Sichern von Java Spring Boot-Apps mit Gruppen und Gruppenansprüchen

In diesem Artikel wird eine Java Spring Boot-Web-App veranschaulicht, die die Microsoft Entra ID Spring Boot Starter-Clientbibliothek für Java für die Authentifizierung, Autorisierung und Tokenakquisition verwendet. Die App verwendet das OpenID-Verbinden-Protokoll zum Anmelden von Benutzern und schränkt den Zugriff auf Seiten basierend auf der Azure Active Directory-Sicherheitsgruppenmitgliedschaft ein.

Das folgende Diagramm zeigt die Topologie der App:

Die Client-App verwendet die Microsoft Entra ID Spring Boot Starter-Clientbibliothek für Java, um Benutzer in einem Microsoft Entra ID-Mandanten anzumelden und ein ID-Token von Microsoft Entra ID abzurufen.

Das ID-Token enthält den Gruppenanspruch. Die Anwendung lädt Ansprüche in die Spring-Liste GrantedAuthorities für den angemeldeten Benutzer. Diese Werte bestimmen, auf welche Seiten der Benutzer zugreifen darf.

Ein Video, das dieses Szenario abdeckt, finden Sie unter Implementieren der Autorisierung in Ihren Anwendungen mithilfe von App-Rollen, Sicherheitsgruppen, Bereichen und Verzeichnisrollen.

Voraussetzungen

• JDK, Version 15. Dieses Beispiel wurde auf einem System mit Java 15 entwickelt, kann aber mit anderen Versionen kompatibel sein.
• Maven 3
• Java Extension Pack für Visual Studio Code wird empfohlen, um dieses Beispiel in Visual Studio Code auszuführen.
• Microsoft Entra ID-Mandant. Weitere Informationen finden Sie unter Schnellstart: Einrichten eines Mandanten.
• Ein Benutzerkonto in Ihrem Microsoft Entra ID-Mandanten. Dieses Beispiel funktioniert nicht mit einem persönlichen Microsoft-Konto. Wenn Sie sich daher mit einem persönliches Konto bei der Azure-Portal angemeldet haben und kein Benutzerkonto in Ihrem Verzeichnis haben, müssen Sie jetzt ein Benutzerkonto erstellen.
• Zwei Sicherheitsgruppen, benannt AdminGroup und UserGroup, die den Benutzer oder benutzer enthalten, die Sie signieren und dieses Beispiel testen möchten. Alternativ können Sie den Benutzer zu zwei vorhandenen Sicherheitsgruppen in Ihrem Mandanten hinzufügen. Wenn Sie vorhandene Gruppen verwenden möchten, müssen Sie die Beispielkonfiguration so ändern, dass der Name und die Objekt-ID Ihrer vorhandenen Sicherheitsgruppen verwendet werden.
• Visual Studio Code
• Azure Tools für Visual Studio Code

Empfehlungen

• Vertrautheit mit dem Spring Framework
• Vertrautheit mit Linux/OSX-Terminal oder Windows PowerShell
• jwt.ms zum Überprüfen Ihrer Token.
• Fiddler zur Überwachung Ihrer Netzwerkaktivität und Problembehandlung.
• Folgen Sie dem Microsoft Entra ID-Blog , um mit den neuesten Entwicklungen auf dem neuesten Stand zu bleiben.

Einrichten des Beispiels

In den folgenden Abschnitten wird gezeigt, wie Sie die Beispielanwendung einrichten.

Klonen oder Herunterladen des Beispiel-Repositorys

Um das Beispiel zu klonen, öffnen Sie ein Bash-Fenster, und verwenden Sie den folgenden Befehl:

git clone https://github.com/Azure-Samples/ms-identity-java-spring-tutorial.git
cd ms-identity-java-spring-tutorial
cd 3-Authorization-II/groups

Alternativ können Sie zum Repository "ms-identity-java-spring-tutorial " navigieren und dann als .zip Datei herunterladen und auf Ihre Festplatte extrahieren.

Wichtig

Um Dateipfadlängenbeschränkungen für Windows zu vermeiden, klonen Oder extrahieren Sie das Repository in ein Verzeichnis in der Nähe des Stammverzeichnisses Ihrer Festplatte.

Registrieren der Beispielanwendung bei Ihrem Azure Active Directory-Mandanten

In diesem Beispiel gibt es ein Projekt. Um die App auf dem Azure-Portal zu registrieren, können Sie entweder manuelle Konfigurationsschritte ausführen oder ein PowerShell-Skript verwenden. Das Skript führt folgende Aufgaben aus:

• Erstellt die Microsoft Entra-ID-Anwendungen und verwandte Objekte, z. B. Kennwörter, Berechtigungen und Abhängigkeiten.
• Ändert die Projektkonfigurationsdateien.

Verwenden von PowerShell

Führen Sie die folgenden Schritte aus, um das PowerShell-Skript auszuführen:

1. Führen Sie unter Windows PowerShell als Administrator aus, und navigieren Sie zum Stammverzeichnis des geklonten Verzeichnisses.

2. Wenn Sie mit Azure AD PowerShell noch nicht fertig sind, lesen Sie die App-Erstellungsskripts im Quellrepository, um sicherzustellen, dass Ihre Umgebung ordnungsgemäß vorbereitet ist.

3. Verwenden Sie den folgenden Befehl, um die Ausführungsrichtlinie für PowerShell festzulegen:

   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process -Force
   

4. Verwenden Sie die folgenden Befehle, um das Konfigurationsskript auszuführen:

   cd .\AppCreationScripts\
   .\Configure.ps1
   

   Hinweis

   Weitere Methoden zum Ausführen der Skripts werden in App-Erstellungsskripts beschrieben. Die Skripts bieten auch einen Leitfaden zur automatisierten Anwendungsregistrierung, Konfiguration und Entfernung, die in Ihren CI/CD-Szenarien hilfreich sein kann.

Manuelle Schritte ausführen

In den folgenden Abschnitten wird gezeigt, wie Sie die App manuell registrieren.

Wählen Sie den Microsoft Entra ID-Mandanten aus, in dem Sie Ihre Anwendungen erstellen möchten.

