Kurz: Nastavení aplikace pro Android pro přihlášení uživatelů pomocí platformy Microsoft Identity Platform

platí pro: zaměstnanci externí nájemci (další informace)

V tomto kurzu přidáte knihovnu Microsoft Authentication Library (MSAL) pro Android do aplikace pro Android. MSAL umožňuje aplikacím pro Android ověřovat uživatele pomocí Microsoft Entra.

V tomto kurzu budete;

• Přidání závislosti MSAL
• Přidat konfiguraci
• Vytvoření instance sady MSAL SDK

Požadavky

Tenant pracovních sil

• Součást pracovního týmu. Můžete použít výchozí adresář nebo nastavit nového tenanta.
• Zaregistrujte novou aplikaci v Centru pro správu Microsoft Entra, která je nakonfigurovaná jenom pro účty v tomto organizačním adresáři. Další podrobnosti najdete v tématu Registrace aplikace . Na stránce Přehled aplikace si poznamenejte následující hodnoty pro pozdější použití:
  • ID aplikace (klienta)
  • ID adresáře (klienta)
• Android projekt. Pokud projekt Pro Android nemáte, vytvořte ho.

Externí tenant

• Externí nájemník Pokud ho chcete vytvořit, zvolte některou z následujících metod:
  • Pomocí rozšíření Microsoft Entra External ID, nastavte externího tenanta přímo v editoru Visual Studio Code. (Doporučeno)
  • V Centru pro správu Microsoft Entra vytvořte nového externího tenanta .
• Zaregistrujte novou aplikaci v Centru pro správu Microsoft Entra nakonfigurované pro účty v libovolném organizačním adresáři a osobních účtech Microsoft. Další podrobnosti najdete v tématu Registrace aplikace . Na stránce Přehled aplikace si poznamenejte následující hodnoty pro pozdější použití:
  • ID aplikace (klienta)
  • ID adresáře (klienta)

Přidejte URI pro přesměrování

V registraci aplikace musíte nakonfigurovat konkrétní identifikátory URI přesměrování, abyste zajistili kompatibilitu se staženým vzorovým kódem. Tyto identifikátory URI jsou nezbytné pro přesměrování uživatelů zpět do aplikace po úspěšném přihlášení.

Tenant pracovních sil

1. V části Spravovat vyberte Ověřování>Přidat platformu>Android.

2. Zadejte název balíčku projektu na základě výše staženého ukázkového typu.

   • Ukázka Javy – com.azuresamples.msalandroidapp
   • Ukázka Kotlinu – com.azuresamples.msalandroidkotlinapp

3. Ve části Hash podpisu podokna Konfigurace aplikace pro Android vyberte Generování vývojového hash podpisu. a zkopírujte příkaz KeyTool do příkazového řádku.

   • KeyTool.exe se instaluje jako součást sady Java Development Kit (JDK). Musíte také nainstalovat nástroj OpenSSL ke spuštění příkazu KeyTool. Další informace najdete v dokumentaci k Androidu o generování klíče .

4. Zadejte hodnotu hash podpisu vygenerovanou nástrojem KeyTool.

5. Vyberte Konfigurovat a uložte konfiguraci MSAL, která se zobrazí v podokně konfigurace Androidu, abyste ji mohli zadat při pozdější konfiguraci aplikace.

6. Vyberte Hotovo.

Externí tenant

Pokud chcete zadat typ aplikace pro registraci aplikace, postupujte takto:

1. V části Spravovat vyberte Ověřování.
2. Na stránce konfigurace platformy vyberte možnost Přidat platformua pak vyberte možnost iOS / macOS.
3. Zadejte Bundle ID vašeho projektu. Pokud jste si stáhli vzorový kód, tato hodnota je com.microsoft.identitysample.ciam.MSALiOS.
4. Vyberte Konfigurovat a uložte MSAL konfiguraci , která se zobrazí v panelu konfigurace pro iOS a macOS, abyste ji mohli zadat, když budete později konfigurovat vaši aplikaci.
5. Vyberte Hotovo.

Povolit veřejný klientský tok

Pokud chcete aplikaci identifikovat jako veřejného klienta, postupujte takto:

1. V části Spravovat vyberte Ověřování.

2. V části Pokročilá nastavení pro Povolit toky veřejného klienta vyberte Ano.

3. Výběrem možnosti Uložit uložte změny.

Přidejte závislost MSAL a relevantní knihovny do vašeho projektu

Pokud chcete do projektu Androidu přidat závislosti MSAL, postupujte takto:

1. Otevřete projekt v Android Studiu nebo vytvořte nový projekt.

2. Otevřete ve své aplikaci build.gradle a přidejte následující závislosti:

   allprojects {
   repositories {
       //Needed for com.microsoft.device.display:display-mask library
       maven {
           url 'https://pkgs.dev.azure.com/MicrosoftDeviceSDK/DuoSDK-Public/_packaging/Duo-SDK-Feed/maven/v1'
           name 'Duo-SDK-Feed'
       }
       mavenCentral()
       google()
       }
   }
   //...
   
   dependencies { 
       implementation 'com.microsoft.identity.client:msal:5.+'
       //...
   }
   

   V konfiguraci build.gradle jsou úložiště definována pro závislosti projektu. Obsahuje adresu URL úložiště Maven pro knihovnu com.microsoft.device.display:display-mask z Azure DevOps. Kromě toho využívá centrální úložiště Maven a Google. Sekce závislostí specifikuje implementaci knihovny MSAL verze 5 a potenciálně i další závislosti.

