.

Compilación del ejemplo

Para crear el ejemplo mediante Maven, vaya al directorio que contiene el archivo pom.xml del ejemplo y, a continuación, ejecute el siguiente comando:

mvn clean package

Este comando genera un archivo .war que se puede ejecutar en varios servidores de aplicaciones.

Implementación del ejemplo

En estas instrucciones se supone que instaló WebLogic y configuró algún dominio de servidor.

Para poder realizar la implementación en WebLogic, siga estos pasos para realizar algunos cambios de configuración en el propio ejemplo y, a continuación, compile o vuelva a compilar el paquete:

  1. En el ejemplo, busque el archivo application.properties o authentication.properties donde configuró el identificador de cliente, el inquilino, la dirección URL de redirección, etc.

  2. En este archivo, cambie las referencias a localhost:8080 o localhost:8443 a la dirección URL y el puerto en los que se ejecuta WebLogic, que de forma predeterminada debe ser localhost:7001.

  3. También debe realizar el mismo cambio en el registro de aplicaciones de Azure, donde lo estableció en Azure Portal como valor URI de redirección en la pestaña Autenticación.

Siga estos pasos para implementar el ejemplo en WebLogic a través de la consola web:

  1. Inicie el servidor WebLogic con DOMAIN_NAME\bin\startWebLogic.cmd.

  2. Vaya a la consola web de WebLogic en el explorador en http://localhost:7001/console.

  3. Vaya a Estructura de dominio>Implementaciones, seleccione Instalar, seleccione Cargue los archivos y busque el archivo .war que creó con Maven.

  4. Seleccione Instalar esta implementación como una aplicación, seleccione Siguiente, Finalizar y, después, Guardar.

  5. La mayoría de los valores predeterminados deben ser correctos, excepto que debe asignar un nombre a la aplicación para que coincida con el URI de redirección establecido en la configuración de ejemplo o en el registro de aplicaciones de Azure. Es decir, si el URI de redirección es http://localhost:7001/msal4j-servlet-auth, debe asignar a la aplicación el nombre msal4j-servlet-auth.

  6. Vuelva a Estructura de dominio>Implementaciones e inicie la aplicación.

  7. Una vez iniciada la aplicación, vaya a http://localhost:7001/<application-name>/ y debería poder acceder a la aplicación.

Exploración del ejemplo

Siga estos pasos para explorar el ejemplo:

  1. Observe que el estado de inicio de sesión o de cierre de sesión se muestra en el centro de la pantalla.
  2. Seleccione el botón contextual en la esquina. Este botón indica Iniciar sesión cuando se ejecuta por primera vez la aplicación.
  3. En la página siguiente, siga las instrucciones e inicie sesión con una cuenta en el inquilino de Microsoft Entra ID.
  4. En la pantalla de consentimiento, observe los ámbitos que se solicitan.
  5. Observe que el botón contextual ahora indica Cerrar sesión y muestra el nombre de usuario.
  6. Seleccione Detalles del token de identificador para ver algunas de las notificaciones descodificadas del token de identificador.
  7. Seleccione Gráfico de llamadas para realizar una llamada al punto de conexión /me de Microsoft Graph y ver una selección de los detalles de usuario obtenidos.
  8. Use el botón de la esquina para cerrar la sesión.

Sobre el código

En este ejemplo se usa MSAL para Java (MSAL4J) para iniciar sesión de un usuario y obtener un token para la API de Microsoft Graph. Usa el SDK de Microsoft Graph para Java para obtener datos de Graph. Debe agregar estas bibliotecas a los proyectos mediante Maven.

Si desea replicar el comportamiento de este ejemplo, puede copiar el archivo pom.xml y el contenido de las carpetas helpers y authservlets en la carpeta src/main/java/com/microsoft/azuresamples/msal4j. También necesita el archivo authentication.properties. Estas clases y archivos contienen código genérico que puede usar en una amplia gama de aplicaciones. También puede copiar el resto del ejemplo, pero las demás clases y archivos se compilan específicamente para abordar el objetivo de este ejemplo.

