Lernprogramm: Einrichten einer Android-App zum Anmelden von Benutzern mithilfe der Microsoft Identity Platform

Gilt für: Mitarbeitermandanten Externe Mandanten (weitere Informationen)

In diesem Lernprogramm erfahren Sie, wie Sie Ihrer Android-App Microsoft Authentication Library (MSAL) für Android hinzufügen. MSAL ermöglicht Android-Anwendungen die Authentifizierung von Benutzern mit Microsoft Entra.

In diesem Tutorial lernen Sie:

• Hinzufügen von MSAL-Abhängigkeiten
• Hinzufügen einer Konfiguration
• Erstellen einer MSAL SDK-Instanz

Voraussetzungen

Belegschaftsmandant

• Ein Mandant für Mitarbeitende. Sie können Ihr Standardverzeichnis verwenden oder einen neuen Mandanten einrichten.
• Registrieren Sie eine neue App im Microsoft Entra Admin Center, die nur für Konten in diesem Organisationsverzeichnis konfiguriert ist. Weitere Informationen finden Sie unter Registrieren einer Anwendung . Notieren Sie die folgenden Werte auf der Anwendungsübersichtsseite für die spätere Verwendung:
  • Anwendungs-ID (Client)
  • Verzeichnis-ID (Mandant)
• Ein Android-Projekt. Wenn Sie kein Android-Projekt haben, erstellen Sie es.

Externer Mieter

• Ein externer Mieter. Um eine zu erstellen, wählen Sie aus den folgenden Methoden aus:
  • Verwenden Sie die Microsoft Entra External ID-Erweiterung, um einen externen Mandanten direkt in Visual Studio Code einzurichten. (Empfohlen)
  • Erstellen Sie einen neuen externen Mandanten im Microsoft Entra Admin Center.
• Registrieren Sie eine neue App im Microsoft Entra Admin Center, die für Konten in allen Organisationsverzeichnissen und persönlichen Microsoft-Konten konfiguriert ist. Weitere Informationen finden Sie unter Registrieren einer Anwendung . Notieren Sie die folgenden Werte auf der Anwendungsübersichtsseite für die spätere Verwendung:
  • Anwendungs-ID (Client)
  • Verzeichnis-ID (Mandant)

Hinzufügen eines Umleitungs-URI

Sie müssen bestimmte Umleitungs-URIs in Ihrer App-Registrierung konfigurieren, um die Kompatibilität mit dem heruntergeladenen Codebeispiel sicherzustellen. Diese URIs sind wichtig, um Benutzer nach der erfolgreichen Anmeldung wieder an die App weiterzuleiten.

Belegschaftsmandant

1. Wählen Sie unter Verwalten die Optionen Authentifizierung>Plattform hinzufügen>Android aus.

2. Geben Sie den Paketnamen Ihres Projekts basierend auf dem Beispieltyp ein, den Sie oben heruntergeladen haben.

   • Java-Beispiel - com.azuresamples.msalandroidapp
   • Kotlin-Beispiel - com.azuresamples.msalandroidkotlinapp

3. Klicken Sie auf der Seite Android-App konfigurieren im Abschnitt Signatur-Hash auf Generieren eines Signatur-Hash für die Entwicklung, und kopieren Sie den KeyTool-Befehl in Ihre Befehlszeile.

   • „KeyTool. exe“ wird als Teil des Java Development Kit (JDK) installiert. Sie müssen auch das OpenSSL-Tool installieren, um den KeyTool-Befehl auszuführen. Weitere Informationen finden Sie in der Android-Dokumentation zum Generieren eines Schlüssels.

4. Geben Sie den von KeyTool generierten Signaturhash ein.

5. Wählen Sie Konfigurieren aus, und speichern Sie die MSAL-Konfiguration, die im Bereich Android-Konfiguration angezeigt wird, damit Sie diese später beim Konfigurieren Ihrer App eingeben können.

6. Wählen Sie Fertig aus.

Externer Mieter

Führen Sie die folgenden Schritte aus, um ihren App-Typ für ihre App-Registrierung anzugeben:

1. Wählen Sie unter Verwalten die Option Authentifizierung aus.
2. Wählen Sie auf der Seite "Plattformkonfigurationen " die Option "Plattform hinzufügen" und dann die Option "iOS/macOS " aus.
3. Geben Sie die Bündel-ID Ihres Projekts ein. Wenn Sie den Beispielcode heruntergeladen haben, lautet dieser Wert com.microsoft.identitysample.ciam.MSALiOS.
4. Wählen Sie "Konfigurieren" aus, und speichern Sie die MSAL-Konfiguration , die im iOS/macOS-Konfigurationsbereich angezeigt wird, damit Sie sie eingeben können, wenn Sie Ihre App später konfigurieren.
5. Wählen Sie Fertig aus.