3. V Android Studio vyberte Soubor>Synchronizovat projekt s Gradle soubory.

Přidat konfiguraci

Požadované identifikátory tenanta, jako je ID aplikace (klienta), předáte sadě MSAL SDK prostřednictvím nastavení konfigurace JSON.

K vytvoření konfiguračního souboru použijte tento postup:

pracovní síly

1. V podokně projektu Android Studia přejděte na app\src\main\res.

2. Klikněte pravým tlačítkem na res a zvolte Nový>Adresář. Jako název nového adresáře zadejte raw a vyberte OK.

3. V aplikaci >src>main>res>rawvytvořte nový soubor JSON s názvem auth_config_single_account.json a vložte konfiguraci MSAL, kterou jste si uložili dříve.

   Pod adresu URI přesměrování vložte:

     "account_mode" : "SINGLE",
   

   Konfigurační soubor by měl vypadat podobně jako v tomto příkladu:

   {
     "client_id": "00001111-aaaa-bbbb-3333-cccc4444",
     "authorization_user_agent": "WEBVIEW",
     "redirect_uri": "msauth://com.azuresamples.msalandroidapp/00001111%cccc4444%3D",
     "broker_redirect_uri_registered": true,
     "account_mode": "SINGLE",
     "authorities": [
       {
         "type": "AAD",
         "audience": {
           "type": "AzureADandPersonalMicrosoftAccount",
           "tenant_id": "common"
         }
       }
     ]
   }
   

   Tento návod ukazuje, jak nakonfigurovat aplikaci v režimu jednoho účtu; viz také režim jednoho vs. více účtů a konfiguraci aplikace pro více informací.

4. Doporučujeme použít webVIEW. V případě, že chcete v aplikaci nakonfigurovat "authorization_user_agent" jako PROHLÍŽEČ, musíte provést následující aktualizace. a) Aktualizujte auth_config_single_account.json s "authorization_user_agent": "Browser". b) Aktualizace AndroidManifest.xml. V aplikaci přejděte na app>src>hlavní>AndroidManifest.xml, přidejte aktivitu BrowserTabActivity jako podřízený prvek <application>. Tato položka umožňuje Microsoft Entra ID volat zpět do vaší aplikace po dokončení ověřování:

   <!--Intent filter to capture System Browser or Authenticator calling back to our app after sign-in-->
   <activity
       android:name="com.microsoft.identity.client.BrowserTabActivity"
       android:exported="true">
       <intent-filter>
           <action android:name="android.intent.action.VIEW" />
           <category android:name="android.intent.category.DEFAULT" />
           <category android:name="android.intent.category.BROWSABLE" />
           <data android:scheme="msauth"
               android:host="Enter_the_Package_Name"
               android:path="/Enter_the_Signature_Hash" />
       </intent-filter>
   </activity>
   

   • K nahrazení hodnoty použijte název balíčku android:host=.. Měl by vypadat jako com.azuresamples.msalandroidapp.
   • Hodnotu nahraďte android:path= podpisu. Ujistěte se, že na samém začátku hash podpisu je úvodní /. Měl by vypadat jako /aB1cD2eF3gH4+iJ5kL6-mN7oP8q=.

   Tyto hodnoty najdete také v okně Ověřování registrace aplikace.

Konfigurace externího klienta

1. V podokně projektu Android Studia přejděte na app\src\main\res.

2. Klikněte pravým tlačítkem na res a vyberte Nový adresář>. Jako název nového adresáře zadejte raw a vyberte OK.

3. V app\src\main\res\raw vytvořte nový soubor JSON s názvem auth_config_ciam_auth.json.

4. Do souboru auth_config_ciam_auth.json přidejte následující konfigurace MSAL:

   {
     "client_id" : "Enter_the_Application_Id_Here",
     "authorization_user_agent" : "DEFAULT",
     "redirect_uri" : "Enter_the_Redirect_Uri_Here",
     "account_mode" : "SINGLE",
     "authorities" : [
       {
         "type": "CIAM",
         "authority_url": "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/Enter_the_Tenant_Subdomain_Here.onmicrosoft.com/"
       }
     ]
   }
   

   Konfigurační soubor JSON určuje různá nastavení pro aplikaci pro Android. Zahrnuje ID klienta, autorizačního uživatelského agenta, identifikátor URI přesměrování a režim účtu. Kromě toho definuje autoritu pro ověřování a určuje typ a adresu URL autority.