Contenido

En la tabla siguiente se muestra el contenido de la carpeta del proyecto de ejemplo:

Archivo/carpeta Descripción
src/main/java/com/microsoft/azuresamples/msal4j/callgraphwebapp/ Este directorio contiene las clases que definen la lógica empresarial de back-end de la aplicación.
src/main/java/com/microsoft/azuresamples/msal4j/authservlets/ Este directorio contiene las clases que se usan para los puntos de conexión de inicio de sesión y cierre de sesión.
____Servlet.java Todos los puntos de conexión disponibles se definen en clases .java que terminan en ____Servlet.java.
src/main/java/com/microsoft/azuresamples/msal4j/helpers/ Clases auxiliares para la autenticación.
AuthenticationFilter.java Redirige las solicitudes no autenticadas a los puntos de conexión protegidos a una página 401.
src/main/resources/authentication.properties Microsoft Entra ID y configuración del programa.
src/main/webapp/ Este directorio contiene la interfaz de usuario: plantillas de JSP
CHANGELOG.md Lista de cambios en la muestra.
CONTRIBUTING.md Directrices para contribuir al ejemplo.
LICENCIA Licencia del ejemplo.

ConfidentialClientApplication

Se crea una instancia de ConfidentialClientApplication en el archivo AuthHelper.java, como se muestra en el ejemplo siguiente. Este objeto ayuda a crear la dirección URL de autorización de Microsoft Entra ID y también ayuda a intercambiar el token de autenticación de un token de acceso.

// getConfidentialClientInstance method
IClientSecret secret = ClientCredentialFactory.createFromSecret(SECRET);
confClientInstance = ConfidentialClientApplication
                     .builder(CLIENT_ID, secret)
                     .authority(AUTHORITY)
                     .build();

Para la instanciación se utilizan los siguientes parámetros:

  • El identificador de cliente de la aplicación.
  • El secreto de cliente, que es un requisito para aplicaciones cliente confidenciales.
  • Microsoft Entra ID Authority, que incluye el identificador de inquilino de Microsoft Entra.

En este ejemplo, estos valores se leen del archivo authentication.properties mediante un lector de propiedades del archivo Config.java.

Tutorial paso a paso

Los pasos siguientes proporcionan un tutorial de la funcionalidad de la aplicación:

  1. El primer paso del proceso de inicio de sesión consiste en enviar una solicitud al punto de conexión /authorize del inquilino de Microsoft Entra ID. La instancia ConfidentialClientApplication de MSAL4J se usa para construir una dirección URL de solicitud de autorización. La aplicación redirige el explorador a esta dirección URL, que es donde el usuario inicia sesión.

    final ConfidentialClientApplication client = getConfidentialClientInstance();
    AuthorizationRequestUrlParameters parameters = AuthorizationRequestUrlParameters.builder(Config.REDIRECT_URI, Collections.singleton(Config.SCOPES))
            .responseMode(ResponseMode.QUERY).prompt(Prompt.SELECT_ACCOUNT).state(state).nonce(nonce).build();
    
    final String authorizeUrl = client.getAuthorizationRequestUrl(parameters).toString();
    contextAdapter.redirectUser(authorizeUrl);
    

    En la lista siguiente se describen las características de este código:

    • AuthorizationRequestUrlParameters: parámetros que se deben establecer para crear una AuthorizationRequestUrl.
    • REDIRECT_URI: donde Microsoft Entra ID redirige el navegador, junto con el código de autenticación, después de recopilar las credenciales de usuario. Debe coincidir con el URI de redireccionamiento en el registro de la aplicación Microsoft Entra ID en Azure Portal.
    • SCOPES: Los ámbitos son permisos solicitados por la aplicación.
      • Normalmente, los tres ámbitos openid profile offline_access son suficientes para recibir una respuesta de token de identificador.
      • La lista completa de ámbitos solicitados por la aplicación se puede encontrar en el archivo authentication.properties. Puede agregar más ámbitos, como User.Read.
  2. Microsoft Entra ID presenta al usuario un mensaje de inicio de sesión. Si el intento de inicio de sesión es correcto, el navegador del usuario se vuelve a redirigir al punto de conexión de redirección de la aplicación. Una solicitud válida a este punto de conexión contendrá un código de autorización.

