Kurz: Přihlášení uživatelů k webové aplikaci Python Flask pomocí platformy Microsoft Identity Platform

Platí pro: Zelený kruh se symbolem bílé značky zaškrtnutí, který označuje následující obsah platí pro tenanty pracovních sil. Tenanti pracovních sil Externí tenanti (další informace)

Tento kurz vás provede zabezpečením webové aplikace Python Flask.

V tomto kurzu se naučíte:

Vytvoření projektu Python Flask
Instalace požadovaných závislostí
Konfigurace webové aplikace Flask tak, aby k ověřování používala platformu Microsoft Identity Platform
Otestování přihlašování a odhlášení ve webové aplikaci Flask

Součást pracovního týmu. Můžete použít výchozí adresář nebo nastavit nového tenanta.
Zaregistrujte novou aplikaci v Centru pro správu Microsoft Entra, která je nakonfigurovaná jenom pro účty v tomto organizačním adresáři. Další podrobnosti najdete v tématu Registrace aplikace . Na stránce Přehled aplikace si poznamenejte následující hodnoty pro pozdější použití:
- ID aplikace (klienta)
- ID adresáře (klienta)
Přidejte do registrace aplikace tajný klíč klienta. Nepoužívejte tajné kódy klienta v produkčních aplikacích. Místo toho použijte certifikáty nebo federované přihlašovací údaje. Další informace najdete v tématu přidání přihlašovacích údajů do aplikace.

Python 3+ .
Visual Studio Code nebo jiný editor kódu.

Vytvoření projektu Flask

Vytvořte složku pro hostování aplikace Flask, například flask-web-app.
Otevřete okno konzoly a pomocí příkazu přejděte do adresáře do složky webové aplikace Flask.
```
cd flask-web-app
```
Nastavení virtuálního prostředí

V závislosti na operačním systému spusťte následující příkazy, které nastaví virtuální prostředí a aktivuje ho:

Pro operační systém Windows:
```
py -m venv .venv
.venv\scripts\activate
```
Pro operační systém macOS nebo Linux:
```
python3 -m venv .venv
source .venv/bin/activate
```

Nainstalovat závislosti aplikace

Pokud chcete nainstalovat závislosti aplikací, spusťte následující příkazy:

pip install flask
pip install python-dotenv
pip install requests
pip install "ms_identity_python[flask] @ git+https://github.com/azure-samples/ms-identity-python@0.9"

Knihovna ms_identity_python, kterou nainstalujete, automaticky nainstaluje knihovnu MSAL (Microsoft Authentication Library) pro Python jako její závislost. MSAL Python je knihovna, která umožňuje ověřovat uživatele a spravovat jejich přístupové tokeny.

Po instalaci požadovaných knihoven aktualizujte soubor požadavků spuštěním následujícího příkazu:

pip freeze > requirements.txt

Konfigurace aplikace pro ověřování

Webové aplikace, které přihlašují uživatele pomocí platformy Microsoft Identity Platform, se konfigurují prostřednictvím konfiguračního souboru .env. V Python Flasku musí zadat následující hodnoty:

tenanta pracovních sil
externího nájemce

Proměnná prostředí	Description
`AUTHORITY`	Adresa URL cloudové instance, ve které je aplikace zaregistrovaná. Formát: `https://{Instance}/{TenantId}`. Použijte jednu z následujících hodnot instance: - `https://login.microsoftonline.com/` (veřejný cloud od Azure) - `https://login.microsoftonline.us/` (Azure vláda USA) - `https://login.microsoftonline.de/` (Microsoft Entra Germany) - `https://login.partner.microsoftonline.cn/` (Microsoft Entra China, provozovaný společností 21Vianet)
`TENANT_ID`	Identifikátor tenanta, ve kterém je aplikace zaregistrovaná. Upřednostněte ID tenanta z registrace aplikace nebo použijte některou z těchto možností: - `organizations`: Přihlášení uživatelů v libovolném pracovním nebo školním účtu - `common`: Přihlášení uživatelů pomocí libovolného pracovního nebo školního účtu nebo osobního účtu Microsoft - `consumers`: Přihlášení uživatelů jenom pomocí osobního účtu Microsoft
`CLIENT_ID`	Identifikátor aplikace (klienta) získaného z registrace aplikace.
`CLIENT_SECRET`	Hodnota tajného kódu získaná z přidání přihlašovacích údajů v Centru pro správu Microsoft Entra.
`REDIRECT_URI`	URL adresa, kam platforma Microsoft identity odesílá bezpečnostní tokeny po ověření.