Führen Sie die folgenden Schritte aus, um Ihren Mandanten auszuwählen:

1. Melden Sie sich beim Azure-Portal an.

2. Wenn Ihr Konto in mehr als einem Microsoft Entra ID-Mandanten vorhanden ist, wählen Sie Ihr Profil in der Ecke des Azure-Portal aus, und wählen Sie dann "Verzeichnis wechseln" aus, um Ihre Sitzung in den gewünschten Microsoft Entra ID-Mandanten zu ändern.

Registrieren der App (java-spring-webapp-groups)

Führen Sie die folgenden Schritte aus, um die App zu registrieren:

1. Navigieren Sie zum Azure-Portal, und wählen Sie Die Microsoft Entra-ID aus.

2. Wählen Sie im Navigationsbereich "App-Registrierungen" und dann "Neue Registrierung" aus.

3. Geben Sie auf der angezeigten Seite "Anwendung registrieren" die folgenden Anwendungsregistrierungsinformationen ein:

   • Geben Sie im Abschnitt "Name " einen aussagekräftigen Anwendungsnamen ein, der Benutzern der App angezeigt werden soll , java-spring-webapp-groupsz. B. .
   • Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis aus.
   • Wählen Sie im Abschnitt "Umleitungs-URI (optional)" im Kombinationsfeld "Web" aus, und geben Sie den folgenden Umleitungs-URI ein: http://localhost:8080/login/oauth2/code/

4. Wählen Sie Registrieren aus, um die Anwendung zu erstellen.

5. Suchen Und kopieren Sie auf der Registrierungsseite der App den Wert der Anwendungs-ID (Client-ID ), die Sie später verwenden möchten. Sie verwenden diesen Wert in der Konfigurationsdatei oder -dateien Ihrer App.

6. Wählen Sie auf der Registrierungsseite der App im Navigationsbereich zertifikate und geheime Schlüssel aus, um die Seite zu öffnen, auf der Sie Geheime Schlüssel generieren und Zertifikate hochladen können.

7. Wählen Sie im Abschnitt Geheime Clientschlüssel die Option Neuer geheimer Clientschlüssel aus.

8. Geben Sie eine Beschreibung ein, z. B. den geheimen App-Schlüssel.

9. Wählen Sie eine der verfügbaren Dauer aus: 6 Monate, 12 Monate oder Benutzerdefiniert.

10. Wählen Sie Hinzufügen aus. Der generierte Wert wird angezeigt.

11. Kopieren und speichern Sie den generierten Wert für die Verwendung in späteren Schritten. Sie benötigen diesen Wert für die Konfigurationsdateien Ihres Codes. Dieser Wert wird nicht mehr angezeigt, und Sie können ihn nicht auf andere Weise abrufen. Achten Sie daher darauf, sie aus dem Azure-Portal zu speichern, bevor Sie zu einem anderen Bildschirm oder Bereich navigieren.

12. Wählen Sie auf der Registrierungsseite der App API-Berechtigungen im Navigationsbereich aus, um die Seite zu öffnen, auf der Sie Zugriff auf die APIs hinzufügen können, die Ihre Anwendung benötigt.

13. Wählen Sie Berechtigung hinzufügen aus.

14. Stellen Sie sicher, dass die Registerkarte Microsoft-APIs ausgewählt ist.

15. Wählen Sie im Abschnitt Häufig verwendete Microsoft-APIs die Option Microsoft Graph aus.

16. Wählen Sie im Abschnitt "Delegierte Berechtigungen " in der Liste "GroupMember.Read.All" die Option "GroupMember.Read.All " aus. Verwenden Sie bei Bedarf das Suchfeld. Diese Berechtigung ist erforderlich, um Gruppenmitgliedschaften über Graph abzurufen, wenn das Überlastungsszenario auftritt.

17. Wählen Sie die Schaltfläche aus, um administratorzustimmen für GroupMember.Read.All.

18. Wählen Sie Zugriffsrechte hinzufügen.

Sicherheitsgruppen erstellen

Führen Sie die folgenden Schritte aus, um Sicherheitsgruppen zu erstellen:

1. Navigieren Sie zum Azure-Portal, und wählen Sie Die Microsoft Entra-ID aus.

2. Wählen Sie "Gruppen" im Navigationsbereich aus.

3. Wählen Sie im Bereich "Gruppen " die Option "Neue Gruppe" aus, und geben Sie dann die folgenden Informationen an:

   • Wählen Sie für "Gruppentyp" die Option "Sicherheit" aus.
   • Geben Sie für den Gruppennamen "AdminGroup" ein.
   • Geben Sie für die Gruppenbeschreibung die Sicherheitsgruppe "Administrator" ein.
   • Fügen Sie Gruppenbesitzer und Gruppenmitglieder hinzu, die Sie in diesem Beispiel verwenden und testen möchten.
   • Klicken Sie auf Erstellen.

4. Wählen Sie im Bereich "Gruppen " die Option "Neue Gruppe" aus, und geben Sie dann die folgenden Informationen an:

   • Wählen Sie für "Gruppentyp" die Option "Sicherheit" aus.
   • Geben Sie für den Gruppennamen "UserGroup" ein.
   • Geben Sie für die Gruppenbeschreibung die Benutzersicherheitsgruppe ein.
   • Fügen Sie Gruppenbesitzer und Gruppenmitglieder hinzu, die Sie in diesem Beispiel verwenden und testen möchten.
   • Klicken Sie auf Erstellen.

Weitere Informationen finden Sie unter Verwalten von Microsoft Entra-Gruppen und Gruppenmitgliedschaften.

Sicherheitsgruppen konfigurieren

Sie haben die folgenden Optionen, wie Sie Ihre Anwendung weiter konfigurieren können, um den Gruppenanspruch zu erhalten:

• Erhalten Sie alle Gruppen, denen der angemeldete Benutzer in einem Microsoft Entra ID-Mandanten zugewiesen ist, einschließlich geschachtelter Gruppen. Weitere Informationen finden Sie im Abschnitt "Konfigurieren Der Anwendung für den Empfang aller Gruppen, denen der angemeldete Benutzer zugewiesen ist, einschließlich geschachtelter Gruppen".