   Nahraďte následující zástupné symboly hodnotami tenanta, které jste získali z Centra pro správu Microsoft Entra:

   • Enter_the_Application_Id_Here a nahraďte jej ID klienta aplikace té aplikace, kterou jste zaregistrovali dříve.
   • Enter_the_Redirect_Uri_Here a nahraďte ji hodnotou redirect_uri v konfiguračním souboru knihovny MSAL (Microsoft Authentication Library), který jste stáhli dříve při přidání adresy URL pro přesměrování platformy.
   • Enter_the_Tenant_Subdomain_Here a nahraďte ji subdoménou Adresáře ("tenanta"). Pokud je například primární doména vašeho tenanta contoso.onmicrosoft.com, použijte contoso. Pokud subdoménu tenanta neznáte, přečtěte si, jak přečíst podrobnosti o tenantovi.

5. Otevřete soubor /app/src/main/AndroidManifest.xml.

6. Do AndroidManifest.xmlpřidejte do filtru záměru následující specifikaci dat:

   <data
       android:host="ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE"
       android:path="/ENTER_YOUR_SIGNATURE_HASH_HERE"
       android:scheme="msauth" />
   

   Vyhledejte zástupný symbol:

   • ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE a nahraďte ho názvem balíčku projektu androidu.
   • ENTER_YOUR_SIGNATURE_HASH_HERE a nahraďte ji podpisovým hashem, který jste dříve vygenerovali při přidání adresy URL pro přesměrování platformy.

Použití vlastní domény URL (volitelné)

Pomocí vlastní domény plně propagujte adresu URL ověřování. Z pohledu uživatele zůstanou uživatelé ve vaší doméně během procesu ověřování, a nejsou přesměrováni na doménu ciamlogin.com.

Pomocí následujících kroků použijte vlastní doménu:

1. Pomocí kroků uvedených v Povolení vlastních domén URL pro aplikace v externích tenantech povolte vlastní doménu URL pro svého externího tenanta.

2. Otevřete soubor auth_config_ciam_auth.json:

   1. Aktualizujte hodnotu vlastnosti authority_url na https://Enter_the_Custom_Domain_Here/Enter_the_Tenant_ID_Here. Nahraďte Enter_the_Custom_Domain_Here vlastní doménou URL a Enter_the_Tenant_ID_Here ID tenanta. Pokud nemáte ID nájemce, naučte se, jak nahlédnout do podrobností o nájemci.
   2. Přidejte vlastnost knownAuthorities s hodnotou [Enter_the_Custom_Domain_Here].

Po provedení změn v souboru auth_config_ciam_auth.json, pokud je vaše vlastní doména URL login.contoso.coma ID vašeho tenanta je aaaabbbb-0000-cccc-1111-dddd2222eeeeee, měl by váš soubor vypadat podobně jako následující fragment kódu:

{
    "client_id" : "Enter_the_Application_Id_Here",
    "authorization_user_agent" : "DEFAULT",
    "redirect_uri" : "Enter_the_Redirect_Uri_Here",
    "account_mode" : "SINGLE",
    "authorities" : [
    {
        "type": "CIAM",
        "authority_url": "https://login.contoso.com/aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "knownAuthorities": ["login.contoso.com"]
    }
    ]
}

Vytvoření instance sady MSAL SDK

K inicializaci instance sady MSAL SDK použijte následující kód:

pracovní síly

PublicClientApplication.createSingleAccountPublicClientApplication(
    getContext(),
    R.raw.auth_config_single_account,
    new IPublicClientApplication.ISingleAccountApplicationCreatedListener() {
        @Override
        public void onCreated(ISingleAccountPublicClientApplication application) {
            // Initialize the single account application instance
            mSingleAccountApp = application;
            loadAccount();
        }

        @Override
        public void onError(MsalException exception) {
            // Handle any errors that occur during initialization
            displayError(exception);
        }
    }
);

Tento kód vytvoří veřejnou klientskou aplikaci s jedním účtem pomocí konfiguračního souboru auth_config_single_account.json. Po úspěšném vytvoření aplikace přiřadí instanci mSingleAccountApp a zavolá metodu loadAccount(). Pokud během vytváření dojde k chybě, zpracuje chybu voláním metody displayError(exception).

Konfigurace externího klienta

private suspend fun initClient(): ISingleAccountPublicClientApplication = withContext(Dispatchers.IO) {
    return@withContext PublicClientApplication.createSingleAccountPublicClientApplication(
        this@MainActivity,
        R.raw.auth_config_ciam_auth
    )
}

Kód inicializuje jednu veřejnou klientskou aplikaci účtu asynchronně. Používá zadaný konfigurační soubor ověřování a spouští se na dispečeru vstupně-výstupních operací.

Nezapomeňte zahrnout příkazy importu. Android Studio by měl automaticky přidat příkazy pro import.

Další kroky

Tutoriál : Přidání funkce přihlášení do aplikace pro Android.