Защита приложений Java WebSphere с помощью групп и утверждений групп
В этой статье показано, как создать приложение Java WebSphere, которое входит в систему пользователей с помощью библиотеки проверки подлинности Майкрософт (MSAL) для Java. Приложение также ограничивает доступ к страницам на основе членства в группе безопасности идентификатора Microsoft Entra.
На следующей схеме показана топология приложения:
Клиентское приложение использует MSAL для Java (MSAL4J) для входа пользователей в клиент Идентификатора Microsoft Entra и получения маркера идентификатора из идентификатора Microsoft Entra ID. Маркер идентификатора подтверждает, что пользователь проходит проверку подлинности с помощью этого клиента. Приложение защищает маршруты в соответствии с состоянием проверки подлинности пользователя и членством в группах.
Видео, охватывающее этот сценарий, см. в статье "Реализация авторизации в приложениях с помощью ролей приложений, групп безопасности, областей и ролей каталога".
Необходимые компоненты
- JDK версии 8 или более поздней
- Maven 3
- Клиент идентификатора Microsoft Entra. Дополнительные сведения см. в разделе "Как получить клиент идентификатора Microsoft Entra".
- Учетная запись пользователя в собственном клиенте Идентификатора Microsoft Entra.
- Две группы безопасности и
GroupAdmin
GroupMember
, содержащие пользователей, с которыми вы хотите протестировать.
Рекомендации
- Некоторые знания о Java / Jakarta Servlets.
- Некоторые знания о терминале Linux/OSX.
- jwt.ms для проверки маркеров.
- Fiddler для мониторинга активности сети и устранения неполадок.
- Следуйте блогу по идентификатору Microsoft Entra ID, чтобы оставаться в курсе последних разработок.
Настройка примера
В следующих разделах показано, как настроить пример приложения.
Клонирование или скачивание примера репозитория
Чтобы клонировать пример, откройте окно Bash и выполните следующую команду:
git clone https://github.com/Azure-Samples/ms-identity-msal-java-samples.git
cd 3-java-servlet-web-app/3-Authorization-II/groups
Кроме того, перейдите к репозиторию ms-identity-msal-java-samples , а затем скачайте его в виде файла .zip и извлеките его на жесткий диск.
Внимание
Чтобы избежать ограничений длины пути к файлам в Windows, клонируйте или извлеките репозиторий в каталог рядом с корнем жесткого диска.
Регистрация примера приложения в клиенте Идентификатора Microsoft Entra
В этом примере есть один проект. В следующих разделах показано, как зарегистрировать приложение с помощью портал Azure.
Выберите клиент Идентификатора Microsoft Entra, в котором вы хотите создать приложения
Чтобы выбрать клиент, выполните следующие действия.
Войдите на портал Azure.
Если ваша учетная запись присутствует в нескольких клиентах идентификатора Microsoft Entra ID, выберите профиль в углу портал Azure, а затем выберите "Переключить каталог", чтобы изменить сеанс на нужный клиент Идентификатора Microsoft Entra.
Регистрация приложения (java-servlet-webapp-groups)
Сначала зарегистрируйте новое приложение в портал Azure, следуя инструкциям в кратком руководстве. Регистрация приложения с помощью платформа удостоверений Майкрософт.
Затем выполните следующие действия, чтобы завершить регистрацию:
Перейдите на страницу Регистрация приложений Платформы удостоверений Майкрософт для разработчиков.
Выберите Создать регистрацию.
На появившемся экране "Регистрация приложения" введите следующие сведения о регистрации приложения:
- В разделе "Имя" введите понятное имя приложения для отображения пользователям приложения, например
java-servlet-webapp-groups
. - В разделе Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации.
- В разделе URI перенаправления выберите Веб-файл в поле со списком и введите следующий URI перенаправления:
http://localhost:8080/msal4j-servlet-groups/auth/redirect
- В разделе "Имя" введите понятное имя приложения для отображения пользователям приложения, например
Выберите Зарегистрировать, чтобы создать приложение.
На странице регистрации приложения найдите и скопируйте значение идентификатора приложения (клиента), которое будет использоваться позже. Это значение используется в файле конфигурации или файлах приложения.
Выберите Сохранить, чтобы сохранить изменения.
На странице регистрации приложения выберите сертификаты и секреты на панели навигации, чтобы открыть страницу, где можно создать секреты и отправить сертификаты.