• Erhalten Sie die Gruppenanspruchswerte aus einer gefilterten Gruppe von Gruppen, mit denen Ihre Anwendung programmiert ist, damit sie funktioniert. Weitere Informationen finden Sie im Abschnitt "Konfigurieren Der Anwendung für den Empfang der Gruppenanspruchswerte aus einem gefilterten Satz von Gruppen, denen ein Benutzer möglicherweise zugewiesen ist". Diese Option ist in der Kostenlosen Version der Microsoft Entra ID nicht verfügbar.

Hinweis

Informationen zum Abrufen der lokalen Gruppe samAccountName oder On Premises Group Security Identifier anstelle der Gruppen-ID finden Sie im Abschnitt Voraussetzungen für die Verwendung von Gruppenattributen, die aus Active Directory synchronisiert werden, in "Konfigurieren von Gruppenansprüchen für Anwendungen mithilfe der Microsoft Entra-ID".

Konfigurieren Sie Ihre Anwendung so, dass alle Gruppen empfangen werden, denen der angemeldete Benutzer zugewiesen ist, einschließlich geschachtelter Gruppen

Führen Sie die folgenden Schritte aus, um die App zu konfigurieren:

1. Wählen Sie auf der Registrierungsseite der App im Navigationsbereich die Tokenkonfiguration aus, um die Seite zu öffnen, auf der Sie die für Ihre Anwendung ausgestellten Ansprüche konfigurieren können.

2. Wählen Sie "Gruppenanspruch hinzufügen" aus, um den Bildschirm "Gruppenanspruch bearbeiten" zu öffnen.

3. Wählen Sie "Sicherheitsgruppen" ODER "Alle Gruppen" aus (einschließlich Verteilerlisten, aber nicht gruppen, die der Anwendung zugewiesen sind). Durch Die Auswahl beider Optionen wird die Auswirkung der Option "Sicherheitsgruppen " aufgehoben.

4. Wählen Sie im Abschnitt "ID" die Option "Gruppen-ID" aus. Diese Auswahl bewirkt, dass die Microsoft Entra-ID die Objekt-ID der Gruppen sendet, denen der Benutzer in den Gruppenansprüchen des ID-Tokens zugewiesen ist, das Ihre App nach der Anmeldung eines Benutzers erhält.

Konfigurieren Sie Ihre Anwendung so, dass sie die Gruppenanspruchswerte aus einer gefilterten Gruppe von Gruppen empfängt, denen ein Benutzer möglicherweise zugewiesen ist.

Diese Option ist nützlich, wenn die folgenden Fälle zutreffen:

• Ihre Anwendung ist an einer ausgewählten Gruppe von Gruppen interessiert, denen ein Anmeldebenutzer möglicherweise zugewiesen wird.
• Ihre App ist nicht an jeder Sicherheitsgruppe interessiert, der dieser Benutzer im Mandanten zugewiesen ist.

Diese Option hilft Ihrer Anwendung, das Überlastungsproblem zu vermeiden.

Hinweis

Dieses Feature ist in der Kostenlosen Version der Microsoft Entra ID nicht verfügbar.

Geschachtelte Gruppenzuweisungen sind nicht verfügbar, wenn Sie diese Option verwenden.

Führen Sie die folgenden Schritte aus, um diese Option in Ihrer App zu aktivieren:

1. Wählen Sie auf der Registrierungsseite der App im Navigationsbereich die Tokenkonfiguration aus, um die Seite zu öffnen, auf der Sie die für Ihre Anwendung ausgestellten Ansprüche konfigurieren können.

2. Wählen Sie "Gruppenanspruch hinzufügen" aus, um den Bildschirm "Gruppenanspruch bearbeiten" zu öffnen.

3. Wählen Sie "Gruppen", die der Anwendung zugewiesen sind, und wählen Sie keine anderen Optionen aus. Wenn Sie weitere Optionen auswählen, z . B. Sicherheitsgruppen oder alle Gruppen (einschließlich Verteilerlisten, aber nicht gruppen, die der Anwendung zugewiesen sind), werden diese Optionen die Auswirkung der Gruppen, die der Anwendungsoption zugewiesen sind, abgesetzt.

4. Wählen Sie im Abschnitt "ID" die Option "Gruppen-ID" aus. Diese Auswahl bewirkt, dass die Microsoft Entra-ID die Objekt-ID der Gruppen sendet, denen der Benutzer in den Gruppenansprüchen des ID-Tokens zugewiesen ist, das Ihre App nach der Anmeldung eines Benutzers erhält.

5. Wenn Sie eine Web-API mit der Option "API verfügbar machen" verfügbar machen, können Sie auch die Option "Gruppen-ID " im Access-Abschnitt auswählen. Diese Auswahl bewirkt, dass die Microsoft Entra-ID die Objekt-ID der Gruppen sendet, denen der Benutzer in den Gruppenansprüchen des Zugriffstokens zugewiesen ist, das an die Clientanwendungen Ihrer API ausgegeben wird.

6. Wählen Sie auf der Registrierungsseite der App im Navigationsbereich die Option "Übersicht " aus, um den Anwendungsübersichtsbildschirm zu öffnen.

7. Wählen Sie den Link mit dem Namen Ihrer Anwendung in der verwalteten Anwendung im lokalen Verzeichnis aus. Dieser Feldtitel kann abgeschnitten werden , z. B. verwaltete Anwendung in .... Wenn Sie diesen Link auswählen, navigieren Sie zur Seite "Unternehmensanwendungsübersicht" , die dem Dienstprinzipal für Ihre Anwendung im Mandanten zugeordnet ist, in dem Sie ihn erstellt haben. Über die Schaltfläche „Zurück“ in Ihrem Browser können Sie wieder zur App-Registrierungsseite navigieren.

8. Wählen Sie im Navigationsbereich Benutzer und Gruppen aus, um die Seite zu öffnen, auf der Sie Ihrer Anwendung Benutzer und Gruppen zuweisen können.

