Tutorial: registrar aplicaciones web de Python con la plataforma de identidad de Microsoft
En esta serie de tutoriales se muestra cómo compilar aplicaciones web de Python que inicien sesión de usuarios y llamen a una API web protegida. Usará la Biblioteca de autenticación de Microsoft para Python para autenticar a los usuarios en el inquilino de Microsoft Entra ID. Por último, ejecutará la aplicación para iniciar sesión, llamar a una API protegida y cerrar la sesión de los usuarios.
En este tutorial ha:
- Registro de una aplic. web en el Centro de administración de Microsoft Entra y registro de sus identificadores
- Definición de la plataforma y las direcciones URL
- Crear un secreto de cliente para la aplicación web
- Conceder permisos a la aplic. web para acceder a Microsoft Graph API
Requisitos previos
- Una cuenta de Azure con una suscripción activa. Si no tiene ninguna cuenta, cree una gratuita.
- La cuenta de Azure que use deberá tener permisos para administrar aplicaciones. Cualquiera de los siguientes roles de Microsoft Entra incluye los permisos necesarios:
- Administrador de aplicaciones
- Desarrollador de aplicaciones
- Administrador de aplicaciones en la nube
Registrar la aplicación web de Python y los identificadores
Para integrar las funcionalidades de administración de identidades y acceso en la aplicación, empiece por registrar la aplicación con la plataforma de identidad de Microsoft. Siga estos pasos para registrar la aplicación en el centro de administración de Microsoft Entra:
- Inicie sesión en el centro de administración de Microsoft Entra.
- Si tiene acceso a varios inquilinos, use el icono Configuración del menú superior para cambiar al inquilino en el que desea registrar la aplicación desde el menú Directorios y suscripciones.
- Vaya a Identidad>Aplicaciones>Registros de aplicaciones y seleccione Nuevo registro.
- Escriba el nombre de la aplicación, por ejemplo, python-flask-webapp. Los usuarios de la aplicación pueden ver el nombre para mostrar cuando usan la aplicación, por ejemplo, durante el inicio de sesión. Puede cambiar el nombre para mostrar en cualquier momento.
- En Tipos de cuenta admitidos, seleccione Solo las cuentas de este directorio organizativo.
- Seleccione Registrar para completar el registro inicial de la aplicación.
Cuando finalice el registro, en el Centro de administración de Microsoft Entra se mostrará el panel Información general del registro de la aplicación. En el panel Información general, registre el id. de directorio (inquilino) y el id. de aplicación (cliente) que se usarán en los pasos siguientes.
Incorporación de un URI de redirección
A fin de agregar un URI de redirección para la aplicación web de Python Flask, siga estos pasos:
- En el Centro de administración de Microsoft Entra, en Registros de aplicaciones, seleccione la aplicación.
- En Administrar, seleccione Autenticación.
- En Configuraciones de plataforma, seleccione Agregar una plataforma y, a continuación, seleccione Web.
- Al seleccionar Web como plataforma de la aplicación, se le pedirá que escriba un URI de redirección. Agregue
http://localhost:5000/getAToken
como URI de redirección para la aplicación web. - Seleccione Configurar.
Configuración de credenciales
En este tutorial, usará un secreto de cliente, también conocido como contraseña de aplicación para identificar la aplicación como cliente confidencial. Siga estos pasos para agregar un secreto de cliente al registro de aplicación:
- En el Centro de administración de Microsoft Entra, en Registros de aplicaciones, seleccione la aplicación.
- En Administrar, seleccione Certificados y secretos.
- En la sección Secretos de cliente, seleccione Nuevo secreto de cliente.
- En el panel Agregar un secreto de cliente, proporcione una descripción para el secreto de cliente.
- Seleccione una expiración para el secreto o especifique una duración personalizada.
- La duración del secreto de cliente se limita a dos años (24 meses) o menos. No se puede especificar una duración personalizada superior a 24 meses. Microsoft recomienda establecer un valor de expiración de menos de 12 meses.
- Seleccione Agregar.
- Registre el valor de secreto de cliente (no su identificador) para usarlo en un paso posterior. Este valor del secreto solo se muestra una vez cuando se crea y nunca se muestra después de salir de esta página.
Aunque usó un secreto de cliente en este tutorial, se recomienda usar un certificado antes de mover la aplicación a un entorno de producción. Para más información sobre cómo usar un certificado, consulte estas instrucciones.
Incorporación de un ámbito
Dado que esta aplicación inicia la sesión de los usuarios, es necesario agregar permisos delegados:
- En Administrar, seleccione Permisos de API>Add a permission (Agregar un permiso).
- Asegúrese de que la pestaña API de Microsoft esté seleccionada.
- En la sección API de Microsoft más usadas, seleccione Microsoft Graph.
- En la sección Permisos delegados, asegúrese de que User.Read esté seleccionado. Si es necesario, utilice el cuadro de búsqueda.
- Seleccione Agregar permisos.