В разделе Секреты клиента выберите Создать секрет клиента.
Введите описание, например секрет приложения.
Выберите одну из доступных продолжительности: в течение 1 года, за 2 года или никогда не истекает.
Выберите Добавить. Отображается созданное значение.
Скопируйте и сохраните созданное значение для использования в последующих шагах. Это значение требуется для файлов конфигурации кода. Это значение не отображается снова, и его нельзя получить другими средствами. Таким образом, не забудьте сохранить его из портал Azure перед переходом на любой другой экран или область.
На странице регистрации приложения выберите разрешения API в области навигации, чтобы открыть страницу, чтобы добавить доступ к API, которые требуется приложению.
Выберите Добавить разрешение.
Убедитесь, что выбрана вкладка API Майкрософт.
В разделе Часто используемые интерфейсы API Microsoft выберите Microsoft Graph.
В разделе "Делегированные разрешения" выберите User.Read и GroupMember.Read.All из списка. При необходимости используйте поле поиска.
Выберите Добавить разрешения.
GroupMember.Read.All
требуется согласие администратора, поэтому выберите "Предоставить или отозвать согласие администратора" для {tenant}, а затем нажмите кнопку "Да ", если вы хотите предоставить согласие для запрошенных разрешений для всех учетных записей в клиенте. Для выполнения этого действия необходимо быть администратором клиента Идентификатора Microsoft Entra.
Настройка приложения (java-servlet-webapp-groups) для использования регистрации приложения
Чтобы настроить приложение, выполните следующие действия.
Примечание.
В следующих шагах ClientID
выполняется то же самое, что Application ID
и AppId
.
Откройте проект в интегрированной среде разработки.
Откройте файл ./src/main/resources/authentication.properties.
Найдите строку
{enter-your-tenant-id-here}
. Замените существующее значение идентификатором клиента Microsoft Entra, если вы зарегистрировали приложение только в этом каталоге организации.Найдите строку
{enter-your-client-id-here}
и замените существующее значение идентификатором приложения илиclientId
java-servlet-webapp-groups
приложением, скопированным из портал Azure.Найдите строку
{enter-your-client-secret-here}
и замените существующее значение значением, сохраненным во время созданияjava-servlet-webapp-groups
приложения, в портал Azure.
Настройка групп безопасности
Вы можете настроить приложения для получения утверждений групп следующими способами:
Получение всех групп, которым назначен пользователь, вошедшего в систему, в клиенте идентификатора Microsoft Entra, включены вложенные группы. Дополнительные сведения см. в разделе "Настройка приложения для получения всех групп, которым назначен пользователь, вошедшего в систему", включая вложенные группы.
Получение значений утверждений групп из отфильтрованного набора групп, с которыми приложение запрограммировано для работы. Дополнительные сведения см. в разделе "Настройка приложения для получения значений утверждений групп из отфильтрованного набора групп, которым может быть назначен пользователь". Этот параметр недоступен в выпуске Microsoft Entra ID Free.
Примечание.
Сведения о получении локальной группы samAccountName
или On Premises Group Security Identifier
вместо идентификатора группы см. в разделе "Предварительные требования для использования атрибутов групп, синхронизированных из Active Directory " в разделе "Настройка утверждений группы для приложений с помощью идентификатора Microsoft Entra".
Настройте приложение для получения всех групп, которым назначен пользователь, вошедшего в систему, включая вложенные группы.
Чтобы настроить приложение, выполните следующие действия.
На странице регистрации приложения выберите "Конфигурация маркера" на панели навигации, чтобы открыть страницу, в которой можно настроить предоставленные утверждения маркерами, выданными приложению.
Выберите " Добавить утверждения групп", чтобы открыть экран "Изменение утверждений групп ".
Выберите группы безопасности ИЛИ все группы (включая списки рассылки, но не группы, назначенные приложению). Выбор обоих параметров отрицает эффект параметра "Группы безопасности".
В разделе "Идентификатор" выберите идентификатор группы. Этот выбор приводит к тому, что идентификатор Microsoft Entra отправляет идентификатор объекта групп, которым назначается пользователь, в утверждениях групп маркера идентификатора, который ваше приложение получает после входа пользователя.
Настройка приложения для получения значений утверждений групп из отфильтрованного набора групп, которым может быть назначен пользователь.