9. Wählen Sie Benutzer hinzufügen.

10. Wählen Sie auf dem resultierenden Bildschirm "Benutzer und Gruppen " aus.

11. Wählen Sie die Gruppen aus, die Sie dieser Anwendung zuweisen möchten.

12. Wählen Sie "Auswählen " aus, um die Auswahl der Gruppen abzuschließen.

13. Wählen Sie " Zuweisen" aus, um den Gruppenzuweisungsprozess abzuschließen.

    Ihre Anwendung empfängt jetzt diese ausgewählten Gruppen in den Gruppenansprüchen, wenn ein Benutzer, der sich bei Ihrer App anmeldet, Mitglied einer oder mehrerer dieser zugewiesenen Gruppen ist.

14. Wählen Sie im Navigationsbereich Eigenschaften aus, um die Seite zu öffnen, auf der die grundlegenden Eigenschaften Ihrer Anwendung aufgelistet sind. Legen Sie die erforderliche Benutzerzuweisung fest? Kennzeichnung auf "Ja".

Wichtig

Wenn Sie die Benutzerzuweisung auf"Ja" festlegen, überprüft die Microsoft Entra-ID, dass nur Benutzer, die Ihrer Anwendung im Bereich "Benutzer und Gruppen" zugewiesen sind, sich bei Ihrer App anmelden können. Sie können Benutzer direkt zuweisen oder Sicherheitsgruppen zuweisen, zu der sie gehören.

Konfigurieren Des Codebeispiels für die Verwendung ihrer App-Registrierung und Sicherheitsgruppen (java-spring-webapp-groups)

Führen Sie die folgenden Schritte aus, um die App zu konfigurieren:

Hinweis

In den folgenden Schritten ClientID ist identisch mit Application ID oder AppId.

1. Öffnen Sie das Projekt in Ihrer IDE.

2. Öffnen Sie die Datei "src\Standard\resources\application.yml".

3. Suchen Sie den Platzhalter Enter_Your_Tenant_ID_Here , und ersetzen Sie den vorhandenen Wert durch Ihre Microsoft Entra-Mandanten-ID.

4. Suchen Sie den PlatzhalterEnter_Your_Client_ID_Here, und ersetzen Sie den vorhandenen Wert durch die Anwendungs-ID oder clientId die Aus java-spring-webapp-groups dem Azure-Portal kopierte App.

5. Suchen Sie den PlatzhalterEnter_Your_Client_Secret_Here, und ersetzen Sie den vorhandenen Wert durch den Wert, den Sie während der Erstellung java-spring-webapp-groups des kopierten Azure-Portal gespeichert haben.

6. Suchen Sie den Platzhalter Enter_Your_Admin_Group_ID_Here , und ersetzen Sie den vorhandenen Wert durch den objectId Wert Ihrer AdminGroup.

7. Suchen Sie den Platzhalter Enter_Your_User_Group_ID_Here , und ersetzen Sie den vorhandenen Wert durch den objectId Wert Ihrer UserGroup.

8. Öffnen Sie die Datei "src/Standard/java/com/microsoft/azuresamples/msal4j/msidentityspringbootwebapp/SampleController.java".

9. Suchen Sie den Platzhalter Enter_Your_Admin_Group_ID_Here , und ersetzen Sie den vorhandenen Wert durch den objectId Wert Ihrer AdminGroup.

10. Suchen Sie den Platzhalter Enter_Your_User_Group_ID_Here , und ersetzen Sie den vorhandenen Wert durch den objectId Wert Ihrer UserGroup.

Ausführen des Beispiels

Bereitstellen in Azure Spring Apps

In den folgenden Abschnitten wird gezeigt, wie Sie das Beispiel für Azure Spring Apps bereitstellen.

Voraussetzungen

• Wenn Sie eine Instanz des Azure Spring Apps Enterprise-Plans zum ersten Mal im Zielabonnement bereitstellen, finden Sie Informationen hierzu im Abschnitt Voraussetzungen des Enterprise-Plans in Azure Marketplace.

• Maven-Plug-In für Azure Spring Apps. Wenn Maven nicht Ihr bevorzugtes Entwicklungstool ist, lesen Sie die folgenden ähnlichen Lernprogramme, die andere Tools verwenden:

  • IntelliJ IDEA
  • Visual Studio Code

Vorbereiten des Frühlingsprojekts

Bereiten Sie das Projekt mit den folgenden Schritten vor:

1. Verwenden Sie den folgenden Maven-Befehl, um das Projekt zu erstellen:

   mvn clean package
   

2. Führen Sie das Beispielprojekt mit dem folgenden Befehl lokal aus:

   mvn spring-boot:run
   

Konfigurieren des Maven-Plug-Ins

Führen Sie den folgenden Befehl im Stammverzeichnis des Projekts aus, um die App mithilfe des Maven-Plug-Ins für Azure Spring Apps zu konfigurieren:

mvn com.microsoft.azure:azure-spring-apps-maven-plugin:1.19.0:config

In der folgenden Liste werden die Befehlsinteraktionen beschrieben:

• OAuth2-Anmeldung: Sie müssen die Anmeldung bei Azure basierend auf dem OAuth2-Protokoll autorisieren.
• Abonnement auswählen: Wählen Sie die Abonnementlistennummer aus, unter der Sie Ihre Azure Spring Apps-Instanz erstellen möchten, die standardmäßig auf das erste Abonnement in der Liste festgelegt ist. Wenn Sie die Standardnummer verwenden möchten, drücken Sie die EINGABETASTE.
• Geben Sie den Namen von Azure Spring Apps ein: Geben Sie den Namen für die Spring-Apps-Instanz ein, die Sie erstellen möchten. Wenn Sie den Standardnamen verwenden möchten, drücken Sie die EINGABETASTE.
• Geben Sie den Ressourcengruppennamen ein: Geben Sie den Namen für die Ressourcengruppe ein, in der Sie Ihre Feder-Apps-Instanz erstellen möchten. Wenn Sie den Standardnamen verwenden möchten, drücken Sie die EINGABETASTE.
• Skus: Wählen Sie die SKU aus, die Sie für Ihre Feder-Apps-Instanz verwenden möchten. Wenn Sie die Standardnummer verwenden möchten, drücken Sie die EINGABETASTE.
• App-Namen eingeben (Demo): Vergeben Sie einen Namen für die App. Wenn Sie die Standard-Projektartefakte-ID verwenden möchten, drücken Sie die EINGABETASTE.
• Laufzeiten: Wählen Sie die Laufzeit aus, die Sie für Ihre Feder-Apps-Instanz verwenden möchten. In diesem Fall sollten Sie die Standardnummer verwenden, also drücken Sie die EINGABETASTE.
• Öffentlichen Zugriff für diese App verfügbar machen (boot-for-azure): Drücken Sie y (j).
• Bestätigen, dass alle oben genannten Konfigurationen gespeichert werden sollen: Drücken Sie y. Wenn Sie n drücken, wird die Konfiguration nicht in der POM-Datei gespeichert.

