Benutzer in einer Node.js-Beispiel-Webanwendung anmelden

In diese, Leitfaden wird eine Node.js-Beispielwebanwendung verwendet, um zu zeigen, wie Sie einer Webanwendung eine Authentifizierung hinzufügen. Mit der Beispiel-Anwendung können sich Benutzer anmelden und abmelden. Die Beispiel-Webanwendung verwendet die Microsoft Authentication Library for Node (MSAL Node) für Node, um die Authentifizierung zu verarbeiten.

In diesem Artikel führen Sie die folgenden Aufgaben aus:

• Registrieren einer Webanwendung im Microsoft Entra Admin Center.

• Erstellen eines Benutzerflows zum Anmelden und Abmelden im Microsoft Entra Admin Center.

• Zuordnen der Webanwendung zum Benutzerflow.

• Aktualisieren Sie eine Node.js-Beispielwebanwendung mit Ihren eigenen Details für externe Mandanten.

• Ausführen und Testen der Beispiel-Webanwendung.

Voraussetzungen

• Visual Studio Code oder ein anderer Code-Editor
• Node.js.
• .NET 7.0 oder höher.
• Ein externer Mandant. Falls Sie noch nicht über die Anwendung verfügen, können Sie sich für eine kostenlose Testversion registrieren.

Registrieren der Web-App

Damit Ihre Anwendung Benutzer mit Microsoft Entra anmelden kann, muss Microsoft Entra External ID auf die von Ihnen erstellte Anwendung aufmerksam gemacht werden. Durch die App-Registrierung wird eine Vertrauensstellung zwischen der Anwendung und Microsoft Entra eingerichtet. Wenn Sie eine Anwendung registrieren, generiert External ID einen eindeutigen Bezeichner, die Anwendungs-ID (Client). Dieser Wert wird zum Identifizieren Ihrer Anwendung beim Erstellen von Authentifizierungsanforderungen verwendet.

Die folgenden Schritte veranschaulichen, wie Sie Ihre Anwendung im Microsoft Entra Admin Center registrieren:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsentwickler an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.

3. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen.

4. Wählen Sie + Neue Registrierung aus.

5. Auf der Seite Anwendung registrieren die angezeigt wird.

   1. Geben Sie im Abschnitt Name einen aussagekräftigen Anwendungsnamen ein, der den Benutzern der Anwendung angezeigt wird (z. B. ciam-client-app).
   2. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis aus.

6. Wählen Sie Registrieren.

7. Der Bereich Übersicht der Anwendung wird bei erfolgreicher Registrierung angezeigt. Notieren Sie sich die Anwendungs-ID (Client), die im Quellcode Ihrer Anwendung verwendet werden sollen.

Führen Sie die folgenden Schritte aus, um den Anwendungstyp für Ihre Anwendungsregistrierung anzugeben:

1. Wählen Sie unter Verwalten die Option Authentifizierung aus.
2. Wählen Sie auf der Seite Plattformkonfigurationen die Option Plattform hinzufügen und dann die Option Web aus.
3. Geben Sie unter Umleitungs-URLs den Wert http://localhost:3000/auth/redirect ein.
4. Wählen Sie Konfigurieren aus, um Ihre Änderungen zu speichern.

Hinzufügen eines geheimen Clientschlüssels für die Anwendung

Erstellen Sie einen geheimen Clientschlüssel für die registrierte Anwendung. Die Anwendung verwendet den geheimen Clientschlüssel beim Anfordern von Token als Identitätsnachweis.

1. Wählen Sie auf der Seite App-Registrierungen die von Ihnen erstellte Anwendung (z. B. ciam-client-app) aus, um ihre Seite Übersicht zu öffnen.
2. Wählen Sie unter Verwalten die Option Zertifikate und Geheimnisse aus.
3. Wählen Sie Neuer geheimer Clientschlüssel.
4. Geben Sie im Feld Beschreibung eine Beschreibung für das Clientgeheimnis ein (z. B. Ciam-App-Clientgeheimnis).
5. Wählen Sie unter Gültig bis einen Gültigkeitszeitraum für den geheimen Schlüssel (gemäß den jeweiligen Sicherheitsregeln Ihrer Organisation) und dann Hinzufügen aus.
6. Notieren Sie den Wert des Geheimnisses. Dieser Wert wird in einem späteren Schritt für die Konfiguration verwendet. Der Wert des Geheimnisses wird nicht noch mal angezeigt und kann nicht anderweitig abgerufen werden, nachdem Sie die Seite Zertifikate & Geheimnisse verlassen haben. Notieren Sie sich diesen daher unbedingt.

Gewähren von API-Berechtigungen

Da über diese App Benutzer angemeldet werden, fügen Sie delegierte Berechtigungen hinzu:

1. Wählen Sie auf der Seite App-Registrierungen die von Ihnen erstellte Anwendung (z. B. ciam-client-app) aus, um die Seite Übersicht zu öffnen.

