Uso de MSAL en un entorno de nube nacional

Las nubes nacionales, también conocidas como nubes soberanas, son instancias físicamente aisladas de Azure. Estas regiones de Azure ayudan a asegurarse de que se cumplan los requisitos de residencia, soberanía y cumplimiento normativo de los datos dentro de fronteras geográficas.

Además de la nube mundial de Microsoft, la biblioteca de autenticación de Microsoft (MSAL) permite a los desarrolladores de aplicaciones en nubes nacionales adquirir tokens con el fin de autenticar e invocar API de web protegidas. Estas API web pueden Microsoft Graph u otras API de Microsoft.

Incluyendo la nube global Azure, Microsoft Entra ID está implementado en las siguientes nubes nacionales:

• Azure Government
• Microsoft Azure operado por 21Vianet
• Azure Alemania (cierre el 29 de octubre de 2021)

En esta guía se muestra cómo iniciar sesión en cuentas profesionales y educativas, obtener un token de acceso y llamar a la API de Microsoft Graph en el entorno de la nube de Azure Government.

Azure Alemania (Microsoft Cloud Deutschland)

Advertencia

Azure Alemania (Microsoft Cloud Deutschland) se cerrará el 29 de octubre de 2021. Los servicios y las aplicaciones que decida no migrar a una región de Azure global antes de esa fecha serán inaccesibles.

Si no ha migrado su aplicación desde Azure Alemania, siga la información de Microsoft Entra para la migración desde Azure Alemania para empezar.

Requisitos previos

Antes de empezar, asegúrese de que cumpla estos requisitos previos.

Elección de las identidades adecuadas

Las aplicaciones de Azure Government pueden usar identidades de Microsoft Entra Government e identidades pública de Microsoft Entra para autenticar a los usuarios. Dado que puede usar cualquiera de estas identidades, decida qué punto de conexión de autoridad debe elegir para su escenario:

• Microsoft Entra público: Se suele usar si la organización ya tiene un inquilino público de Microsoft Entra para admitir Microsoft 365 (público o GCC) u otra aplicación.
• Microsoft Entra Government: Se suele usar si la organización ya tiene un inquilino de Microsoft Entra Government para admitir Office 365 (GCC High o DoD) o está creando un nuevo inquilino en Microsoft Entra Government.

Una vez decidido, debe tener en cuenta también dónde se realiza el registro de la aplicación. Si elige identidades de Microsoft Entra público para la aplicación de Azure Government, debe registrar la aplicación en el inquilino de Microsoft Entra público.

Obtener una suscripción a Azure Government

Para obtener una suscripción a Azure Government, consulte Administración y conexión a su suscripción en Azure Government.

Si no tiene una suscripción a Azure Government, cree una cuenta gratuita antes de comenzar.

Para obtener más información sobre el uso de una nube nacional con un lenguaje de programación determinado, elija la pestaña que coincida con su lenguaje:

.NET

Puede usar MSAL.NET para iniciar la sesión de los usuarios, adquirir tokens y llamar a la API de Microsoft Graph en nubes nacionales.

En los siguientes tutoriales se muestra cómo compilar una aplicación web de ASP.NET Core. La aplicación usa OpenID Connect para iniciar la sesión de los usuarios con una cuenta profesional y educativa en una organización que pertenece a una nube nacional.

• Para iniciar seguir de usuarios y adquirir tokens, siga este tutorial: Creación de una aplicación web de ASP.NET Core que permita iniciar la sesión de usuarios en nubes soberanas con la Plataforma de identidad de Microsoft.
• Para llamar a la API de Microsoft Graph, siga este tutorial: Uso de la Plataforma de identidad de Microsoft para llamar a Microsoft Graph API desde una aplicación web ASP.NET Core en nombre de un usuario que inicia sesión con su cuenta profesional y educativa en Microsoft National Cloud.

JavaScript

Para habilitar la aplicación MSAL.js para nubes soberanas:

• Registre la aplicación en un portal específico, en función de la nube. Para más información sobre cómo elegir el portal, consulte Puntos de conexión de registro de aplicaciones.
• Use cualquiera de las muestras del repositorio con algunos cambios en la configuración, en función de la nube, que se menciona a continuación.
• Use una autoridad específica, en función de la nube en la que haya registrado la aplicación. Para obtener más información sobre las autoridades de distintas nubes, consulte Puntos de conexión de Autenticación de Microsoft Entra.
• La llamada a Microsoft Graph API requiere una dirección URL de punto de conexión específica de la nube que se está usando. Para buscar los puntos de conexión de Microsoft Graph de todas las nubes nacionales, consulte Puntos de conexión de raíz de servicio de Microsoft Graph y Graph Explorer.

