Compartir vía


Inicio de sesión de usuarios y llamada a una API en una aplicación móvil Android de ejemplo mediante la autenticación nativa

En este artículo se muestra cómo configurar una aplicación móvil Android de ejemplo para llamar a una API web de ASP.NET Core.

Requisitos previos

Registro de una aplicación de API web

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Desarrollador de aplicaciones.

  2. Si tienes acceso a varios inquilinos, usa el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.

  3. Ve aIdentidad>Aplicaciones>Registros de aplicaciones.

  4. Selecciona + Nuevo registro.

  5. En la página Registrar una aplicación que aparece, escriba la información de registro de la aplicación:

    1. En la sección Nombre, escriba un nombre significativo para la aplicación, que se mostrará a los usuarios de la aplicación, por ejemplo, ciam-ToDoList-api.

    2. En Tipos de cuenta admitidos, seleccione Solo las cuentas de este directorio organizativo.

  6. Seleccione Registrar para crear la aplicación.

  7. El panel Información general de la aplicación se muestra cuando se completa el registro. Registrar el id. de directorio (inquilino) y el id. de aplicación (cliente) que se usará en el código fuente de la aplicación.

Configuración de ámbitos de API

Una API debe publicar un mínimo de un ámbito, también denominado Permiso delegado, para que las aplicaciones cliente obtengan un token de acceso para un usuario correctamente. Para publicar un ámbito, siga estos pasos:

  1. En la página Registros de aplicaciones, seleccione la API que creó (como ciam-ToDoList-api) para abrir la página Información general.

  2. En Administrar, seleccione Exponer una API.

  3. En la parte superior de la página, junto a URI de id. de aplicación, seleccione el vínculo Agregar para generar un URI que sea único para esta aplicación.

  4. Acepte el URI de identificador de aplicación propuesto, como api://{clientId}, y seleccione Guardar. Cuando la aplicación web solicite un token de acceso para la API web, deberá agregar este URI como prefijo para cada ámbito que se defina para la API.

  5. En Ámbitos definidos con esta API, seleccione Agregar un ámbito.

  6. Escriba los valores siguientes que definan el acceso de lectura a la API y, a continuación, seleccione Agregar ámbito para guardar los cambios:

    Propiedad valor
    Nombre de ámbito ToDoList.Read
    ¿Quién puede dar el consentimiento? Solo administradores
    Nombre para mostrar del consentimiento del administrador Leer una lista de tareas pendientes de los usuarios con "TodoListApi"
    Descripción del consentimiento del administrador Permite que la aplicación lea la lista de tareas pendientes del usuario utilizando ''TodoListApi''.
    State Enabled
  7. Seleccione Agregar un ámbito de nuevo y escriba los valores siguientes que definen el ámbito de acceso de lectura y escritura a la API. Seleccione Agregar ámbito para guardar los cambios:

    Propiedad valor
    Nombre de ámbito ToDoList.ReadWrite
    ¿Quién puede dar el consentimiento? Solo administradores
    Nombre para mostrar del consentimiento del administrador Leer y escribir una lista de tareas pendientes con 'ToDoListApi'
    Descripción del consentimiento del administrador Permitir que la aplicación lea y escriba la lista de tareas pendientes de los usuarios mediante "ToDoListApi"
    State Enabled
  8. En Administrar, seleccione Manifiesto para abrir el editor de manifiesto de API.

  9. Establezca la propiedad accessTokenAcceptedVersion en 2.

  10. Seleccione Guardar.

Obtenga más información sobre el principio de privilegios mínimos al publicar permisos para una API web.

Configuración de roles de aplicación

Una API debe publicar al menos un rol de aplicación, también conocido como permiso de aplicación, para que las aplicaciones cliente obtengan un token de acceso en su propio nombre. Los permisos de aplicación son el tipo de permisos que las API deben publicar cuando quieran permitir que las aplicaciones cliente se autentiquen correctamente como ellas mismas y no necesiten registrar a los usuarios. Para publicar un permiso de aplicación, siga estos pasos:

  1. En la página Registros de aplicaciones, seleccione la aplicación que creó (como ciam-ToDoList-api) para abrir la página Información general.

  2. En Administrar, seleccione Roles de aplicación.

  3. Seleccione Crear rol de aplicación, introduzca los siguientes valores y seleccione Aplicar para guardar los cambios:

    Propiedad Value
    Nombre para mostrar ToDoList.Read.All
    Tipos de miembros permitido Aplicaciones
    Value ToDoList.Read.All
    Descripción Permitir que la aplicación lea la lista de tareas pendientes de cada usuario utilizando ''TodoListApi''
  4. Vuelva a seleccionar Crear rol de aplicación, introduzca los siguientes valores para el segundo rol de aplicación y seleccione Aplicar para guardar los cambios:

    Propiedad Value
    Nombre para mostrar ToDoList.ReadWrite.All
    Tipos de miembros permitido Aplicaciones
    Value ToDoList.ReadWrite.All
    Descripción Permitir que la aplicación lea y escriba cada lista de tareas pendientes de los usuarios mediante "ToDoListApi"

Configuración de notificaciones opcionales

Puede incluir la notificación opcional idtyp para ayudar a la API web a determinar si un token es un token de aplicación o un token de aplicación + usuario. Aunque es posible usar una combinación de notificaciones de scp y roles con el mismo propósito, usar la notificación idtyp es la manera más fácil de distinguir un token de aplicación de un token de aplicación + usuario. Por ejemplo, el valor de esta notificación es app cuando el token es un token solo para aplicaciones.