  3. Después, la instancia de ConfidentialClientApplication intercambia este código de autorización por un token de identificador y un token de acceso de Microsoft Entra ID.

    // First, validate the state, then parse any error codes in response, then extract the authCode. Then:
    // build the auth code params:
    final AuthorizationCodeParameters authParams = AuthorizationCodeParameters
            .builder(authCode, new URI(Config.REDIRECT_URI)).scopes(Collections.singleton(Config.SCOPES)).build();
    
    // Get a client instance and leverage it to acquire the token:
    final ConfidentialClientApplication client = AuthHelper.getConfidentialClientInstance();
    final IAuthenticationResult result = client.acquireToken(authParams).get();
    

    En la lista siguiente se describen las características de este código:

    • AuthorizationCodeParameters: parámetros que se deben establecer para intercambiar el código de autorización por un identificador o token de acceso.
    • authCode: el código de autorización que se ha recibido en el punto de conexión de redireccionamiento.
    • REDIRECT_URI: el URI de redireccionamiento que se ha usado en el paso anterior se debe pasar de nuevo.
    • SCOPES: los ámbitos que se han usado en el paso anterior se deben pasar de nuevo.
  4. Si acquireToken se realiza correctamente, se extraen las notificaciones de token. Si se supera la comprobación nonce, los resultados se colocan en context, una instancia de IdentityContextData, y se guardan en la sesión. Después, la aplicación puede crear una instancia de IdentityContextData a partir de la sesión por medio de una instancia de IdentityContextAdapterServlet siempre que necesite acceder a ella, como se muestra en el código siguiente:

    // parse IdToken claims from the IAuthenticationResult:
    // (the next step - validateNonce - requires parsed claims)
    context.setIdTokenClaims(result.idToken());
    
    // if nonce is invalid, stop immediately! this could be a token replay!
    // if validation fails, throws exception and cancels auth:
    validateNonce(context);
    
    // set user to authenticated:
    context.setAuthResult(result, client.tokenCache().serialize());
    

Protección de las rutas

Para obtener información sobre cómo la aplicación de ejemplo filtra el acceso a las rutas, consulte AuthenticationFilter.java. En el archivo authentication.properties, la propiedad app.protect.authenticated contiene las rutas separadas por comas a las que solo pueden acceder los usuarios autenticados, como se muestra en el ejemplo siguiente:

# for example, /token_details requires any user to be signed in and does not require special roles or groups claim(s)
app.protect.authenticated=/token_details, /call_graph

Gráfico de llamadas

Cuando el usuario navega a /call_graph, la aplicación crea una instancia de IGraphServiceClient desde el SDK de Java Graph y se pasa el token de acceso del usuario que ha iniciado sesión. El cliente de Graph coloca el token de acceso en los encabezados Authorization de sus solicitudes. Después, la aplicación solicita al cliente de Graph que llame al punto de conexión /me para devolver los detalles del usuario que ha iniciado sesión actualmente.

Si ya tiene un token de acceso válido para Graph Service con el ámbito User.Read, solo necesita el código siguiente para obtener acceso al punto de conexión /me:

//CallGraphServlet.java
User user = GraphHelper.getGraphClient(contextAdapter).me().buildRequest().get();

Ámbitos

Los ámbitos indican a Microsoft Entra ID el nivel de acceso que solicita la aplicación.

En función de los ámbitos solicitados, Microsoft Entra ID presenta un cuadro de diálogo de consentimiento al usuario cuando inicia sesión. Si el usuario da su consentimiento para uno o varios ámbitos y obtiene un token, los ámbitos con consentimiento se codifican en el access_token resultante.

Para los ámbitos solicitados por la aplicación, consulte authentication.properties. De forma predeterminada, la aplicación establece el valor de ámbitos en User.Read. Este ámbito concreto de la API de Microsoft Graph es para acceder a la información del usuario que ha iniciado sesión. El punto de conexión de Graph para acceder a esta información es https://graph.microsoft.com/v1.0/me. Las solicitudes válidas realizadas a este punto de conexión deben tener un access_token que contenga el ámbito User.Read en el encabezado Authorization.

Más información

Paso siguiente

Implementación de aplicaciones de Java WebLogic en WebLogic en Azure Virtual Machines