2. Wählen Sie unter Verwalten die Option API-Berechtigungen.

3. Wählen Sie unter Konfigurierte Berechtigungen die Option Berechtigung hinzufügen aus.

4. Wählen Sie die Registerkarte Microsoft-APIs aus.

5. Wählen Sie unter Häufig verwendete Microsoft-APIs die Option Microsoft Graph aus.

6. Wählen Sie Delegierte Berechtigungen aus.

7. Suchen Sie im Abschnitt Berechtigungen auswählen die Berechtigungen openid und offline_access, und wählen Sie beide aus.

8. Wählen Sie die Schaltfläche Berechtigungen hinzufügen aus.

9. An diesem Punkt haben Sie die Berechtigungen ordnungsgemäß zugewiesen. Da der Mandant jedoch der Mandant eines Kunden ist, können die Consumer-Benutzer selbst diesen Berechtigungen nicht zustimmen. Als Administrator müssen Sie im Namen aller Benutzer im Mandanten diesen Berechtigungen zustimmen:

   1. Wählen Sie Administratorzustimmung für <Name Ihres Mandanten> erteilen und dann Ja aus.
   2. Wählen Sie Aktualisieren aus, und vergewissern Sie sich, dass für beide Bereiche unter Status der Status Erteilt für <Name Ihres Mandanten> angezeigt wird.

Erstellen eines Benutzerflows

Führen Sie die folgenden Schritte aus, um einen Benutzerflow zu erstellen, den ein Kunde zum Anmelden oder Registrieren für eine Anwendung verwenden kann.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für Benutzerflows mit externer ID an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.

3. Browsen Sie zu Identität>External Identities>Benutzerflows.

4. Wählen Sie + Neuer Benutzerflow aus.

5. Gehen Sie auf der Seite Erstellen folgendermaßen vor:

   1. Geben Sie einen Namen für den Benutzerflow ein, z. B. SignInSignUpSample.

   2. Wählen Sie in der Liste Identitätsanbieter die Option Email-Konten aus. Dieser Identitätsanbieter bietet Benutzern die Möglichkeit, sich mit ihrer Email-Adresse anzumelden oder zu registrieren.

      Hinweis

      Weitere Identitätsanbieter werden hier nur aufgeführt, nachdem ein Verbund mit ihnen eingerichtet wurde. Wenn Sie beispielsweise einen Verbund mit Google oder Facebook einrichten, können Sie diese zusätzlichen Identitätsanbieter hier auswählen.

   3. Unter Email-Konten können Sie eine der beiden Optionen auswählen. Wählen Sie für dieses Tutorial Email mit Kennwort aus.

      • Email mit Kennwort: Ermöglicht es neuen Benutzern, sich mit einer E-Mail-Adresse als Anmeldenamen und einem Kennwort als ersten Faktor der Anmeldeinformationen zu registrieren und anzumelden.
      • Email mit Einmal-Passcode: Ermöglicht es neuen Benutzern, sich mit einer E-Mail-Adresse als Anmeldenamen und einem Einmal-Passcode als ersten Faktor der Anmeldeinformationen zu registrieren und anzumelden. Email mit Einmal-Passcode muss auf Mandantenebene (Alle Identitätsanbieter>Email mit Einmal-Passcode) aktiviert sein, damit diese Option auf Benutzerflowebene verfügbar ist.

   4. Wählen Sie unter Benutzerattribute die Attribute aus, die Sie vom Benutzer bei der Registrierung erfassen möchten. Wenn Sie Mehr anzeigen auswählen, können Sie Attribute und Ansprüche für Land/Region, Anzeigename und Postleitzahl auswählen. Klicken Sie auf OK. (Benutzer werden nur zur Eingabe von Attributen aufgefordert, wenn sie sich zum ersten Mal registrieren.)

6. Klicken Sie auf Erstellen. Der neue Benutzerflow wird in der Liste Benutzerflows angezeigt. Aktualisieren Sie die Seite bei Bedarf.

Führen Sie die Schritte im Artikel Aktivieren der Self-Service-Kennwortzurücksetzung aus, um die Self-Service-Kennwortzurücksetzung zu aktivieren.

Zuordnen der Webanwendung zum Benutzerflow

Obwohl ihrem Benutzerflow viele Anwendungen zugeordnet werden können, kann eine einzelne Anwendung nur einem Benutzerflow zugeordnet werden. Ein Benutzerflow ermöglicht die Konfiguration der Benutzeroberfläche für bestimmte Anwendungen. Sie können beispielsweise einen Benutzerflow konfigurieren, bei dem sich Benutzer und Benutzerinnen mit einer E-Mail-Adresse anmelden oder registrieren müssen.

1. Wählen Sie im Menü der Seitenleiste die Option Identität aus.

2. Wählen Sie External Identities und dann Benutzerflows aus.

3. Wählen Sie auf der Seite Benutzerflows den zuvor erstellten Benutzerflownamen aus, z. B. SignInSignUpSample.

4. Wählen Sie unter Verwenden die Option Anwendungen aus.

5. Wählen Sie Anwendung hinzufügen aus.

6. Wählen Sie die Anwendung in der Liste aus, z. B. ciam-client-app, oder verwenden Sie das Suchfeld, um die Anwendung zu suchen, und wählen Sie dann die Anwendung aus.