Das folgende Beispiel zeigt die Ausgabe des Bereitstellungsprozesses:

Summary of properties:
Subscription id   : 12345678-1234-1234-1234-123456789101
Resource group name : rg-ms-identity-spring-boot-webapp
Azure Spring Apps name : cluster-ms-identity-spring-boot-webapp
Runtime Java version : Java 11
Region            : eastus
Sku               : Standard
App name          : ms-identity-spring-boot-webapp
Public access     : true
Instance count/max replicas : 1
CPU count         : 1
Memory size(GB)   : 2
Confirm to save all the above configurations (Y/n):
[INFO] Configurations are saved to: /home/user/ms-identity-java-spring-tutorial/1-Authentication/sign-in/pom.    xml
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  01:57 min
[INFO] Finished at: 2024-02-14T13:50:44Z
[INFO] ------------------------------------------------------------------------

Nachdem Sie Ihre Auswahl bestätigt haben, fügt das Plug-In das erforderliche Plug-In-Element und die Einstellungen zur pom.xml Datei Ihres Projekts hinzu, um Ihre App für die Ausführung in Azure Spring Apps zu konfigurieren.

Der relevante Teil der pom.xml Datei sollte dem folgenden Beispiel ähneln:

<plugin>
    <groupId>com.microsoft.azure</groupId>
    <artifactId>azure-spring-apps-maven-plugin</artifactId>
    <version>1.19.0</version>
    <configuration>
        <subscriptionId>12345678-1234-1234-1234-123456789101</subscriptionId>
        <resourceGroup>rg-ms-identity-spring-boot-webapp</resourceGroup>
        <clusterName>cluster-ms-identity-spring-boot-webapp</clusterName>
        <region>eastus</region>
        <sku>Standard</sku>
        <appName>ms-identity-spring-boot-webapp</appName>
        <isPublic>true</isPublic>
        <deployment>
            <cpu>1</cpu>
            <memoryInGB>2</memoryInGB>
            <instanceCount>1</instanceCount>
            <runtimeVersion>Java 11</runtimeVersion>
            <resources>
                <resource>
                    <directory>${project.basedir}/target</directory>
                    <includes>
                        <include>*.jar</include>
                    </includes>
                </resource>
            </resources>
        </deployment>
    </configuration>
</plugin>

Sie können die Konfigurationen für Azure Spring Apps direkt in Ihrer pom.xml Datei ändern. Einige gängige Konfigurationen sind in der folgenden Tabelle aufgeführt:

Eigenschaft	Erforderlich	Beschreibung
subscriptionId	false	Die Abonnement-ID.
resourceGroup	true	Die Azure-Ressourcengruppe für Ihre Azure Spring Apps-Instanz.
clusterName	true	Der Name des Azure Spring Apps-Clusters. Wenn Sie ein Abonnement und eine Ressourcengruppe verwenden, für die bereits eine Azure Spring Apps-Instanz bereitgestellt wurde, können Sie diesen vorhandenen Cluster auch für die Bereitstellung verwenden.
appName	true	Der Name Ihrer App in Azure Spring Apps.
region	false	Die Region, in der Ihre Azure Spring Apps-Instanz gehostet werden soll. Der Standardwert ist eastus. Gültige Regionen finden Sie unter "Unterstützte Regionen".
sku	false	Das Preisniveau für Ihre Azure Spring Apps-Instanz. Der Standardwert ist Basic, der nur für Entwicklungs- und Testumgebungen geeignet ist.
runtime	false	Die Laufzeitumgebungskonfiguration. Weitere Informationen finden Sie unter Konfigurationsdetails.
deployment	false	Die Bereitstellungskonfiguration. Weitere Informationen finden Sie unter Konfigurationsdetails.

Eine vollständige Liste der Konfigurationen finden Sie in der Dokumentation zur Plug-In-Referenz. Alle Azure Maven-Plug-Ins teilen einen gemeinsamen Satz von Konfigurationen. Informationen zu diesen Konfigurationen finden Sie unter "Allgemeine Konfigurationen". Konfigurationen speziell für Azure Spring Apps finden Sie unter Azure Spring Apps: Konfigurationsdetails.

Achten Sie darauf, die Werte für appName die clusterName spätere Verwendung beiseite zu speichern.

Vorbereiten der App für die Bereitstellung

Wenn Sie Ihre Anwendung in Azure Spring Apps bereitstellen, ändert sich Ihre Umleitungs-URL in der Umleitungs-URL Ihrer bereitgestellten App-Instanz in Azure Spring Apps. Führen Sie die folgenden Schritte aus, um diese Einstellungen in Ihrer application.yml Datei zu ändern:

1. Navigieren Sie zur Datei "src\Standard\resources\application.yml", und ändern Sie den Wert der post-logout-redirect-uri bereitgestellten App Standard Name, wie im folgenden Beispiel gezeigt. Wenn Sie sich z. B. im vorherigen Schritt und ms-identity-spring-boot-webapp für den App-Namen für Ihre Azure Spring Apps-Instanz entschieden cluster-ms-identity-spring-boot-webapp haben, müssen Sie jetzt den post-logout-redirect-uri Wert verwendenhttps://cluster-ms-identity-spring-boot-webapp-ms-identity-spring-boot-webapp.azuremicroservices.io.

   post-logout-redirect-uri: https://<cluster-name>-<app-name>.azuremicroservices.io
   

2. Verwenden Sie nach dem Speichern dieser Datei den folgenden Befehl, um Ihre App neu zu erstellen:

   mvn clean package
   

Wichtig

Die application.yml Datei der Anwendung enthält derzeit den Wert Ihres geheimen Clientschlüssels im client-secret Parameter. Es empfiehlt sich nicht, diesen Wert in dieser Datei beizubehalten. Sie können auch ein Risiko eingehen, wenn Sie es auf ein Git-Repository übernehmen.

