Konfigurace ověřování v ukázkové aplikaci pro Android pomocí Azure AD B2C

  • Článek

Tento článek používá ukázkovou aplikaci pro Android (Kotlin a Javu), která ukazuje, jak do mobilních aplikací přidat ověřování Azure Active Directory B2C (Azure AD B2C).

Přehled

OpenID Připojení (OIDC) je ověřovací protokol založený na OAuth 2.0. Pomocí OIDC můžete bezpečně přihlásit uživatele k aplikaci. Tato ukázka mobilní aplikace používá knihovnu Microsoft Authentication Library (MSAL) s tokem autorizačního kódu PKCE OIDC. MSAL je knihovna poskytovaná Microsoftem, která zjednodušuje přidávání podpory ověřování a autorizace do mobilních aplikací.

Tok přihlášení zahrnuje následující kroky:

  1. Uživatelé aplikaci otevřou a vyberou přihlášení.
  2. Aplikace otevře systémový prohlížeč mobilního zařízení a spustí žádost o ověření do Azure AD B2C.
  3. Uživatelé se zaregistrují nebo přihlásí, resetují heslo nebo se přihlásí pomocí účtu sociální sítě.
  4. Jakmile se uživatelé úspěšně přihlásí, Azure AD B2C vrátí autorizační kód do aplikace.
  5. Aplikace provede následující akce:
    1. Autorizační kód se vymění s tokenem ID, přístupovým tokenem a obnovovacím tokenem.
    2. Načte deklarace identity tokenu ID.
    3. Ukládá tokeny do mezipaměti v paměti pro pozdější použití.

Přehled registrace aplikací

Pokud chcete aplikaci povolit přihlášení pomocí Azure AD B2C a volání webového rozhraní API, zaregistrujte dvě aplikace v adresáři Azure AD B2C.

  • Registrace mobilní aplikace umožňuje vaší aplikaci přihlásit se pomocí Azure AD B2C. Během registrace aplikace zadejte identifikátor URI přesměrování. Identifikátor URI přesměrování je koncový bod, na který jsou uživatelé přesměrováni službou Azure AD B2C po ověření pomocí Azure AD B2C. Proces registrace aplikace vygeneruje ID aplikace, označované také jako ID klienta, které jednoznačně identifikuje vaši mobilní aplikaci (například ID aplikace: 1).

  • Registrace webového rozhraní API umožňuje vaší aplikaci volat chráněné webové rozhraní API. Registrace zveřejňuje oprávnění webového rozhraní API (obory). Proces registrace aplikace vygeneruje ID aplikace, které jednoznačně identifikuje vaše webové rozhraní API (například ID aplikace: 2). Udělte vaší mobilní aplikaci (ID aplikace: 1) oprávnění k rozsahům webového rozhraní API (ID aplikace: 2).

Registrace aplikací a architektura aplikací jsou znázorněné v následujících diagramech:

Diagram of the mobile app with web API call registrations and tokens.

Volání webového rozhraní API

Po dokončení ověřování uživatelé komunikují s aplikací, která vyvolá chráněné webové rozhraní API. Webové rozhraní API používá ověřování nosné tokeny . Nosný token je přístupový token, který aplikace získala z Azure AD B2C. Aplikace předá token v autorizační hlavičce požadavku HTTPS.

Authorization: Bearer <access token>

Pokud obor přístupového tokenu neodpovídá oborům webového rozhraní API, knihovna ověřování získá nový přístupový token se správnými obory.

Tok odhlášení

Tok odhlášení zahrnuje následující kroky:

  1. Z aplikace se uživatelé odhlásí.
  2. Aplikace vymaže objekty relace a knihovna ověřování vymaže mezipaměť tokenů.
  3. Aplikace přesáhne uživatele do koncového bodu pro odhlášení z Azure AD B2C, aby ukončila relaci Azure AD B2C.
  4. Uživatelé se přesměrují zpět do aplikace.

Požadavky

Počítač, na kterém běží:

Krok 1: Konfigurace toku uživatele

Když se uživatelé pokusí přihlásit k aplikaci, aplikace spustí žádost o ověření do koncového bodu autorizace prostřednictvím toku uživatele. Tok uživatele definuje a řídí uživatelské prostředí. Jakmile uživatelé dokončí tok uživatele, Azure AD B2C vygeneruje token a pak přesměruje uživatele zpět do vaší aplikace.