Этот параметр полезен при выполнении следующих случаев:
- Ваше приложение заинтересовано в выбранном наборе групп, которым может быть назначен пользователь, выполняющий вход.
- Ваше приложение не заинтересовано в каждой группе безопасности, назначенной этому пользователю в клиенте.
Этот параметр помогает приложению избежать проблемы с переполнением.
Примечание.
Эта функция недоступна в выпуске Microsoft Entra ID Free.
Вложенные назначения групп недоступны при использовании этого параметра.
Чтобы включить этот параметр в приложении, выполните следующие действия.
На странице регистрации приложения выберите "Конфигурация маркера" на панели навигации, чтобы открыть страницу, в которой можно настроить предоставленные утверждения маркерами, выданными приложению.
Выберите " Добавить утверждения групп", чтобы открыть экран "Изменение утверждений групп ".
Выберите группы, назначенные приложению.
Выбор других параметров , таких как группы безопасности или все группы (включая списки рассылки, но не группы, назначенные приложению), отрицает преимущества, которые ваше приложение получает от выбора использования этого параметра.
В разделе "Идентификатор" выберите идентификатор группы. Этот выбор приводит к тому, что идентификатор Microsoft Entra отправляет идентификатор объекта групп, которым назначается пользователь, в утверждениях групп маркера идентификатора.
Если вы предоставляете веб-API с помощью параметра "Предоставить API ", вы также можете выбрать параметр идентификатора группы в разделе Access . Этот параметр приводит к отправке идентификатора microsoft Entra, отправляющего идентификатор объекта групп, которым назначается пользователь в утверждении группы маркера доступа.
На странице регистрации приложения выберите "Обзор " на панели навигации, чтобы открыть экран обзора приложения.
Выберите гиперссылку с именем приложения в управляемом приложении в локальном каталоге. Этот заголовок поля может быть усечен , например
Managed application in ...
. При выборе этой ссылки перейдите на страницу обзора корпоративных приложений, связанную с субъектом-службой приложения в клиенте, где вы создали его. Вы можете вернуться на страницу регистрации приложения с помощью кнопки "Назад" браузера.Выберите пользователей и группы на панели навигации, чтобы открыть страницу, в которой можно назначить пользователей и группы приложению.
Выберите Добавить пользователя.
Выберите пользователя и группы на результирующем экране.
Выберите группы, которые нужно назначить этому приложению.
Выберите "Выбрать ", чтобы завершить выбор групп.
Нажмите кнопку " Назначить" , чтобы завершить процесс назначения группы.
Теперь приложение получает эти выбранные группы в утверждении групп, когда пользователь войдя в приложение является членом одной или нескольких назначенных групп.
Выберите "Свойства " на панели навигации, чтобы открыть страницу, в которую перечислены основные свойства приложения. Задайте обязательное назначение пользователя? Флаг "Да".
Внимание
Если необходимо задать назначение пользователей? Идентификатор Microsoft Entra ID проверяет, что только пользователи, назначенные приложению в области "Пользователи и группы", могут войти в приложение. Вы можете назначить пользователей напрямую или назначить группы безопасности, к которым они относятся.
Настройка приложения (java-servlet-webapp-groups) для распознавания идентификаторов групп
Чтобы настроить приложение, выполните следующие действия.
Внимание
На странице конфигурации токенов, если выбран любой параметр, отличный от groupID, например DNSDomain\sAMAccountName, следует ввести имя группы в следующих шагах, например, contoso.com\Test Group
вместо идентификатора объекта:
Откройте файл ./src/main/resources/authentication.properties.
Найдите строку
{enter-your-admins-group-id-here}
и замените существующее значение идентификаторомGroupAdmin
объекта группы, скопированной из портал Azure. Удалите фигурные скобки из значения заполнителя.Найдите строку
{enter-your-users-group-id-here}
и замените существующее значение идентификаторомGroupMember
объекта группы, скопированной из портал Azure. Удалите фигурные скобки из значения заполнителя.
Сборка примера
Чтобы создать пример с помощью Maven, перейдите в каталог, содержащий файл pom.xml для примера, а затем выполните следующую команду:
mvn clean package
Эта команда создает WAR-файл , который можно запустить на различных серверах приложений.