Aktivieren des öffentlichen Clientflows

Führen Sie diese Schritte aus, um Ihre App als öffentlichen Client zu identifizieren:

1. Wählen Sie unter Verwalten die Option Authentifizierung aus.

2. Wählen Sie unter Erweiterte Einstellungen für Öffentliche Clientflows zulassen die Option Ja aus.

3. Wählen Sie Speichern, um Ihre Änderungen zu speichern.

Hinzufügen von MSAL-Abhängigkeiten und relevanten Bibliotheken zu Ihrem Projekt

Führen Sie die folgenden Schritte aus, um MSAL-Abhängigkeiten in Ihrem Android-Projekt hinzuzufügen:

1. Öffnen Sie Ihr Projekt in Android Studio, oder erstellen Sie ein neues Projekt.

2. Öffnen Sie die build.gradle Ihrer Anwendung und fügen Sie die folgenden Abhängigkeiten hinzu.

   allprojects {
   repositories {
       //Needed for com.microsoft.device.display:display-mask library
       maven {
           url 'https://pkgs.dev.azure.com/MicrosoftDeviceSDK/DuoSDK-Public/_packaging/Duo-SDK-Feed/maven/v1'
           name 'Duo-SDK-Feed'
       }
       mavenCentral()
       google()
       }
   }
   //...
   
   dependencies { 
       implementation 'com.microsoft.identity.client:msal:5.+'
       //...
   }
   

   In der build.gradle Konfiguration werden Repositorys für Projektabhängigkeiten definiert. Sie enthält eine Maven-Repository-URL für die com.microsoft.device.display:display-mask Bibliothek aus Azure DevOps. Darüber hinaus nutzt es Maven Central- und Google-Repositorys. Der Abschnitt "Abhängigkeiten" gibt die Implementierung der MSAL-Version 5 und potenziell anderer Abhängigkeiten an.

3. Wählen Sie in Android Studio " Dateisynchronisierungsprojekt>mit Gradle-Dateien" aus.

Hinzufügen einer Konfiguration

Sie übergeben die erforderlichen Mandanten-IDs, z. B. die Anwendungs-ID (Client-ID), über eine JSON-Konfigurationseinstellung an das MSAL SDK.

Führen Sie die folgenden Schritte aus, um eine Konfigurationsdatei zu erstellen:

Mitarbeitermandantenkonfiguration

1. Navigieren Sie im Projektbereich von Android Studio zu app\src\main\res.

2. Klicken Sie mit der rechten Maustaste auf res, und wählen Sie New>Directory („Neu“ > „Verzeichnis“) aus. Geben Sie raw als neuen Verzeichnisnamen ein, und wählen Sie OK.

3. Erstellen Sie unter app>src>main>res>raw eine neue JSON-Datei namens auth_config_single_account.json, und fügen Sie die MSAL-Konfiguration ein, die Sie zuvor gespeichert haben.

   Fügen Sie unterhalb des Umleitungs-URIs Folgendes ein:

     "account_mode" : "SINGLE",
   

   Ihre Konfigurationsdatei sollte in etwa wie folgt aussehen:

   {
     "client_id": "00001111-aaaa-bbbb-3333-cccc4444",
     "authorization_user_agent": "WEBVIEW",
     "redirect_uri": "msauth://com.azuresamples.msalandroidapp/00001111%cccc4444%3D",
     "broker_redirect_uri_registered": true,
     "account_mode": "SINGLE",
     "authorities": [
       {
         "type": "AAD",
         "audience": {
           "type": "AzureADandPersonalMicrosoftAccount",
           "tenant_id": "common"
         }
       }
     ]
   }
   

   Da in diesem Tutorial nur veranschaulicht wird, wie Sie eine App im Einzelkontomodus konfigurieren, finden Sie weitere Informationen unter Einzelkontomodus vs. Mehrfachkontomodus und Konfigurieren Ihrer App

4. Es wird die Verwendung von „WEBVIEW“ empfohlen. Wenn Sie „authorization_user_agent“ in Ihrer App als „BROWSER“ konfigurieren möchten, müssen Sie die folgenden Änderungen vornehmen. a) Aktualisieren Sie „auth_config_single_account.json“ mit: "authorization_user_agent": "Browser". b) Aktualisieren Sie „AndroidManifest.xml“. Fügen Sie in der App unter app>src>main>AndroidManifest.xml die Aktivität BrowserTabActivity als untergeordnetes Element des <application>-Elements hinzu. Dieser Eintrag ermöglicht Microsoft Entra ID den Rückruf an Ihre Anwendung nach Abschluss der Authentifizierung:

   <!--Intent filter to capture System Browser or Authenticator calling back to our app after sign-in-->
   <activity
       android:name="com.microsoft.identity.client.BrowserTabActivity"
       android:exported="true">
       <intent-filter>
           <action android:name="android.intent.action.VIEW" />
           <category android:name="android.intent.category.DEFAULT" />
           <category android:name="android.intent.category.BROWSABLE" />
           <data android:scheme="msauth"
               android:host="Enter_the_Package_Name"
               android:path="/Enter_the_Signature_Hash" />
       </intent-filter>
   </activity>
   

   • Verwenden Sie den Paketnamen, um den Wert android:host=. zu ersetzen. Er sollte wie folgt aussehen: com.azuresamples.msalandroidapp.
   • Verwenden Sie den Signaturhash, um den Wert android:path= zu ersetzen. Stellen Sie sicher, dass Ihr Signatur-Hash mit einem führenden / beginnt. Er sollte wie folgt aussehen: /aB1cD2eF3gH4+iJ5kL6-mN7oP8q=.

   Diese Werte finden Sie ebenfalls auf dem Blatt „Authentifizierung“ Ihrer App-Registrierung.

Konfiguration des externen Mandanten

1. Navigieren Sie im Projektbereich von Android Studio zu app\src\main\res.

2. Klicken Sie mit der rechten Maustaste auf "Res", und wählen Sie "Neues Verzeichnis"> aus. Geben Sie raw als neuen Verzeichnisnamen ein, und wählen Sie OK.

3. Erstellen Sie in app\src\main\res\raw, eine neue JSON-Datei namens auth_config_ciam_auth.json.

4. Fügen Sie in der auth_config_ciam_auth.json Datei die folgenden MSAL-Konfigurationen hinzu:

   {
     "client_id" : "Enter_the_Application_Id_Here",
     "authorization_user_agent" : "DEFAULT",
     "redirect_uri" : "Enter_the_Redirect_Uri_Here",
     "account_mode" : "SINGLE",
     "authorities" : [
       {
         "type": "CIAM",
         "authority_url": "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/Enter_the_Tenant_Subdomain_Here.onmicrosoft.com/"
       }
     ]
   }
   

   Die JSON-Konfigurationsdatei gibt verschiedene Einstellungen für eine Android-Anwendung an. Sie enthält die Client-ID, den Autorisierungsbenutzer-Agent, den Umleitungs-URI und den Kontomodus. Darüber hinaus definiert sie eine Autorität für die Authentifizierung, die den Typ und die Autoritäts-URL angibt.

   Ersetzen Sie die folgenden Platzhalter durch Ihre Mandantenwerte, die Sie aus dem Microsoft Entra Admin Center abgerufen haben:

   • Enter_the_Application_Id_Here, und ersetzen Sie ihn mit der Anwendungs-ID (Client-ID) der zuvor von Ihnen registrierten Anwendung.
   • Enter_the_Redirect_Uri_Here und ersetzen Sie ihn durch den Wert von redirect_uri in der Microsoft Authentication Library (MSAL)-Konfigurationsdatei, die Sie zuvor heruntergeladen haben, wenn Sie die Plattformumleitungs-URL hinzugefügt haben.
   • Enter_the_Tenant_Subdomain_Here und ersetzen Sie es durch die Verzeichnis-(Mandanten-)Unterdomäne. Wenn Ihre primäre Mandantendomäne z. B. contoso.onmicrosoft.comist, verwenden Sie contoso. Wenn Sie Ihre Mandantendomäne nicht kennen, erfahren Sie, wie Sie Ihre Mandantendetails lesen können.

5. Öffnen Sie die Datei "/app/src/main/AndroidManifest.xml ".

6. Fügen Sie in AndroidManifest.xml die folgende Datenspezifikation zu einem Absichtsfilter hinzu:

   <data
       android:host="ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE"
       android:path="/ENTER_YOUR_SIGNATURE_HASH_HERE"
       android:scheme="msauth" />
   

   Suchen Sie den Platzhalter:

   • ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE und ersetzen Sie ihn durch den Projektpaketnamen Ihres Android-Projektes.
   • ENTER_YOUR_SIGNATURE_HASH_HERE und ersetzen Sie ihn durch den Signaturhash, den Sie zuvor generiert haben, wenn Sie die Plattformumleitungs-URL hinzugefügt haben.

Verwenden einer benutzerdefinierten URL-Domäne (optional)

Verwenden Sie eine benutzerdefinierte Domäne, um die Authentifizierungs-URL vollständig zu kennzeichnen. Aus Benutzerperspektive verbleiben Benutzer während des Authentifizierungsprozesses in Ihrer Domäne, anstatt zu ciamlogin.com Domänennamen umgeleitet zu werden.

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Domäne zu verwenden:

1. Führen Sie die Schritte unter Aktivieren benutzerdefinierter URL-Domänen für Apps in externen Mandanten aus, um eine benutzerdefinierte URL-Domäne für Ihren externen Mandanten zu aktivieren.

2. Öffnen sie auth_config_ciam_auth.json Datei:

   1. Aktualisieren Sie den Wert der authority_url Eigenschaft auf https://Enter_the_Custom_Domain_Here/Enter_the_Tenant_ID_Here. Ersetzen Sie sie Enter_the_Custom_Domain_Here durch Ihre benutzerdefinierte URL-Domäne und Enter_the_Tenant_ID_Here durch Ihre Mandanten-ID. Wenn Sie Ihre Mandanten-ID nicht kennen, finden Sie weitere Informationen unter Abrufen der Details des externen Mandanten.
   2. Hinzufügen einer knownAuthorities Eigenschaft mit einem Wert [Enter_the_Custom_Domain_Here].

Nachdem Sie die Änderungen an Ihrer auth_config_ciam_auth.json Datei vorgenommen haben, wenn Ihre benutzerdefinierte URL-Domäne login.contoso.com ist und Ihre Mandanten-ID aaaabbbb-0000-cccc-1111-ddddd222eeeee ist, sollte die Datei ähnlich wie der folgende Codeausschnitt aussehen:

{
    "client_id" : "Enter_the_Application_Id_Here",
    "authorization_user_agent" : "DEFAULT",
    "redirect_uri" : "Enter_the_Redirect_Uri_Here",
    "account_mode" : "SINGLE",
    "authorities" : [
    {
        "type": "CIAM",
        "authority_url": "https://login.contoso.com/aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "knownAuthorities": ["login.contoso.com"]
    }
    ]
}

Erstellen einer MSAL SDK-Instanz

Verwenden Sie den folgenden Code, um die MSAL SDK-Instanz zu initialisieren:

Mitarbeitermandantenkonfiguration

PublicClientApplication.createSingleAccountPublicClientApplication(
    getContext(),
    R.raw.auth_config_single_account,
    new IPublicClientApplication.ISingleAccountApplicationCreatedListener() {
        @Override
        public void onCreated(ISingleAccountPublicClientApplication application) {
            // Initialize the single account application instance
            mSingleAccountApp = application;
            loadAccount();
        }

        @Override
        public void onError(MsalException exception) {
            // Handle any errors that occur during initialization
            displayError(exception);
        }
    }
);

Dieser Code erstellt mithilfe der Konfigurationsdatei auth_config_single_account.jsoneine öffentliche Clientanwendung für ein einzelnes Konto. Wenn die Anwendung erfolgreich erstellt wurde, weist sie die Instanz zu mSingleAccountApp und ruft die loadAccount() Methode auf. Wenn während der Erstellung ein Fehler auftritt, behandelt er den Fehler durch Aufrufen der displayError(exception)-Methode.

Konfiguration des externen Mandanten

private suspend fun initClient(): ISingleAccountPublicClientApplication = withContext(Dispatchers.IO) {
    return@withContext PublicClientApplication.createSingleAccountPublicClientApplication(
        this@MainActivity,
        R.raw.auth_config_ciam_auth
    )
}

Der Code initialisiert asynchron eine öffentliche Clientanwendung für ein einzelnes Konto. Sie verwendet die bereitgestellte Authentifizierungskonfigurationsdatei und wird auf dem E/A-Verteiler ausgeführt.

Stellen Sie sicher, dass Sie die Importanweisungen hinzufügen. Android Studio sollte die Importanweisungen automatisch für Sie einfügen.

Nächste Schritte

Anleitung: Anmeldefunktion zu Ihrer Android-App hinzufügen.