Als zusätzlicher Sicherheitsschritt können Sie diesen Wert in Azure Key Vault speichern und den geheimen Schlüssel aus Key Vault laden, um ihn in Ihrer Anwendung verfügbar zu machen.

Aktualisieren Ihrer Microsoft Entra ID-App-Registrierung

Da sich der Umleitungs-URI in Ihrer bereitgestellten App in Azure Spring Apps ändert, müssen Sie auch den Umleitungs-URI in Ihrer Microsoft Entra ID-App-Registrierung ändern. Durchlaufen Sie folgende Schritte, um diese Änderung wirksam zu machen:

1. Navigieren Sie zur Seite App-Registrierungen von Microsoft Identity Platform für Entwickler.

2. Verwenden Sie das Suchfeld, um nach Ihrer App-Registrierung zu suchen , java-servlet-webapp-authenticationz. B. .

3. Öffnen Sie die App-Registrierung, indem Sie den Namen auswählen.

4. Wählen Sie im oberen Menü Authentifizierung aus.

5. Wählen Sie im Abschnitt "Webumleitungs-URIs - " die Option "URI hinzufügen" aus.

6. Füllen Sie den URI Ihrer App aus, https://<cluster-name>-<app-name>.azuremicroservices.io/login/oauth2/code/z. B. anfügen /login/oauth2/code/ .

7. Wählen Sie Speichern.

Bereitstellen der App

Verwenden Sie den folgenden Befehl, um die App bereitzustellen:

mvn azure-spring-apps:deploy

In der folgenden Liste wird die Befehlsinteraktion beschrieben:

• OAuth2-Anmeldung: Sie müssen die Anmeldung bei Azure basierend auf dem OAuth2-Protokoll autorisieren.

Nachdem der Befehl ausgeführt wurde, ersehen Sie aus der folgenden Protokollbenachrichtigung, dass die Bereitstellung erfolgreich war:

[INFO] Deployment(default) is successfully created
[INFO] Starting Spring App after deploying artifacts...
[INFO] Deployment Status: Running
[INFO]   InstanceName:demo-default-x-xxxxxxxxxx-xxxxx  Status:Running Reason:null       DiscoverStatus:UNREGISTERED
[INFO]   InstanceName:demo-default-x-xxxxxxxxx-xxxxx  Status:Terminating Reason:null       DiscoverStatus:UNREGISTERED
[INFO] Getting public url of app(demo)...
[INFO] Application url: https://<your-Azure-Spring-Apps-instance-name>-demo.azuremicroservices.io

Überprüfen der App

Nachdem die Bereitstellung abgeschlossen ist, greifen Sie auf die Anwendung mit der Ausgabeanwendungs-URL zu. Verwenden Sie die folgenden Schritte, um die Protokolle der App zu überprüfen, um Bereitstellungsprobleme zu untersuchen:

1. Greifen Sie auf die Ausgabeanwendungs-URL auf der Seite "Ausgaben" des Bereitstellungsbereichs zu.

2. Wählen Sie im Navigationsbereich der Übersichtsseite der Azure Spring Apps-Instanz Protokolle aus, um die Protokolle der App zu überprüfen.

Lokal ausführen

Führen Sie die folgenden Schritte aus, um das Beispiel lokal auszuführen:

1. Öffnen Sie ein Bash-Fenster oder das integrierte Visual Studio Code-Terminal.

2. Verwenden Sie im Stammverzeichnis des App-Projekts den folgenden Befehl:

   mvn clean compile spring-boot:run
   

3. Navigieren Sie in Ihrem Browser zu http://localhost:8080. Sie sollten einen Bildschirm mit dem Text You're signed in! und den Schaltflächen mit den folgenden Bezeichnungen sehen: ID Token Details, , Admins Onlyund Regular Users.

Untersuchen des Beispiels

Führen Sie die folgenden Schritte aus, um das Beispiel zu erkunden:

1. Beachten Sie den angemeldeten oder abgemeldeten Status, der in der Mitte des Bildschirms angezeigt wird.
2. Wählen Sie in der Ecke die Schaltfläche "Kontextsensitiv" aus. Diese Schaltfläche liest die Anmeldung , wenn Sie die App zum ersten Mal ausführen. Alternativ können Sie Tokendetails, nur Administratoren oder normale Benutzer auswählen. Da diese Seiten geschützt sind und eine Authentifizierung erfordern, werden Sie automatisch zur Anmeldeseite umgeleitet.
3. Folgen Sie auf der nächsten Seite den Anweisungen, und melden Sie sich mit einem Konto im Microsoft Entra ID-Mandanten an.
4. Beachten Sie auf dem Zustimmungsbildschirm die bereiche, die angefordert werden.
5. Nach erfolgreichem Abschluss des Anmeldeflusses sollten Sie auf die Startseite umgeleitet werden, die den Anmeldestatus anzeigt, oder auf einer der anderen Seiten, je nachdem, welche Schaltfläche ihren Anmeldefluss ausgelöst hat.
6. Beachten Sie, dass die Kontextsensitive Schaltfläche jetzt "Abmelden" anzeigt und Ihren Benutzernamen anzeigt.
7. Wenn Sie sich auf der Startseite befinden, wählen Sie ID-Tokendetails aus, um einige decodierte Ansprüche des ID-Tokens anzuzeigen, einschließlich Gruppen.
8. Wählen Sie " Nur Administratoren" aus, um die Ansicht anzuzeigen /admin_only. Nur Benutzer, die zur AdminGroup Sicherheitsgruppe gehören, können diese Seite anzeigen. Andernfalls wird eine Meldung zu Autorisierungsfehlern angezeigt.
9. Wählen Sie "Reguläre Benutzer " aus, um die /regular_user Seite anzuzeigen. Nur Benutzer, die zur UserGroup Sicherheitsgruppe gehören, können diese Seite anzeigen. Andernfalls wird eine Meldung zu Autorisierungsfehlern angezeigt.
10. Verwenden Sie die Schaltfläche in der Ecke, um sich abzumelden. Die Statusseite gibt den neuen Zustand wieder.