Запуск примера
В этих инструкциях предполагается, что вы установили WebSphere и настроили сервер. Вы можете использовать руководство по развертыванию кластера WebSphere Application Server (традиционного) в Azure Виртуальные машины для базовой настройки сервера.
Перед развертыванием в WebSphere выполните следующие действия, чтобы внести некоторые изменения конфигурации в сам пример, а затем создать или перестроить пакет:
Перейдите к файлу authentication.properties приложения и измените значение
app.homePage
URL-адреса сервера и номера порта, который вы планируете использовать, как показано в следующем примере:# app.homePage is by default set to dev server address and app context path on the server # for apps deployed to azure, use https://your-sub-domain.azurewebsites.net app.homePage=https://<server-url>:<port-number>/msal4j-servlet-auth/
После сохранения этого файла используйте следующую команду, чтобы перестроить приложение:
mvn clean package
После завершения сборки кода скопируйте WAR-файл в файловую систему целевого сервера.
Кроме того, необходимо внести те же изменения в регистрацию приложения Azure, где вы задали его в портал Azure в качестве значения URI перенаправления на вкладке "Проверка подлинности".
Перейдите на страницу Регистрация приложений Платформы удостоверений Майкрософт для разработчиков.
Используйте поле поиска для поиска регистрации приложения, например
java-servlet-webapp-authentication
.Откройте регистрацию приложения, выбрав его имя.
Выберите Проверка подлинности в меню.
В разделе URI веб-перенаправления - выберите "Добавить URI".
Заполните универсальный код ресурса (URI) приложения, добавив /auth/redirect , например
https://<server-url>:<port-number>/auth/redirect
.Выберите Сохранить.
Выполните следующие действия, чтобы развернуть пример с помощью консоли интегрированных решений WebSphere:
На вкладке "Приложения" выберите "Новое приложение", а затем "Новое корпоративное приложение".
Выберите созданный war-файл, а затем нажмите кнопку "Далее", пока не получите корень контекста карты для шага установки веб-модулей. Другие параметры по умолчанию должны быть хорошо.
Для корневого каталога контекста задайте для него то же значение, что и после номера порта в URI перенаправления, заданном в примере конфигурации или регистрации приложения Azure. То есть, если URI перенаправления имеет значение
http://<server-url>:9080/msal4j-servlet-auth/
, корневой каталог контекста должен бытьmsal4j-servlet-auth
.Выберите Готово.
После завершения установки приложения перейдите в раздел корпоративных приложений WebSphere на вкладке "Приложения".
Выберите war-файл, установленный в списке приложений, а затем нажмите кнопку "Начать развертывание".
После завершения развертывания перейдите к
http://<server-url>:9080/{whatever you set as the context root}
нему и увидите приложение.
Анализ примера
Чтобы изучить пример, выполните следующие действия.
- Обратите внимание, что состояние входа или выхода отображается в центре экрана.
- Нажмите кнопку с учетом контекста в углу. Эта кнопка считывает вход при первом запуске приложения.
- На следующей странице следуйте инструкциям и войдите с учетной записью в клиенте идентификатора Microsoft Entra ID.
- На экране согласия обратите внимание на запрашиваемые области.
- Обратите внимание, что кнопка с учетом контекста теперь говорит выход и отображает имя пользователя.
- Выберите сведения о маркере идентификатора, чтобы просмотреть некоторые декодированные утверждения маркера идентификатора.
- Выберите группы , чтобы просмотреть все сведения о членстве в группах безопасности для пользователя, вошедшего в систему.
- Выберите "Только администратор" или "Обычный пользователь" , чтобы получить доступ к защищенным конечным точкам групп.
- Если пользователь вошел в
GroupAdmin
группу, пользователь может ввести обе страницы. - Если вход пользователя находится в
GroupMember
группе, пользователь может ввести только страницу "Обычный пользователь ". - Если пользователь, вошедшего в систему, не входит в группу, пользователь не может получить доступ к двум страницам.
- Если пользователь вошел в
- Нажмите кнопку в углу, чтобы выйти из нее.
- После выхода выберите "Сведения о маркере идентификатора", чтобы убедиться, что приложение отображает ошибку
401: unauthorized
вместо утверждений маркера идентификатора, если пользователь не авторизован.