7. Klicken Sie auf Auswählen.

Klonen oder Herunterladen der Beispiel-Webanwendung

Um die Beispielanwendung zu erhalten, können Sie sie entweder von GitHub klonen oder als ZIP-Datei herunterladen.

• Öffnen Sie zum Klonen des Beispiels eine Eingabeaufforderung, navigieren Sie zu der Stelle, an der Sie das Projekt erstellen möchten, und geben Sie den folgenden Befehl ein:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-javascript-tutorial.git
  

• Laden Sie die .zip-Datei herunter oder klonen Sie die Beispiel-Webanwendung von GitHub, indem Sie den folgenden Befehl ausführen:

Installieren von Projektabhängigkeiten

1. Öffnen Sie ein Konsolenfenster, und wechseln Sie in das Verzeichnis, das die Node.js-Beispiel-App enthält:

   cd 1-Authentication\5-sign-in-express\App
   

2. Führen Sie die folgenden Befehle aus, um App-Abhängigkeiten zu installieren:

   npm install
   

Konfigurieren der Beispiel-Webanwendung

1. Öffnen Sie im Code-Editor die Datei App\authConfig.js.

2. Suchen Sie den folgenden Platzhalter:

   • Enter_the_Application_Id_Here, und ersetzen Sie ihn mit der Anwendungs-ID (Client-ID) der zuvor von Ihnen registrierten Anwendung.
   • Enter_the_Tenant_Subdomain_Here, und ersetzen Sie ihn durch die Unterdomäne des Verzeichnisses (des Mandanten). Wenn Ihre primäre Mandantendomäne beispielsweise contoso.onmicrosoft.com lautet, verwenden Sie contoso. Wenn Sie ihren Mandantennamen nicht kennen, können Sie Ihre Mandantendetails auslesen.
   • Enter_the_Client_Secret_Here und ersetzen Sie ihn durch den Wert des App-Geheimnisses, den Sie zuvor kopiert haben.

Ausführen und Testen der Beispiel-Webanwendung

Sie können jetzt die Node.js-Beispiel-Web-App testen. Sie müssen den Node.js-Server starten und über Ihren Browser unter http://localhost:3000 darauf zugreifen.

1. Führen Sie in Ihrem Terminal den folgenden Befehl aus:

   npm start 
   

2. Öffnen Sie Ihren Browser, und navigieren Sie zu http://localhost:3000. Die daraufhin angezeigte Seite sollte dem folgenden Screenshot ähneln:

   

3. Nachdem die Seite geladen wurde, wählen Sie den Link Anmelden aus. Sie werden zur Anmeldung aufgefordert.

4. Geben Sie auf der Anmeldeseite Ihre E-Mail-Adresse ein, wählen Sie Weiter aus, geben Sie Ihr Kennwort ein und wählen Sie dann Anmelden aus. Wenn Sie kein Konto haben, wählen Sie den Link Kein Konto? Erstellen Sie eins aus, um den Registrierungsflow zu starten.

5. Wenn Sie die Registrierungsoption auswählen, schließen Sie den gesamten Registrierungsflow ab, nachdem Sie E-Mail-Adresse, Einmal-Passcode, das neue Kennwort und weitere Kontodetails eingegeben haben. Die daraufhin angezeigte Seite sieht in etwa wie im folgenden Screenshot aus. Wenn Sie die Anmeldeoption auswählen, wird eine ähnliche Seite angezeigt.

   

6. Wählen Sie Abmelden aus, um den Benutzer von der Web-App abzumelden, oder wählen Sie ID-Token-Ansprüche anzeigen aus, um ID-Token-Ansprüche anzuzeigen, die von Microsoft Entra zurückgegeben werden.

Funktionsweise

Wenn Benutzerinnen und Benutzer den Link Anmelden auswählen, initiiert die App eine Authentifizierungsanforderung und leitet sie an Microsoft Entra External ID um. Sobald sich eine Benutzerin oder ein Benutzer erfolgreich angemeldet oder ein Konto erstellt hat, gibt Microsoft Entra External ID auf der angezeigten Anmelde- oder Registrierungsseite ein ID-Token an die App zurück. Die App überprüft das ID-Token, liest die Ansprüche und gibt eine sichere Seite an die Benutzer zurück.

Wenn die Benutzerin oder der Benutzer den Link Abmelden auswählt, löscht die Anwendung die Sitzung und leitet die Benutzerin oder den Benutzer an den Abmeldeendpunkt von Microsoft Entra External ID um, um anzuzeigen, dass die Abmeldung erfolgt ist.

Wenn Sie eine App erstellen möchten, die dem von Ihnen ausgeführten Beispiel ähnelt, führen Sie die im Artikel Anmelden von Benutzern in Ihrer eigenen Node.js-Webanwendung aufgeführten Schritte aus.

Zugehöriger Inhalt

• Aktivieren der Kennwortzurücksetzung
• Anpassen des Standard-Brandings
• Konfigurieren der Anmeldung mit Google
• Anmelden von Benutzer*innen in Ihrer Node.js-Webanwendung