Pokud jste to ještě neudělali, vytvořte tok uživatele nebo vlastní zásadu. Opakujte kroky pro vytvoření tří samostatných toků uživatelů následujícím způsobem:

  • Kombinovaný tok přihlášení a registrace uživatele, například susi. Tento tok uživatele podporuje také zapomenuté heslo .
  • Profil upravuje tok uživatele, například edit_profile.
  • Tok uživatele resetování hesla, například reset_password.

Předzálohuje B2C_1_ Azure AD B2C na název toku uživatele. Například z susi se stane B2C_1_susi.

Krok 2: Registrace mobilních aplikací

Vytvořte mobilní aplikaci a registraci aplikace webového rozhraní API a určete rozsahy webového rozhraní API.

Krok 2.1: Registrace aplikace webového rozhraní API

Pokud chcete vytvořit registraci aplikace webového rozhraní API (ID aplikace: 2), postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu Adresáře a předplatná .

  3. V nastavení portálu | Adresářů a stránka předplatných , vyhledejte adresář Azure AD B2C v seznamu názvů adresářů a pak vyberte Přepnout.

  4. Na webu Azure Portal vyhledejte a vyberte Azure AD B2C.

  5. Vyberte Registrace aplikací a pak vyberte Nová registrace.

  6. Jako Název zadejte název aplikace (například my-api1). U identifikátoru URI přesměrování a podporovaných typů účtů ponechte výchozí hodnoty.

  7. Vyberte Zaregistrovat.

  8. Po dokončení registrace aplikace vyberte Přehled.

  9. Poznamenejte si hodnotu ID aplikace (klienta) pro pozdější použití při konfiguraci webové aplikace.

    Screenshot that demonstrates how to get a web A P I application I D.

Krok 2.2: Konfigurace oborů aplikací webového rozhraní API

  1. Výběrem aplikace my-api1, kterou jste vytvořili (ID aplikace: 2), otevřete její stránku Přehled.

  2. V části Spravovat vyberte Zveřejnit rozhraní API.

  3. Vedle identifikátoru URI ID aplikace vyberte odkaz Nastavit. Nahraďte výchozí hodnotu (GUID) jedinečným názvem (například tasks-api) a pak vyberte Uložit.

    Když vaše webová aplikace požádá o přístupový token pro webové rozhraní API, měl by tento identifikátor URI přidat jako předponu pro každý obor, který definujete pro rozhraní API.

  4. V části Obory definované tímto rozhraním API vyberte Přidat obor.

  5. Vytvoření oboru, který definuje přístup pro čtení k rozhraní API:

    1. Jako název oboru zadejte tasks.read.
    2. Pro Správa zobrazovaný název souhlasu zadejte přístup pro čtení k rozhraní API pro úlohy.
    3. Jako popis souhlasu Správa zadejte Možnost Umožňuje přístup pro čtení k rozhraní API pro úlohy.

  6. Vyberte Přidat rozsah.

  7. Vyberte Přidat obor a pak přidejte obor, který definuje přístup k zápisu do rozhraní API:

    1. Jako název oboru zadejte tasks.write.
    2. Pro Správa zobrazovaný název souhlasu zadejte přístup k zápisu do rozhraní API pro úlohy.
    3. Jako popis souhlasu Správa zadejte Povolení přístupu k zápisu do rozhraní API pro úlohy.

  8. Vyberte Přidat rozsah.

Krok 2.3: Registrace mobilní aplikace

Pokud chcete vytvořit registraci mobilní aplikace, postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Vyberte Registrace aplikací a pak vyberte Nová registrace.

  3. V části Název zadejte název aplikace (například android-app1).

  4. V sekci Podporované typy účtů vyberte Účty u libovolného zprostředkovatele identity nebo organizačního adresáře (pro ověřování uživatelů pomocí toků uživatelů).

  5. V části Identifikátor URI přesměrování vyberte Veřejný klient nebo nativní (mobilní &desktop) a potom do pole adresa URL zadejte jednu z následujících identifikátorů URI:

    • Ukázka Kotlinu: msauth://com.azuresamples.msalandroidkotlinapp/1wIqXSqBj7w%2Bh11ZifsnqwgyKrY%3D
    • Ukázka Javy: msauth://com.azuresamples.msalandroidapp/1wIqXSqBj7w%2Bh11ZifsnqwgyKrY%3D

  6. Vyberte Zaregistrovat.

  7. Po dokončení registrace aplikace vyberte Přehled.

  8. Poznamenejte si ID aplikace (klienta) pro pozdější použití při konfiguraci mobilní aplikace.

    Screenshot highlighting the Android application ID

Krok 2.4: Udělení oprávnění mobilní aplikace pro webové rozhraní API

Pokud chcete aplikaci udělit oprávnění (ID aplikace: 1), postupujte takto:

  1. Vyberte Registrace aplikací a pak vyberte aplikaci, kterou jste vytvořili (ID aplikace: 1).

  2. V části Spravovat vyberte oprávnění rozhraní API.

  3. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.