Примечания о коде
В этом примере используется MSAL для Java (MSAL4J) для входа пользователя и получения маркера идентификатора, который может содержать утверждение групп. Если в маркере идентификатора слишком много групп для выбросов, в примере используется пакет SDK Microsoft Graph для Java для получения данных о членстве в группах из Microsoft Graph. В зависимости от групп, к которому принадлежит пользователь, пользователь, вошедшего в систему, может получить доступ либо ни к одному, ни к одному или обоим защищенным страницам, Admins Only
а также Regular Users
.
Если вы хотите реплицировать поведение этого примера, необходимо добавить MSAL4J и пакет SDK Microsoft Graph в проекты с помощью Maven. Вы можете скопировать файл pom.xml и содержимое вспомогательных папок и папок authservlets в папке src/main/java/com/microsoft/azuresamples/msal4j. Вам также нужен файл authentication.properties . Эти классы и файлы содержат универсальный код, который можно использовать в широком массиве приложений. Вы также можете скопировать остальную часть примера, но другие классы и файлы создаются специально для решения задачи этого примера.
Содержимое
В следующей таблице показано содержимое папки примера проекта:
Файл или папка | Description |
---|---|
src/main/java/com/microsoft/azuresamples/msal4j/groupswebapp/ | Этот каталог содержит классы, определяющие серверную бизнес-логику приложения. |
src/main/java/com/microsoft/azuresamples/msal4j/authservlets/ | Этот каталог содержит классы, используемые для входа и выхода конечных точек. |
____Servlet.java | Все доступные конечные точки определяются в классах .java, заканчивающиеся ____Servlet.java. |
src/main/java/com/microsoft/azuresamples/msal4j/helpers/ | Вспомогательные классы для проверки подлинности. |
AuthenticationFilter.java | Перенаправляет запросы без проверки подлинности на защищенные конечные точки на страницу 401. |
src/main/resources/authentication.properties | Идентификатор и конфигурация программы Microsoft Entra. |
src/main/webapp/ | Этот каталог содержит шаблоны JSP пользовательского интерфейса |
CHANGELOG.md | Список изменений в примере. |
CONTRIBUTING.md | Рекомендации по участию в образце. |
ЛИЦЕНЗИЯ | Лицензия для примера. |
Обработка утверждения групп в токенах, включая обработку перебора
В следующих разделах описывается, как приложение обрабатывает утверждение групп.
Утверждение групп
Идентификатор объекта групп безопасности, вошедшего в систему пользователя, возвращается в утверждении группы маркера, показанном в следующем примере:
{
...
"groups": [
"0bbe91cc-b69e-414d-85a6-a043d6752215",
"48931dac-3736-45e7-83e8-015e6dfd6f7c",]
...
}
Утверждение переполнения групп
Чтобы размер токена не превышал пределы размера заголовка HTTP, платформа удостоверений Майкрософт ограничивает количество идентификаторов объектов, которые он включает в утверждение групп.
Ограничение превышения составляет 150 для токенов SAML, 200 для токенов JWT и 6 для приложений с одной страницей. Если пользователь является членом более групп, чем превышение, платформа удостоверений Майкрософт не выдает идентификаторы групп в утверждениях групп в маркере. Вместо этого он включает в себя утверждение перебора в маркере, указывающее приложению, чтобы запросить API Microsoft Graph для получения членства в группе пользователя, как показано в следующем примере:
{
...
"_claim_names": {
"groups": "src1"
},
{
"_claim_sources": {
"src1": {
"endpoint":"[Graph Url to get this user's group membership from]"
}
}
...
}
Создание сценария избыточности в этом примере для тестирования
Чтобы создать сценарий переполнения, выполните следующие действия.
Вы можете использовать файл BulkCreateGroups.ps1 , предоставленный в папке AppCreationScripts , чтобы создать большое количество групп и назначить им пользователей. Этот файл помогает протестировать сценарии перебора во время разработки. Не забудьте изменить предоставленные пользователем
objectId
в скрипте BulkCreateGroups.ps1 .При выполнении этого примера и превышения времени вы увидите
_claim_names
на домашней странице после входа пользователя.Мы настоятельно рекомендуем использовать функцию фильтрации групп, если это возможно, чтобы избежать перебора групп. Дополнительные сведения см. в разделе "Настройка приложения для получения значений утверждений групп из отфильтрованного набора групп, которым может быть назначен пользователь".