Informationen zum Code

In diesem Beispiel wird veranschaulicht, wie Sie die Microsoft Entra ID Spring Boot Starter-Clientbibliothek für Java verwenden, um Benutzer bei Ihrem Microsoft Entra ID-Mandanten anzumelden. Das Beispiel verwendet auch die Spring Oauth2-Client- und Spring-Webstartstarter. Im Beispiel werden Ansprüche aus dem von Microsoft Entra-ID abgerufenen ID-Token verwendet, um die Details des angemeldeten Benutzers anzuzeigen und den Zugriff auf einige Seiten mithilfe des Gruppenanspruchs für die Autorisierung einzuschränken.

Contents

Die folgende Tabelle zeigt den Inhalt des Beispielprojektordners:

Datei/Ordner	Beschreibung
AppCreationScripts/	Skripts zum automatischen Konfigurieren von Microsoft Entra ID-App-Registrierungen.
pom.xml	Anwendungsabhängigkeiten.
src/Standard/resources/templates/	Thymeleaf-Vorlagen für die Benutzeroberfläche.
src/Standard/resources/application.yml	Anwendungs- und Microsoft Entra ID Boot Starter Library Configuration.
src/Standard/java/com/microsoft/azuresamples/msal4j/msidentityspringbootwebapp/	Dieses Verzeichnis enthält die Standard Anwendungseinstiegspunkt, Controller und Konfigurationsklassen.
.../MsIdentitySpringBootWebappApplication.java	Hauptklasse.
.../SampleController.java	Controller mit Endpunktzuordnungen.
.../SecurityConfig.java	Sicherheitskonfiguration – z. B. welche Routen eine Authentifizierung erfordern.
.../Utilities.java	Hilfsklasse – z. B. Filter-ID-Tokenansprüche.
CHANGELOG.md	Liste der Änderungen am Beispiel.
CONTRIBUTING.md	Richtlinien für einen Beitrag zur Stichprobe.
LIZENZ	Die Lizenz für das Beispiel.

ID-Tokenansprüche

Um Tokendetails zu extrahieren, verwendet die App Spring Security AuthenticationPrincipal und OidcUser -Objekt in einer Anforderungszuordnung, wie im folgenden Beispiel gezeigt. Ausführliche Informationen dazu, wie diese App ID-Tokenansprüche verwendet, finden Sie im Beispielcontroller .

import org.springframework.security.oauth2.core.oidc.user.OidcUser;
import org.springframework.security.core.annotation.AuthenticationPrincipal;
//...
@GetMapping(path = "/some_path")
public String tokenDetails(@AuthenticationPrincipal OidcUser principal) {
    Map<String, Object> claims = principal.getIdToken().getClaims();
}

Verarbeiten eines Gruppenanspruchs im ID-Token

Der Gruppenanspruch des Tokens enthält die Namen der Gruppen, denen der angemeldete Benutzer zugewiesen ist, wie im folgenden Beispiel gezeigt:

{
  ...
  "groups": [
    "xyz-id-xyz",
    "xyz-id-xyz",]
  ...
}

Eine gängige Möglichkeit für den Zugriff auf die Gruppennamen ist im Abschnitt mit ID-Tokenansprüchen dokumentiert.

Microsoft Entra ID Boot Starter v3.5 und höher analysiert den Gruppenanspruch automatisch und fügt jede Gruppe dem angemeldeten Benutzer Authoritieshinzu. Mit dieser Konfiguration können Entwickler Gruppen mit Springbedingungsanmerkungen PrePost mithilfe der hasAuthority Methode verwenden. Beispielsweise finden Sie die folgenden @PreAuthorize Bedingungen in SampleController.java:

@GetMapping(path = "/admin_only")
@PreAuthorize("hasAuthority('enter-admin-group-id-here')")
public String adminOnly(Model model) {
    // restrict to users who belong to AdminGroup
}
@GetMapping(path = "/regular_user")
@PreAuthorize("hasAnyAuthority('enter-user-group-id-here','enter-admin-group-id-here')")
public String regularUser(Model model) {
    // restrict to users who belong to any of UserGroup or AdminGroup
}

Der folgende Code ruft eine vollständige Liste der Behörden für einen bestimmten Benutzer ab:

@GetMapping(path = "/some_path")
public String tokenDetails(@AuthenticationPrincipal OidcUser principal) {
   Collection<? extends GrantedAuthority> authorities = principal.getAuthorities();
}

Anmelde- und Abmeldelinks

Für die Anmeldung sendet die App eine Anforderung an den Azure Active Directory-Anmeldeendpunkt, der automatisch von der Microsoft Entra ID Spring Boot Starter-Clientbibliothek für Java konfiguriert wird, wie im folgenden Beispiel gezeigt:

<a class="btn btn-success" href="/oauth2/authorization/azure">Sign In</a>

Für die Abmeldung sendet die App eine POST-Anforderung an den logout Endpunkt, wie im folgenden Beispiel gezeigt:

<form action="#" th:action="@{/logout}" method="post">
  <input class="btn btn-warning" type="submit" value="Sign Out" />
</form>

Authentifizierungsabhängige UI-Elemente

Die App verfügt über eine einfache Logik auf den Benutzeroberflächenvorlagenseiten, um basierend darauf zu bestimmen, ob der Benutzer authentifiziert wird, wie im folgenden Beispiel unter Verwendung von Spring Security Thymeleaf-Tags gezeigt:

<div sec:authorize="isAuthenticated()">
  this content only shows to authenticated users
</div>
<div sec:authorize="isAnonymous()">
  this content only shows to not-authenticated users
</div>