Proměnná prostředí	Description
`AUTHORITY`	Adresa URL externího tenanta, ve kterém je aplikace zaregistrovaná. Formát: `https://<tenant_subdomain>.ciamlogin.com/` (nebo `https://<tenant_subdomain>.onmicrosoft.com/`). Viz Vytvoření externího tenanta pro získání subdomény tenanta.
`CLIENT_ID`	Identifikátor aplikace (klienta) z registrace aplikace.
`CLIENT_SECRET`	Hodnota tajného klíče klienta získaná z přidání přihlašovacích údajů v Centru pro správu Microsoft Entra.
`REDIRECT_URI`	Identifikátor URI, kam platforma Microsoft Identity po ověření odesílá tokeny zabezpečení.

Aktualizace konfiguračního souboru

Vytvořte v kořenové složce soubor .env , abyste bezpečně uložili konfiguraci aplikace. Soubor .env by měl obsahovat tyto proměnné prostředí:
- tenanta pracovních sil
- externího nájemce
```
CLIENT_ID="<Enter_your_client_id>"
CLIENT_SECRET="<Enter_your_client_secret>"
AUTHORITY="https://login.microsoftonline.com/<Enter_tenant_id>"
REDIRECT_URI="<Enter_redirect_uri>"
```
Zástupné symboly nahraďte následujícími hodnotami:
- Nahraďte <Enter_your_client_id> za ID aplikace (klienta) klientské webové aplikace, kterou jste zaregistrovali.
- Nahraďte <Enter_tenant_id> identifikátorem adresáře (tenanta) , kde jste zaregistrovali svou webovou aplikaci.
- Nahraďte <Enter_your_client_secret> hodnotou tajného kódu klienta pro webovou aplikaci, kterou jste vytvořili. V tomto kurzu používáme tajné kódy pro demonstrační účely. V produkčním prostředí používejte bezpečnější přístupy, jako jsou certifikáty nebo přihlašovací údaje federované identity.
- Nahraďte <Enter_redirect_uri> identifikátorem URI pro přesměrování, který jste zaregistrovali dříve. Tento návod nastaví cestu URI přesměrování na http://localhost:3000/getAToken.
```
CLIENT_ID="<Enter_your_client_id>"
CLIENT_SECRET="<Enter_your_client_secret>"
AUTHORITY=https://<Enter_your_subdomain>.ciamlogin.com/<Enter_your_subdomain>.onmicrosoft.com
REDIRECT_URI="<Enter_redirect_uri>"
```
Zástupné symboly nahraďte následujícími hodnotami:
- Nahraďte <Enter_your_client_id> za ID aplikace (klienta) klientské webové aplikace, kterou jste zaregistrovali.
- Nahraďte <Enter_your_subdomain> subdoménou Directory (tenant), kde jste webovou aplikaci zaregistrovali.
- Nahraďte <Enter_your_client_secret> hodnotou tajného kódu klienta pro webovou aplikaci, kterou jste vytvořili. V tomto kurzu používáme tajné kódy pro demonstrační účely. V produkčním prostředí používejte bezpečnější přístupy, jako jsou certifikáty nebo přihlašovací údaje federované identity.
- Nahraďte <Enter_redirect_uri> identifikátorem URI pro přesměrování, který jste zaregistrovali dříve. Tento návod nastaví cestu URI přesměrování na http://localhost:3000/getAToken.