Este es un ejemplo de autoridad:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

A continuación, se muestra un ejemplo de un punto de conexión de Microsoft Graph con el ámbito:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Este es el mínimo de código para autenticar a un usuario con una nube soberana y llamar a Microsoft Graph:

const msalConfig = {
    auth: {
        clientId: "Enter_the_Application_Id_Here",
        authority: "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here",
        redirectUri: "/",
    }
};

// Initialize MSAL
const msalObj = new PublicClientApplication(msalConfig);

// Get token using popup experience
try {
    const graphToken = await msalObj.acquireTokenPopup({
        scopes: ["User.Read"]
    });
} catch(error) {
    console.log(error)
}

// Call the Graph API
const headers = new Headers();
const bearer = `Bearer ${graphToken}`;

headers.append("Authorization", bearer);

fetch("https://graph.microsoft.us/v1.0/me", {
    method: "GET",
    headers: headers
})

Python

Para habilitar la aplicación MSAL para Python para nubes soberanas:

• Registre la aplicación en un portal específico, en función de la nube. Para más información sobre cómo elegir el portal, consulte Puntos de conexión de registro de aplicaciones.

• Use cualquiera de las muestras del repositorio con algunos cambios en la configuración, en función de la nube, que se menciona a continuación.

• Use una autoridad específica, en función de la nube en la que haya registrado la aplicación. Para obtener más información sobre las autoridades de distintas nubes, consulte Puntos de conexión de Autenticación de Microsoft Entra.

  Este es un ejemplo de autoridad:

  "authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"
  

• La llamada a Microsoft Graph API requiere una dirección URL de punto de conexión específica de la nube que se está usando. Para buscar los puntos de conexión de Microsoft Graph de todas las nubes nacionales, consulte Puntos de conexión de raíz de servicio de Microsoft Graph y Graph Explorer.

  A continuación, se muestra un ejemplo de un punto de conexión de Microsoft Graph con el ámbito:

  "endpoint" : "https://graph.microsoft.us/v1.0/me"
  "scope": "User.Read"
  

Java

Para habilitar la aplicación MSAL para Java para nubes soberanas:

• Registre la aplicación en un portal específico, en función de la nube. Para más información sobre cómo elegir el portal, consulte Puntos de conexión de registro de aplicaciones.
• Use cualquiera de las muestras del repositorio con algunos cambios en la configuración, en función de la nube, que se menciona a continuación.
• Use una autoridad específica, en función de la nube en la que haya registrado la aplicación. Para obtener más información sobre las autoridades de distintas nubes, consulte Puntos de conexión de Autenticación de Microsoft Entra.

Este es un ejemplo de autoridad:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

• La llamada a Microsoft Graph API requiere una dirección URL de punto de conexión específica de la nube que se está usando. Para buscar los puntos de conexión de Microsoft Graph de todas las nubes nacionales, consulte Puntos de conexión de raíz de servicio de Microsoft Graph y Graph Explorer.

A continuación se muestra un ejemplo de un punto de conexión de Graph con el ámbito:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Objective-C

MSAL para iOS y macOS se puede usar para adquirir tokens en nubes nacionales, pero se requiere una configuración adicional al crear MSALPublicClientApplication.

Por ejemplo, si quiere que la aplicación sea una aplicación de varios inquilinos en una nube nacional (en la Administración Pública de Estados Unidos), podría escribir lo siguiente:

MSALAADAuthority *aadAuthority =
                [[MSALAADAuthority alloc] initWithCloudInstance:MSALAzureUsGovernmentCloudInstance
                                                   audienceType:MSALAzureADMultipleOrgsAudience
                                                      rawTenant:nil
                                                          error:nil];

MSALPublicClientApplicationConfig *config =
                [[MSALPublicClientApplicationConfig alloc] initWithClientId:@"<your-client-id-here>"
                                                                redirectUri:@"<your-redirect-uri-here>"
                                                                  authority:aadAuthority];

NSError *applicationError = nil;
MSALPublicClientApplication *application =
                [[MSALPublicClientApplication alloc] initWithConfiguration:config error:&applicationError];

Swift

MSAL para iOS y macOS se puede usar para adquirir tokens en nubes nacionales, pero se requiere una configuración adicional al crear MSALPublicClientApplication.

Por ejemplo, si quiere que la aplicación sea una aplicación de varios inquilinos en una nube nacional (en la Administración Pública de Estados Unidos), podría escribir lo siguiente:

let authority = try? MSALAADAuthority(cloudInstance: .usGovernmentCloudInstance, audienceType: .azureADMultipleOrgsAudience, rawTenant: nil)

let config = MSALPublicClientApplicationConfig(clientId: "<your-client-id-here>", redirectUri: "<your-redirect-uri-here>", authority: authority)
if let application = try? MSALPublicClientApplication(configuration: config) { /* Use application */}

Pasos siguientes

Consulte Puntos de conexión de autenticación de nubes nacionales para ver una lista de las direcciones URL de Azure Portal y los puntos de conexión de token para cada nube.

Documentación de la nube nacional:

• Azure Government
• Microsoft Azure operado por 21Vianet
• Azure Alemania (se cierra el 29 de octubre de 2021)