Schützen von Routen mit AADWebSecurityConfigurerAdapter

Standardmäßig schützt die App die Seiten "ID-Tokendetails", "Nur Administratoren" und "Reguläre Benutzer ", sodass nur angemeldete Benutzer darauf zugreifen können. Die App konfiguriert diese Routen mithilfe der Eigenschaft aus der app.protect.authenticateddatei application.yml . Um die spezifischen Anforderungen Ihrer App zu konfigurieren, können Sie in einem Ihrer Klassen erweitern AADWebSecurityConfigurationAdapter . Ein Beispiel finden Sie in der SecurityConfig-Klasse dieser App, die im folgenden Code gezeigt wird:

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends AADWebSecurityConfigurerAdapter{
  @Value( "${app.protect.authenticated}" )
  private String[] protectedRoutes;

    @Override
    public void configure(HttpSecurity http) throws Exception {
    // use required configuration form AADWebSecurityAdapter.configure:
    super.configure(http);
    // add custom configuration:
    http.authorizeRequests()
      .antMatchers(protectedRoutes).authenticated()     // limit these pages to authenticated users (default: /token_details, /admin_only, /regular_user)
      .antMatchers("/**").permitAll();                  // allow all other routes.
    }
}

Überlastungsanspruch der Gruppen

Um sicherzustellen, dass die Tokengröße die Grenzwerte für HTTP-Header nicht überschreitet, beschränkt die Microsoft Identity Platform die Anzahl der Objekt-IDs, die sie in den Gruppenanspruch einschließt.

Der Grenzwert für Überschreitungen beträgt 150 für SAML-Token, 200 für JWT-Token, 6 für Einzelseitenanwendungen. Wenn ein Benutzer Mitglied von mehr Gruppen ist als die Überlastungsgrenze, gibt die Microsoft Identity Platform die Gruppen-IDs in den Gruppenansprüchen im Token nicht aus. Stattdessen enthält es einen Überlastungsanspruch im Token, der angibt, dass die Anwendung die Microsoft Graph-API abfragt, um die Gruppenmitgliedschaft des Benutzers abzurufen.

Microsoft Entra ID Boot Starter v3.5 und höher analysiert den Gruppenanspruch automatisch und fügt jede Gruppe dem angemeldeten Benutzer Authoritieshinzu. Der Start behandelt automatisch das Überlastungsszenario für Gruppen.

Hinweis

Wir empfehlen Ihnen dringend, die Gruppenfilterfunktion zu verwenden, wenn möglich, um Gruppenübergänge zu vermeiden. Weitere Informationen finden Sie im Abschnitt "Konfigurieren Der Anwendung für den Empfang der Gruppenanspruchswerte aus einem gefilterten Satz von Gruppen, denen ein Benutzer möglicherweise zugewiesen ist".

Erstellen des Überlastungsszenarios für Tests

Sie können die im Ordner "AppCreationScripts.ps1" bereitgestellte Datei "BulkCreateGroups.ps1" verwenden, um eine große Anzahl von Gruppen zu erstellen und ihnen Benutzer zuzuweisen. Diese Datei hilft beim Testen von Überlastungsszenarien während der Entwicklung. Denken Sie daran, die im Skript "BulkCreateGroups.ps1" bereitgestellten objectIdBenutzer zu ändern.

Für die Behandlung von Überlastungen ist ein Aufruf von Microsoft Graph erforderlich, um die Gruppenmitgliedschaften des angemeldeten Benutzers zu lesen. Daher muss Ihre App über die Berechtigungen "User.Read " und "GroupMember.Read.All " für die getMemberGroups-Funktion verfügen, die erfolgreich ausgeführt werden kann.

Wichtig

Stellen Sie für das Überlastungsszenario sicher, dass Sie den Umfang der Microsoft Graph-API GroupMember.Read.All sowohl für client- als auch für Dienst-Apps erteilt Admin Consent haben. Weitere Informationen finden Sie in den Schritten zur App-Registrierung weiter oben in diesem Artikel.

Aktualisieren der Microsoft Entra ID-App-Registrierung (java-spring-webapp-groups)

Führen Sie die folgenden Schritte aus, um die App-Registrierung zu aktualisieren:

1. Navigieren Sie zurück zum Azure-Portal.

2. Wählen Sie im Navigationsbereich Azure Active Directory und dann App-Registrierungen (Vorschau) aus.

3. Wählen Sie auf dem resultierenden Bildschirm die java-spring-webapp-groups Anwendung aus.

4. Wählen Sie auf der Registrierungsseite der App im Menü die Option "Authentifizierung " aus.

5. Aktualisieren Sie im Abschnitt "Umleitungs-URIs " die Antwort-URLs so, dass sie mit der Website-URL Ihrer Azure-Bereitstellung übereinstimmen , https://java-spring-webapp-groups.azurewebsites.net/login/oauth2/code/z. B. .

Wichtig

Wenn Ihre App einen speicherinternen Speicher verwendet, werden Azure-App Dienste ihre Website herunterdrehen, wenn sie inaktiv ist, und alle Datensätze, die Ihre App beibehalten hat, geleert. Wenn Sie auch die Instanzenanzahl Ihrer Website erhöhen, werden Anforderungen zwischen den Instanzen verteilt. Daher sind Ihre App-Datensätze nicht in jeder Instanz identisch.

Weitere Informationen

• Microsoft Identity Platform (Azure Active Directory für Entwickler)
• Übersicht über die Microsoft-Authentifizierungsbibliothek (MSAL)
• Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform
• Schnellstart: Konfigurieren einer Clientanwendung für den Zugriff auf Web-APIs
• Grundlegendes zur Zustimmung der Microsoft Entra-ID-Anwendung
• Grundlegendes zur Benutzer- und Administratoreinwilligung
• Anwendungs- und Dienstprinzipalobjekte in Azure Active Directory
• Nationale Clouds
• MSAL-Codebeispiele

Weitere Informationen zur Funktionsweise von OAuth 2.0-Protokollen in diesem Szenario und anderen Szenarien finden Sie unter Authentifizierungsszenarien für Microsoft Entra ID.