Vytvořte soubor app_config.py pro čtení proměnných prostředí a přidejte další potřebné konfigurace.

import os

AUTHORITY = os.getenv("AUTHORITY")
CLIENT_ID = os.getenv("CLIENT_ID")
CLIENT_SECRET = os.getenv("CLIENT_SECRET")
REDIRECT_URI = os.getenv("REDIRECT_URI")
SESSION_TYPE = "filesystem" # Tells the Flask-session extension to store sessions in the filesystem. Don't use in production apps.

Konfigurace koncových bodů aplikace

V této fázi vytvoříte koncové body webové aplikace a přidáte do aplikace obchodní logiku.

V kořenové složce vytvořte soubor s názvem app.py.

Naimportujte požadované závislosti v horní části souboru app.py.

import os
import requests
from flask import Flask, render_template
from identity.flask import Auth
import app_config

Inicializujte aplikaci Flask a nakonfigurujte ji tak, aby používala typ úložiště relace, který jste zadali v souboru app_config.py.
```
app = Flask(__name__)
app.config.from_object(app_config)
```
Inicializujte klienta aplikace. Webová aplikace Flask je důvěrný klient. Tajný klíč klienta předáváme, protože důvěrní klienti ho můžou bezpečně uložit. Na pozadí knihovna identit volá třídu ConfidentialClientApplication knihovny MSAL.
```
auth = Auth(
    app,
    authority=app.config["AUTHORITY"],
    client_id=app.config["CLIENT_ID"],
    client_credential=app.config["CLIENT_SECRET"],
    redirect_uri=app.config["REDIRECT_URI"]
)
```
Přidejte požadované koncové body do aplikace Flask. Webová aplikace používá tok autorizačního kódu k přihlášení uživatele. Knihovna ms_identity_python poskytující vrstvu pro MSAL pomáhá s interakcí s knihovnou MSAL, což umožňuje snadné přidávání funkcí přihlašování a odhlašování do vaší aplikace. Přidáme indexovou stránku a chráníme ji pomocí login_required dekorátoru poskytovaného knihovnou ms_identity_python. Dekorátor login_required zajišťuje, že k indexové stránce mají přístup jenom ověření uživatelé.
```
@app.route("/")
@auth.login_required
def index(*, context):
    return render_template(
        'index.html',
        user=context['user'],
        title="Flask Web App Sample",
    )
```
Je zaručeno, že uživatel bude přítomen, protože jsme toto zobrazení ozdobili @login_required.

Vytvoření šablon aplikací

Vytvořte složku s názvem templates v kořenové složce. Ve složce šablon vytvořte soubor s názvem index.html. Toto je domovská stránka aplikace. Do souboru index.html přidejte následující kód:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>{{ title }}</title>
</head>
<body>
    <h1>{{ title }}</h1>
    <h2>Welcome {{ user.get("name") }}!</h2>

    <img src="https://github.com/Azure-Samples/ms-identity-python-webapp-django/raw/main/static/topology.png" alt="Topology">

    <ul>
    {% if api_endpoint %}
        <!-- If an API endpoint is declared and scopes defined, this link will show. We set this in the call an API tutorial. For this tutorial, we do not define this endpoint. -->
        <li><a href='/call_api'>Call an API</a></li>
    {% endif %}

    <li><a href="{{ url_for('identity.logout') }}">Logout</a></li>
    </ul>

    <hr>
    <footer style="text-align: right">{{ title }}</footer>
</body>
</html>

Spuštění a otestování ukázkové webové aplikace

tenanta pracovních sil
externího nájemce

V terminálu spusťte následující příkaz:
```
python3 -m flask run --debug --host=localhost --port=3000
```
Můžete použít port podle svého výběru. Tento port by měl být podobný portu vaší přesměrovací URI, kterou jste zaregistrovali dříve.
Otevřete prohlížeč a přejděte na http://localhost:3000. Zobrazí se přihlašovací stránka.
Podle pokynů se přihlaste pomocí svého účtu Microsoft. Budete požádáni, abyste zadali e-mailovou adresu a heslo pro přihlášení.
Pokud aplikace potřebuje nějaké obory, zobrazí se obrazovka pro vyjádření souhlasu. Aplikace požaduje oprávnění k zachování přístupu k datům, ke které povolíte přístup a k přihlášení. Vyberte Přijmout. Tato obrazovka se nezobrazí, pokud nejsou definovány žádné obory.