Если вы не можете избежать перебора групп, рекомендуем выполнить следующие действия для обработки утверждений групп в токене:
- Проверьте утверждение
_claim_names
с одним из значений групп. Это утверждение указывает на превышение. - При обнаружении вызовите конечную точку, указанную в
_claim_sources
наборе групп пользователей. - Если ни один из них не найден, просмотрите утверждение групп для групп пользователей.
- Проверьте утверждение
Примечание.
Для обработки переполнения требуется вызов Microsoft Graph для чтения членства в группе пользователя, поэтому приложение должно иметь разрешение GroupMember.Read.All для успешной выполнения функции getMemberObjects.
Дополнительные сведения о программировании для Microsoft Graph см. в видеоролике Общие сведения о Microsoft Graph для разработчиков.
ConfidentialClientApplication
ConfidentialClientApplication
Экземпляр создается в файле AuthHelper.java, как показано в следующем примере. Этот объект помогает создать URL-адрес авторизации Microsoft Entra, а также помогает обмениваться маркером проверки подлинности для маркера доступа.
// getConfidentialClientInstance method
IClientSecret secret = ClientCredentialFactory.createFromSecret(SECRET);
confClientInstance = ConfidentialClientApplication
.builder(CLIENT_ID, secret)
.authority(AUTHORITY)
.build();
Для создания экземпляров используются следующие параметры:
- Идентификатор клиента приложения.
- Секрет клиента, который является обязательным для конфиденциальных клиентских приложений.
- Центр идентификатора Microsoft Entra, который включает идентификатор клиента Microsoft Entra.
В этом примере эти значения считываются из файла authentication.properties с помощью средства чтения свойств в файле Config.java .
Пошаговое руководство
Ниже приведены пошаговые инструкции по функциональным возможностям приложения:
Первым шагом процесса входа является отправка запроса
/authorize
в конечную точку для клиента Идентификатора Microsoft Entra. Экземпляр MSAL4JConfidentialClientApplication
используется для создания URL-адреса запроса авторизации. Приложение перенаправляет браузер на этот URL-адрес, где пользователь входит в систему.final ConfidentialClientApplication client = getConfidentialClientInstance(); AuthorizationRequestUrlParameters parameters = AuthorizationRequestUrlParameters.builder(Config.REDIRECT_URI, Collections.singleton(Config.SCOPES)) .responseMode(ResponseMode.QUERY).prompt(Prompt.SELECT_ACCOUNT).state(state).nonce(nonce).build(); final String authorizeUrl = client.getAuthorizationRequestUrl(parameters).toString(); contextAdapter.redirectUser(authorizeUrl);
В следующем списке описываются функции этого кода:
AuthorizationRequestUrlParameters
: параметры, которые должны быть заданы для сборки AuthorizationRequestUrl.REDIRECT_URI
: где Microsoft Entra перенаправляет браузер вместе с кодом проверки подлинности после сбора учетных данных пользователя. Он должен соответствовать URI перенаправления в регистрации приложения идентификатора Записи Майкрософт в портал Azure.SCOPES
: области — это разрешения, запрашиваемые приложением.- Как правило, три области
openid profile offline_access
достаточно для получения ответа маркера идентификатора. - Полный список областей, запрашиваемых приложением, можно найти в файле authentication.properties . Можно добавить дополнительные области, например
User.Read
.
- Как правило, три области
Пользователь предоставляет запрос на вход с помощью идентификатора Microsoft Entra. Если попытка входа выполнена успешно, браузер пользователя перенаправляется в конечную точку перенаправления приложения. Допустимый запрос к этой конечной точке содержит код авторизации.
Затем
ConfidentialClientApplication
экземпляр обменивается этим кодом авторизации для маркера идентификатора и маркера доступа из идентификатора Microsoft Entra ID.// First, validate the state, then parse any error codes in response, then extract the authCode. Then: // build the auth code params: final AuthorizationCodeParameters authParams = AuthorizationCodeParameters .builder(authCode, new URI(Config.REDIRECT_URI)).scopes(Collections.singleton(Config.SCOPES)).build(); // Get a client instance and leverage it to acquire the token: final ConfidentialClientApplication client = AuthHelper.getConfidentialClientInstance(); final IAuthenticationResult result = client.acquireToken(authParams).get();
В следующем списке описываются функции этого кода:
AuthorizationCodeParameters
: параметры, которые необходимо задать для обмена кодом авторизации для идентификатора и (или) маркера доступа.authCode
: код авторизации, полученный в конечной точке перенаправления.REDIRECT_URI
: URI перенаправления, используемый на предыдущем шаге, должен быть передан еще раз.SCOPES
: области, используемые на предыдущем шаге, должны быть переданы снова.