Concesión de permisos de API a la aplicación de ejemplo de Android

Una vez que haya registrado la aplicación cliente y la API web, y haya expuesto la API mediante la creación de ámbitos, puede configurar los permisos del cliente para la API siguiendo estos pasos:

  1. En la página Registros de aplicaciones, seleccione la aplicación que creó (como ciam-client-app) para abrir la página Información general.

  2. En Administrar, seleccione Permisos de API.

  3. En Permisos configurados, seleccione Agregar un permiso.

  4. Seleccione la pestaña API usadas en mi organización.

  5. En la lista de API, seleccione la API como ciam-ToDoList-api.

  6. Seleccione la opción Permisos delegados.

  7. En la lista de permisos, seleccione ToDoList.Read, ToDoList.ReadWrite (use el cuadro de búsqueda si es necesario).

  8. Seleccione el botón Agregar permisos.

  9. En este momento, ha asignado los permisos correctamente. Sin embargo, dado que se trata de un inquilino del cliente, los propios usuarios consumidores no pueden dar su consentimiento a estos permisos. Para solucionarlo, como administrador debe dar su consentimiento a estos permisos en nombre de todos los usuarios del inquilino:

    1. Seleccione Conceder consentimiento del administrador para el <nombre del inquilino> y, a continuación, pulse .

    2. Seleccione Actualizar, luego compruebe que aparece Concedido para <el nombre de inquilino> en Estado para ambos permisos.

  10. En la lista Permisos configurados, seleccione los permisos ToDoList.Read y ToDoList.ReadWrite, de uno en uno y, a continuación, copie el URI completo del permiso para su uso posterior. El URI de permiso completo tiene un aspecto similar a api://{clientId}/{ToDoList.Read} o api://{clientId}/{ToDoList.ReadWrite}.

Clonación o descarga de la API web de ejemplo

Para obtener la aplicación de ejemplo, puede clonarla desde GitHub o descargarla como archivo .zip.

  • Para clonar la muestra, abra un símbolo del sistema y navegue hasta donde desea crear el proyecto, e introduzca el siguiente comando:

    git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git
    
  • Descargue el archivo .zip. Extráigalo en una ruta de acceso de archivo donde la longitud del nombre sea inferior a 260 caracteres.

Configuración y ejecución de la API web de ejemplo

  1. En el editor de código, abra el archivo 2-Authorization/1-call-own-api-aspnet-core-mvc/ToDoListAPI/appsettings.json.

  2. Busque el marcador de posición:

    • Enter_the_Application_Id_Here y reemplácelo por el identificador de aplicación (cliente) de la API web que copió anteriormente.
    • Enter_the_Tenant_Id_Here y reemplácelo por el identificador de directorio (inquilino) que copió anteriormente.
    • Enter_the_Tenant_Subdomain_Here y reemplácelo por el subdominio del directorio (inquilino). Por ejemplo, si el dominio principal del inquilino es contoso.onmicrosoft.com, use contoso. Si no tiene el nombre del inquilino, vea cómo leer los datos del inquilino.

Debe hospedar la API web para que la aplicación de ejemplo de Android la llame. Consulte Inicio rápido: Implementación de una aplicación web de ASP.NET para implementar la API web.

Configuración de una aplicación móvil Android de ejemplo para llamar a la API web

El ejemplo permite configurar varios puntos de conexión y conjuntos de ámbitos de dirección URL de API web. En este caso, solo configurarás un punto de conexión de dirección URL de API web y sus ámbitos asociados.

  1. En Android Studio, abra un archivo /app/src/main/java/com/azuresamples/msalnativeauthandroidkotlinsampleapp/AccessApiFragment.kt.

  2. Busque la propiedad denominada WEB_API_URL_1 y establezca la dirección URL en la API web.

    private const val WEB_API_URL_1 = "" // Developers should set the respective URL of their web API here
    
  3. Busque la propiedad denominada scopesForAPI1 y establezca los ámbitos registrados en Conceder permisos de API a la aplicación de ejemplo de Android.

    private val scopesForAPI1 = listOf<String>() // Developers should set the respective scopes of their web API here. For example, private val scopes = listOf<String>("api://{clientId}/{ToDoList.Read}", "api://{clientId}/{ToDoList.ReadWrite}")
    

Ejecución de una aplicación de ejemplo de Android y llamada a la API web

Para compilar y ejecutar la aplicación, siga estos pasos:

  1. En la barra de herramientas, seleccione la aplicación en el menú De configuraciones de ejecución.

  2. En el menú del dispositivo de destino, seleccione el dispositivo en el que quiere ejecutar la aplicación.

    Si no tiene ningún dispositivo configurado, debe crear un dispositivo virtual Android para usar Android Emulator o conectar un dispositivo físico.

  3. Seleccione el botón Ejecutar. La aplicación se abre en la pantalla de código de acceso de un solo uso y correo electrónico.

  4. Seleccione la pestaña API para probar la llamada API. Una llamada correcta a la API web devuelve HTTP 200, mientras que HTTP 403 significa acceso no autorizado.

Pasos siguientes