V terminálu spusťte následující příkaz:
```
python3 -m flask run --debug --host=localhost --port=3000
```
Můžete použít port podle svého výběru. Tento port by měl být podobný portu vaší přesměrovací URI, kterou jste zaregistrovali dříve.
Otevřete prohlížeč a přejděte na http://localhost:3000. Zobrazí se přihlašovací stránka.
Na přihlašovací stránce zadejte e-mailovou adresu, vyberte Další, zadejte Hesloa pak vyberte Přihlásit se. Pokud účet nemáte, vyberte Žádný účet? Vytvořte jeden odkaz, který spustí tok registrace.
Pokud zvolíte možnost registrace, projdete procesem registrace. Pokud chcete dokončit celý tok registrace, vyplňte svůj e-mail, jednorázové heslo, nové heslo a další podrobnosti o účtu.
Pokud aplikace potřebuje nějaké obory, zobrazí se obrazovka pro vyjádření souhlasu. Aplikace požaduje oprávnění k údržbě přístupu k datům, ke které povolíte přístup, a k přihlášení a následnému čtení profilu, jak je znázorněno na snímku obrazovky. Vyberte Přijmout.

Po přihlášení nebo registraci budete přesměrováni zpět na webovou aplikaci. Zobrazí se stránka, která vypadá podobně jako na následujícím snímku obrazovky:

snímek obrazovky s ukázkou webové aplikace Flask po úspěšném ověření

Vyberte Odhlášení pro odhlášení z aplikace. Zobrazí se výzva k výběru účtu, ze kterém se chcete odhlásit. Vyberte účet, který jste použili k přihlášení.

Použití vlastní domény URL (volitelné)

tenanta pracovních sil
externího nájemce

Uživatelé Workforce nepodporují vlastní URL domény.

Použijte vlastní doménu URL k plnému označení ověřovací adresy URL. Z hlediska uživatele zůstanou uživatelé během procesu ověřování na vaší doméně, místo aby byli přesměrováni na název domény ciamlogin.com.

Pokud chcete použít vlastní doménu URL, použijte následující postup:

Pomocí kroků v Povolení vlastních domén URL pro aplikace v externích tenantech povolte pro externího tenanta vlastní doménu URL.
Do souboru .env přidejte proměnnou OIDC_AUTHORITY a odstraňte proměnnou AUTHORITY. Nastavte jeho hodnotu na https://Enter_the_Custom_Domain_Here/Enter_the_Tenant_ID_Here/v2.0. Nahraďte Enter_the_Custom_Domain_Here vlastní doménou URL a Enter_the_Tenant_ID_Here ID tenanta. Pokud nemáte ID tenanta, naučte se, jak zjistit vaše podrobnosti o tenantovi.
Do souboru app_config.py přidejte následující kód, který načte proměnnou prostředí OIDC_AUTHORITY. Proměnnou AUTHORITY můžete odstranit.
```
# other configs go here
OIDC_AUTHORITY = os.getenv("OIDC_AUTHORITY")
```

V souboru app.py aktualizujte objekt ověřování tak, aby místo autoritypoužíval argument oidc_authority .

auth = Auth(
    app,
    oidc_authority=app.config["OIDC_AUTHORITY"],
    client_id=app.config["CLIENT_ID"],
    client_credential=app.config["CLIENT_SECRET"],
    redirect_uri=app.config["REDIRECT_URI"]
)

Referenční materiál

ms_identity_python abstrahuje podrobnosti knihovny MSAL. Další informace najdete v dokumentaci MSAL Python. Tento referenční materiál vám pomůže pochopit, jak inicializujete aplikaci a získáváte tokeny pomocí MSAL Pythonu.

Další krok

Kurz: Volání rozhraní Microsoft Graph API z webové aplikace Python Flask.

Váš názor

Byla tato stránka užitečná?

Last updated on 2025-12-01