  4. Vyberte kartu Moje rozhraní API.

  5. Vyberte rozhraní API (ID aplikace: 2), ke kterému má mít webová aplikace udělený přístup. Zadejte například my-api1.

  6. V části Oprávnění rozbalte úkoly a vyberte obory, které jste definovali dříve (například tasks.read a tasks.write).

  7. Vyberte Přidat oprávnění.

  8. Vyberte Udělení souhlasu správce pro <název> vašeho tenanta.

  9. Vyberte Ano.

  10. Vyberte Aktualizovat a potom ověřte, že se pro oba obory zobrazuje hodnota Uděleno pro ... .

  11. V seznamu Nakonfigurovaná oprávnění vyberte obor a zkopírujte celý název oboru.

    Screenshot of the configured permissions pane, showing that read access permissions are granted.

Krok 3: Získání ukázky mobilní aplikace pro Android

Proveďte jednu z následujících akcí:

  • Stáhněte si některou z těchto ukázek:

    Extrahujte ukázkový soubor .zip do pracovní složky.

  • Naklonujte ukázkovou mobilní aplikaci pro Android z GitHubu.

    git clone https://github.com/Azure-Samples/ms-identity-android-kotlin

Krok 4: Konfigurace ukázkového webového rozhraní API

Tato ukázka získá přístupový token s relevantními obory, které může mobilní aplikace používat pro webové rozhraní API. Pokud chcete volat webové rozhraní API z kódu, postupujte takto:

  1. Použijte existující webové rozhraní API nebo vytvořte nové. Další informace najdete v tématu Povolení ověřování ve vlastním webovém rozhraní API pomocí Azure AD B2C.
  2. Změňte vzorový kód tak, aby volal webové rozhraní API.

Krok 5: Konfigurace ukázkové mobilní aplikace

Otevřete ukázkový projekt pomocí Android Studia nebo jiného editoru kódu a otevřete soubor /app/src/main/res/raw/auth_config_b2c.json .

Konfigurační soubor auth_config_b2c.json obsahuje informace o zprostředkovateli identity Azure AD B2C. Mobilní aplikace tyto informace používá k vytvoření vztahu důvěryhodnosti s Azure AD B2C, přihlášení a odhlášení uživatelů, získání tokenů a jejich ověření.

Aktualizujte následující vlastnosti nastavení aplikace:

Key Hodnota
client_id ID mobilní aplikace z kroku 2.3.
redirect_uri Identifikátor URI přesměrování mobilní aplikace z kroku 2.3.
Orgány Autorita je adresa URL, která označuje adresář, ze kterého může knihovna MSAL požadovat tokeny. Použijte následující formát: https://<your-tenant-name>.b2clogin.com/<your-tenant-name>.onmicrosoft.com/<your-sign-in-sign-up-policy>. Nahraďte <your-tenant-name> názvem tenanta Azure AD B2C. Potom nahraďte <your-sign-in-sign-up-policy> toky uživatelů nebo vlastní zásady, které jste vytvořili v kroku 1.

B2CConfiguration Otevřete třídu a aktualizujte následující členy třídy:

Key Hodnota
Zásady Seznam toků uživatelů nebo vlastních zásad, které jste vytvořili v kroku 1.
azureAdB2CHostName První část názvu tenanta Azure AD B2C (napříkladhttps://contoso.b2clogin.com).
tenantName Úplný název tenanta Azure AD B2C (například contoso.onmicrosoft.com).
obory Obory webového rozhraní API, které jste vytvořili v kroku 2.4.

Krok 6: Spuštění a otestování mobilní aplikace

  1. Sestavte a spusťte projekt.

  2. Vlevo nahoře vyberte ikonu hamburgeru (označovanou také jako ikona sbalené nabídky), jak je znázorněno tady:

    Screenshot highlighting the hamburger, or collapsed menu, icon.

  3. V levém podokně vyberte režim B2C.

    Screenshot highlighting the

  4. Vyberte Spustit tok uživatele.

    Screenshot highlighting the

  5. Zaregistrujte se nebo se přihlaste pomocí místního nebo sociálního účtu Azure AD B2C.

  6. Po úspěšném ověření se v podokně režimu B2C zobrazí vaše zobrazované jméno.

    Screenshot showing a successful authentication, with signed-in user and policy displayed.

Další kroky

Naučte se: