Verwenden der MSAL in einer nationalen Cloudumgebung

Artikel
10/25/2023

Nationale Clouds (auch als Sovereign Clouds bezeichnet) sind physisch isolierte Azure-Instanzen. Diese Regionen von Azure tragen dazu bei, dass Anforderungen in puncto Datenresidenz, Datenhoheit und Compliance innerhalb geografischer Grenzen erfüllt werden.

Neben der weltweiten Microsoft-Cloud ermöglicht die Microsoft Authentication Library (MSAL) den Anwendungsentwicklern in nationalen Clouds das Abrufen von Token für die Authentifizierung und das Aufrufen geschützter Web-APIs. Bei diesen Web-APIs kann es sich um Microsoft Graph oder um andere Microsoft-APIs handeln.

Neben der globalen Azure-Cloud wird Microsoft Entra ID in den folgenden nationalen Clouds bereitgestellt:

Azure Government
Microsoft Azure von 21Vianet
Azure Deutschland (Schließt am 29. Oktober 2021)

Dieser Leitfaden veranschaulicht das Anmelden bei Geschäfts-, Schul- oder Unikonten, das Abrufen eines Zugriffstokens sowie das Aufrufen der Microsoft Graph-API in der Azure Government-Cloudumgebung.

Azure Deutschland (Microsoft Cloud Deutschland)

Warnung

Azure Deutschland (Microsoft Cloud Deutschland) wird am 29. Oktober 2021 geschlossen. Auf Dienste und Anwendungen, die Sie nicht bis zu diesem Datum zu einer Region im globalen Azure migriert haben, kann nicht mehr zugegriffen werden.

Wenn Sie Ihre Anwendung noch nicht aus Azure Deutschland migriert haben, befolgen Sie zunächst die Informationen zu Microsoft Entra für die Migration aus Azure Deutschland.

Voraussetzungen

Stellen Sie zu Beginn sicher, dass die folgenden Voraussetzungen erfüllt sind:

Auswählen der geeigneten Identitäten

Azure Government-Anwendungen können zur Authentifizierung von Benutzer*innen sowohl Microsoft Entra Government-Identitäten als auch öffentliche Microsoft Entra-Identitäten verwenden. Da Sie eine beliebige dieser Identitäten verwenden können, wählen Sie einen Autoritätsendpunkt für Ihr Szenario aus:

Öffentliche Microsoft Entra-Identität: Wird häufig verwendet, wenn Ihre Organisation bereits über einen öffentlichen Microsoft Entra-Mandanten verfügt, um Microsoft 365 (öffentlich oder GCC) oder eine andere Anwendung zu unterstützen.
Microsoft Entra Government-Identität: Wird häufig verwendet, wenn Ihre Organisation bereits über einen Microsoft Entra Government-Mandanten verfügt, um Office 365 (GCC High oder DoD) zu unterstützen, oder wenn ein neuer Mandant in Microsoft Entra Government erstellt werden soll.

Nach dieser Entscheidung müssen Sie sich überlegen, wo die App-Registrierung erfolgen soll. Wenn Sie öffentliche Microsoft Entra-Identitäten für Ihre Azure Government-Anwendung auswählen, müssen Sie die Anwendung in Ihrem öffentlichen Microsoft Entra-Mandanten registrieren.

Erhalten eines Azure Government-Abonnements

Informationen zum Beziehen eines Azure Government-Abonnements finden Sie unter Verwalten und Herstellen einer Verbindung mit Ihrem Abonnement in Azure Government.

Wenn Sie kein Azure Government-Abonnement besitzen, können Sie zu Beginn ein kostenloses Konto erstellen.

Weitere Informationen zur Verwendung einer nationalen Cloud mit einer bestimmten Programmiersprache erhalten Sie, indem Sie die Registerkarte entsprechend der gewünschten Sprache auswählen:

Über MSAL.NET können Sie Benutzer anmelden, Token anfordern und die Microsoft Graph-API in nationalen Clouds aufrufen.

In den folgenden Tutorials erfahren Sie, wie Sie eine ASP.NET Core Web-App erstellen. Die App verwendet OpenID Connect, um Benutzer mit einem Geschäfts-, Schul- oder Unikonto in einer Organisation anzumelden, die zu einer nationalen Cloud gehört.

Um Benutzer anzumelden und Token zu erwerben, folgen Sie diesem Tutorial: Erstellen einer ASP.NET Core-Webanwendung, mit der Sie Benutzer in Sovereign Clouds mit der Microsoft Identity Platform anmelden.
Um die Microsoft Graph API aufzurufen, folgen Sie diesem Tutorial: Verwenden der Microsoft Identity Platform zum Abrufen der Microsoft Graph-API aus einer ASP.NET Core 2.x-Web-App im Namen eines Benutzers, der sich mit seinem Geschäfts-, Schul- oder Unikonto bei einer nationalen Microsoft-Cloud anmeldet.

So aktivieren Sie Ihre MSAL.js-Anwendung für Sovereign Clouds

Registrieren Sie Ihre Anwendung abhängig von der Cloud in einem bestimmten Portal. Weitere Informationen zum Auswählen des Portals finden Sie unter App-Registrierungsendpunkte.
Verwenden Sie abhängig von der Cloud eines der Beispiele aus dem Repository mit einigen Änderungen, die im Folgenden genannt werden.
Verwenden Sie abhängig von der Cloud, in der Sie die Anwendung registriert haben, eine bestimmte Autorisierung. Weitere Informationen zu autoritativen Stellen für verschiedene Clouds finden Sie unter Microsoft Entra-Authentifizierungsendpunkte.
Zum Aufrufen der Microsoft Graph-API ist eine Endpunkt-URL erforderlich, die für die von Ihnen verwendete Cloud spezifisch ist. Informationen zum Ermitteln von Microsoft Graph-Endpunkten für alle nationalen Clouds finden Sie unter Stammendpunkte für Microsoft Graph und Graph Explorer.

Hier ist ein Beispiel für eine Autorisierung:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Hier finden Sie ein Beispiel für einen Microsoft Graph-Endpunkt mit einem Bereich:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Im Folgenden finden Sie den minimalen Code zum Authentifizieren eines Benutzers bei einer Sovereign Cloud und zum Aufrufen von Microsoft Graph:

const msalConfig = {
    auth: {
        clientId: "Enter_the_Application_Id_Here",
        authority: "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here",
        redirectUri: "/",
    }
};

// Initialize MSAL
const msalObj = new PublicClientApplication(msalConfig);

// Get token using popup experience
try {
    const graphToken = await msalObj.acquireTokenPopup({
        scopes: ["User.Read"]
    });
} catch(error) {
    console.log(error)
}

// Call the Graph API
const headers = new Headers();
const bearer = `Bearer ${graphToken}`;

headers.append("Authorization", bearer);

fetch("https://graph.microsoft.us/v1.0/me", {
    method: "GET",
    headers: headers
})

So aktivieren Sie Ihre MSAL-Python-Anwendung für Sovereign Clouds

Registrieren Sie Ihre Anwendung abhängig von der Cloud in einem bestimmten Portal. Weitere Informationen zum Auswählen des Portals finden Sie unter App-Registrierungsendpunkte.
Verwenden Sie abhängig von der Cloud eines der Beispiele aus dem Repository mit einigen Änderungen, die im Folgenden genannt werden.
Verwenden Sie abhängig von der Cloud, in der Sie die Anwendung registriert haben, eine bestimmte Autorisierung. Weitere Informationen zu autoritativen Stellen für verschiedene Clouds finden Sie unter Microsoft Entra-Authentifizierungsendpunkte.