При успешном выполнении
acquireToken
извлекаются утверждения токена. Если проверка неисключения проходит, результаты помещаются вcontext
экземпляр сеансаIdentityContextData
и сохраняются в сеансе. Затем приложение может создать экземплярIdentityContextData
сеанса путем экземпляраIdentityContextAdapterServlet
, когда ему требуется доступ, как показано в следующем коде:// parse IdToken claims from the IAuthenticationResult: // (the next step - validateNonce - requires parsed claims) context.setIdTokenClaims(result.idToken()); // if nonce is invalid, stop immediately! this could be a token replay! // if validation fails, throws exception and cancels auth: validateNonce(context); // set user to authenticated: context.setAuthResult(result, client.tokenCache().serialize()); // handle groups overage if it has occurred. handleGroupsOverage(contextAdapter);
После предыдущего
IdentityContextData
шага можно извлечь членство в группах, вызвавcontext.getGroups()
экземпляр.Если пользователь является членом слишком большого количества групп - более 200 - вызов
context.getGroups()
может быть пустым, если не для вызоваhandleGroupsOverage()
. Между тем, возвращаетсяtrue
, сигнализирует о том,context.getGroupsOverage()
что произошло превышение ресурсов, и что получение полного списка групп требует вызова Microsoft Graph. См.handleGroupsOverage()
метод в AuthHelper.java , чтобы узнать, как это приложение используетсяcontext.setGroups()
при перебое.
Защита маршрутов
Ознакомьтесь с AuthenticationFilter.java , чтобы узнать, как пример приложения фильтрует доступ к маршрутам. В файле app.protect.authenticated
authentication.properties свойство содержит разделенные запятыми маршруты, к которым могут получить доступ только прошедшие проверку подлинности пользователи, как показано в следующем примере:
# for example, /token_details requires any user to be signed in and does not require special groups claim
app.protect.authenticated=/token_details
Все маршруты, перечисленные в наборах app.protect.groups
правил, разделенных запятыми, также отключены для пользователей, прошедших проверку подлинности, как показано в следующем примере. Однако эти маршруты также содержат разделенный пробелами список членства в группах. Только пользователи, принадлежащие по крайней мере одной из соответствующих групп, могут получить доступ к этим маршрутам после проверки подлинности.
# define short names for group IDs here for the app. This is useful in the next property (app.protect.groups).
# EXCLUDE the curly braces, they are in this file only as delimiters.
# example:
# app.groups=groupA abcdef-qrstuvw-xyz groupB abcdef-qrstuv-wxyz
app.groups=admin {enter-your-admins-group-id-here}, user {enter-your-users-group-id-here}
# A route and its corresponding group(s) that can view it, <space-separated>; the start of the next route & its group(s) is delimited by a <comma-and-space-separator>
# this says: /admins_only can be accessed by admin group, /regular_user can be accessed by admin group and user group
app.protect.groups=/admin_only admin, /regular_user admin user
Области
Области сообщают Microsoft Entra ID уровень доступа, который запрашивает приложение.
На основе запрошенных областей идентификатор Microsoft Entra представляет диалог согласия для пользователя при входе. Если пользователь дает согласие на одну или несколько областей и получает маркер, в результируемые области кодируются в результирующий access_token
код.
Области, запрошенные приложением, см. в разделе authentication.properties. По умолчанию приложение задает значение GroupMember.Read.All
областей. Эта конкретная область API Microsoft Graph необходима, если приложению необходимо вызвать Graph для получения членства в группах пользователя.
Дополнительные сведения
- Библиотека проверки подлинности Майкрософт (MSAL) для Java
- платформа удостоверений Майкрософт (идентификатор Microsoft Entra для разработчиков)
- Краткое описание: регистрация приложения на платформе Microsoft Identity
- Общие сведения о согласии приложений с идентификатором Microsoft Entra ID
- Understand user and admin consent (Получение согласия пользователя и администратора)
- Примеры кода MSAL
Следующий шаг
Развертывание приложений Java WebSphere в Традиционном вебсфере в Azure Виртуальные машины