Hier ist ein Beispiel für eine Autorisierung:
```
"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"
```
Zum Aufrufen der Microsoft Graph-API ist eine Endpunkt-URL erforderlich, die für die von Ihnen verwendete Cloud spezifisch ist. Informationen zum Ermitteln von Microsoft Graph-Endpunkten für alle nationalen Clouds finden Sie unter Stammendpunkte für Microsoft Graph und Graph Explorer.

Hier finden Sie ein Beispiel für einen Microsoft Graph-Endpunkt mit einem Bereich:
```
"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"
```

So aktivieren Sie Ihre MSAL-Java-Anwendung für Sovereign Clouds

Registrieren Sie Ihre Anwendung abhängig von der Cloud in einem bestimmten Portal. Weitere Informationen zum Auswählen des Portals finden Sie unter App-Registrierungsendpunkte.
Verwenden Sie abhängig von der Cloud eines der Beispiele aus dem Repository mit einigen Änderungen, die im Folgenden genannt werden.
Verwenden Sie abhängig von der Cloud, in der Sie die Anwendung registriert haben, eine bestimmte Autorisierung. Weitere Informationen zu autoritativen Stellen für verschiedene Clouds finden Sie unter Microsoft Entra-Authentifizierungsendpunkte.

Hier ist ein Beispiel für eine Autorisierung:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Zum Aufrufen der Microsoft Graph-API ist eine Endpunkt-URL erforderlich, die für die von Ihnen verwendete Cloud spezifisch ist. Informationen zum Ermitteln von Microsoft Graph-Endpunkten für alle nationalen Clouds finden Sie unter Stammendpunkte für Microsoft Graph und Graph Explorer.

Hier ist ein Beispiel für einen Graph-Endpunkt mit einem Bereich:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

MSAL für iOS und macOS kann zum Abrufen von Token in nationalen Clouds verwendet werden. Für die Erstellung von MSALPublicClientApplication ist jedoch zusätzliche Konfiguration erforderlich.

Wenn Sie beispielsweise möchten, dass Ihre Anwendung eine mehrinstanzenfähige Anwendung in einer nationalen Cloud (in diesem Fall US Government) ist, könnten Sie Folgendes schreiben:

MSALAADAuthority *aadAuthority =
                [[MSALAADAuthority alloc] initWithCloudInstance:MSALAzureUsGovernmentCloudInstance
                                                   audienceType:MSALAzureADMultipleOrgsAudience
                                                      rawTenant:nil
                                                          error:nil];

MSALPublicClientApplicationConfig *config =
                [[MSALPublicClientApplicationConfig alloc] initWithClientId:@"<your-client-id-here>"
                                                                redirectUri:@"<your-redirect-uri-here>"
                                                                  authority:aadAuthority];

NSError *applicationError = nil;
MSALPublicClientApplication *application =
                [[MSALPublicClientApplication alloc] initWithConfiguration:config error:&applicationError];

MSAL für iOS und macOS kann zum Abrufen von Token in nationalen Clouds verwendet werden. Für die Erstellung von MSALPublicClientApplication ist jedoch zusätzliche Konfiguration erforderlich.

Wenn Sie beispielsweise möchten, dass Ihre Anwendung eine mehrinstanzenfähige Anwendung in einer nationalen Cloud (in diesem Fall US Government) ist, könnten Sie Folgendes schreiben:

let authority = try? MSALAADAuthority(cloudInstance: .usGovernmentCloudInstance, audienceType: .azureADMultipleOrgsAudience, rawTenant: nil)

let config = MSALPublicClientApplicationConfig(clientId: "<your-client-id-here>", redirectUri: "<your-redirect-uri-here>", authority: authority)
if let application = try? MSALPublicClientApplication(configuration: config) { /* Use application */}

Nächste Schritte

Unter Authentifizierungsendpunkte der nationalen Cloud finden Sie eine Liste der Azure-Portal-URLs und der Tokenendpunkte für jede Cloud.

Dokumentation zur nationalen Cloud: