Sécuriser les applications Java Tomcat à l’aide de groupes et de revendications de groupe

Cet article explique comment créer une application Java Tomcat qui connecte des utilisateurs avec Microsoft Authentication Library (MSAL) pour Java. L’application restreint également l’accès aux pages en fonction de l’appartenance au groupe de sécurité Microsoft Entra ID.

Le diagramme suivant illustre la topologie de l’application :

L’application cliente utilise MSAL pour Java (MSAL4J) pour connecter des utilisateurs à un locataire Microsoft Entra ID et obtenir un jeton d’ID à partir de l’ID Microsoft Entra. Le jeton d’ID prouve qu’un utilisateur est authentifié auprès de ce locataire. L’application protège ses itinéraires en fonction de l’état d’authentification et de l’appartenance au groupe de l’utilisateur.

Pour une vidéo qui couvre ce scénario, consultez Implémenter l’autorisation dans vos applications à l’aide de rôles d’application, de groupes de sécurité, d’étendues et de rôles d’annuaire.

Prérequis

• JDK version 8 ou ultérieure
• Maven 3
• Un locataire Microsoft Entra ID. Pour plus d’informations, consultez Comment obtenir un locataire Microsoft Entra ID.
• Un compte d’utilisateur dans votre propre locataire Microsoft Entra ID.
• Deux groupes de sécurité et GroupAdminGroupMember, contenant les utilisateurs avec utilisant lequel vous souhaitez effectuer des tests.

• Tomcat 9
• Visual Studio Code
• Azure Tools pour Visual Studio Code

Recommandations

• Certaines familiarités avec java / Jakarta Servlets.
• Vous connaissez bien le terminal Linux/OSX ou Windows PowerShell.
• jwt.ms pour inspecter vos jetons.
• Fiddler pour la supervision de votre activité réseau et la résolution des problèmes.
• Suivez le blog Microsoft Entra ID pour rester à jour avec les derniers développements.

Configurer l’exemple

Les sections suivantes vous montrent comment configurer l’exemple d’application.

Cloner ou télécharger l’exemple de référentiel

Pour cloner l’exemple, ouvrez une fenêtre Bash et utilisez la commande suivante :

git clone https://github.com/Azure-Samples/ms-identity-java-servlet-webapp-authentication.git
cd 3-Authorization-II/groups

Vous pouvez également accéder au référentiel ms-identity-java-servlet-webapp-authentication , puis le télécharger en tant que fichier .zip et l’extraire sur votre disque dur.

Important

Pour éviter les limitations de longueur du chemin de fichier sur Windows, clonez ou extrayez le référentiel dans un répertoire près de la racine de votre disque dur.

Inscrire l’exemple d’application auprès de votre locataire Microsoft Entra ID

Il existe un projet dans cet exemple. Pour inscrire l’application sur le Portail Azure, vous pouvez suivre les étapes de configuration manuelles ou utiliser un script PowerShell. Le script effectue les tâches suivantes :

• Crée les applications Microsoft Entra ID et les objets associés, tels que les mots de passe, les autorisations et les dépendances.
• Modifie les fichiers de configuration du projet.
• Par défaut, configure une application qui fonctionne avec des comptes dans votre annuaire organisationnel uniquement.

Utiliser PowerShell

Pour exécuter le script PowerShell, procédez comme suit :

1. Sur Windows, ouvrez PowerShell et accédez à la racine du répertoire cloné.

2. Utilisez la commande suivante pour définir la stratégie d’exécution pour PowerShell :

   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process -Force
   

3. Utilisez les commandes suivantes pour exécuter le script de configuration :

   cd .\AppCreationScripts\
   .\Configure.ps1
   

   Remarque

   D’autres méthodes d’exécution des scripts sont décrites dans les scripts de création d’application. Les scripts fournissent également un guide pour l’inscription, la configuration et la suppression automatisées des applications, ce qui peut vous aider dans vos scénarios CI/CD.

Utiliser des étapes manuelles

Les sections suivantes vous montrent comment inscrire l’application manuellement.

Choisissez le locataire Microsoft Entra ID dans lequel vous souhaitez créer vos applications

Pour choisir votre locataire, procédez comme suit :

1. Connectez-vous au portail Azure.

2. Si votre compte est présent dans plusieurs locataires Microsoft Entra ID, sélectionnez votre profil dans le coin de l’Portail Azure, puis sélectionnez Changer d’annuaire pour modifier votre session en locataire Microsoft Entra ID souhaité.

Inscrire l’application (java-servlet-webapp-groups)

Tout d’abord, inscrivez une nouvelle application dans le Portail Azure en suivant les instructions du guide de démarrage rapide : Inscrire une application auprès du Plateforme d'identités Microsoft.

Ensuite, procédez comme suit pour effectuer l’inscription :

1. Accédez à la page Inscriptions d’applications de la plateforme d’identités Microsoft pour les développeurs.

2. Sélectionnez Nouvelle inscription.

3. Dans la page Inscrire une application qui s’affiche, entrez les informations d’inscription d’application suivantes :

   • Dans la section Nom , entrez un nom d’application explicite pour l’affichage aux utilisateurs de l’application, par exemple java-servlet-webapp-groups.
   • Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
   • Dans la section URI de redirection, sélectionnez Web dans la zone de liste déroulante et entrez l’URI de redirection suivant : http://localhost:8080/msal4j-servlet-groups/auth/redirect.

4. Sélectionnez Inscrire pour créer l’application.

5. Dans la page d’inscription de l’application, recherchez et copiez la valeur d’ID d’application (client) à utiliser ultérieurement. Vous utilisez cette valeur dans le fichier de configuration ou les fichiers de votre application.

6. Cliquez sur Enregistrer pour enregistrer vos modifications.

7. Dans la page d’inscription de l’application, sélectionnez Certificats et secrets dans le volet de navigation pour ouvrir la page dans laquelle vous pouvez générer des secrets et charger des certificats.

8. Dans la section Secrets client, sélectionnez Nouveau secret client.

9. Tapez une description ( par exemple, secret d’application).

10. Sélectionnez l’une des durées disponibles : En 1 an, En 2 ans ou Jamais expire.

11. Sélectionnez Ajouter. La valeur générée s’affiche.

12. Copiez et enregistrez la valeur générée à utiliser dans les étapes ultérieures. Vous avez besoin de cette valeur pour les fichiers de configuration de votre code. Cette valeur n’est plus affichée et vous ne pouvez pas la récupérer par d’autres moyens. Veillez donc à l’enregistrer à partir de l’Portail Azure avant d’accéder à n’importe quel autre écran ou volet.

13. Dans la page d’inscription de l’application, sélectionnez des autorisations d’API dans le volet de navigation pour ouvrir la page pour ajouter l’accès aux API dont votre application a besoin.

14. Sélectionnez Ajouter une autorisation.

15. Vérifiez ensuite que l’onglet API Microsoft est sélectionné.

16. Dans la section API Microsoft couramment utilisées, sélectionnez Microsoft Graph.

17. Dans la section Autorisations déléguées, sélectionnez User.Read et GroupMember.Read.All dans la liste. Utilisez la zone de recherche au besoin.

18. Sélectionnez Ajouter des autorisations.

19. GroupMember.Read.All requiert le consentement de l’administrateur, donc sélectionnez Accorder/révoquer le consentement administrateur pour {locataire}, puis sélectionnez Oui lorsque vous êtes invité à accorder le consentement pour les autorisations demandées pour tous les comptes du locataire. Vous devez être administrateur de locataire Microsoft Entra ID pour effectuer cette opération.

Configurer l’application (java-servlet-webapp-groups) pour utiliser l’inscription de votre application

Pour configurer l’application, procédez comme suit :

Remarque

Dans les étapes suivantes, ClientID il s’agit de la même chose que Application ID ou AppId.

1. Ouvrez le projet dans votre IDE.

2. Ouvrez le fichier ./src/main/resources/authentication.properties .

3. Recherchez la chaîne {enter-your-tenant-id-here}. Remplacez la valeur existante par votre ID de locataire Microsoft Entra si vous avez inscrit votre application avec les comptes dans cet annuaire organisationnel uniquement .

4. Recherchez la chaîne {enter-your-client-id-here} et remplacez la valeur existante par l’ID d’application ou clientId l’application java-servlet-webapp-groups copiée à partir du Portail Azure.

5. Recherchez la chaîne {enter-your-client-secret-here} et remplacez la valeur existante par la valeur que vous avez enregistrée lors de la création de l’applicationjava-servlet-webapp-groups, dans le Portail Azure.

Configurer les groupes de sécurité

Vous disposez des options suivantes sur la façon dont vous pouvez configurer davantage vos applications pour recevoir la revendication de groupes :

• Recevez tous les groupes auxquels l’utilisateur connecté est affecté dans un locataire Microsoft Entra ID, y compris les groupes imbriqués. Pour plus d’informations, consultez la section Configurer votre application pour recevoir tous les groupes auxquels l’utilisateur connecté est affecté, y compris les groupes imbriqués.

• Recevez les valeurs de revendication de groupes d’un ensemble filtré de groupes avec utilisant lequel votre application est programmée pour fonctionner. Pour plus d’informations, consultez la section Configurer votre application pour recevoir les valeurs de revendication de groupes d’un ensemble filtré de groupes auxquels un utilisateur peut être affecté. Cette option n’est pas disponible dans l’édition Gratuite de Microsoft Entra ID.

Remarque

Pour obtenir le groupe local ou On Premises Group Security Identifier au lieu de l’ID samAccountName de groupe, consultez la section Conditions préalables à l’utilisation des attributs de groupe synchronisés à partir d’Active Directory dans Configurer les revendications de groupe pour les applications à l’aide de l’ID Microsoft Entra.

Configurez votre application pour recevoir tous les groupes auxquels l’utilisateur connecté est affecté, y compris les groupes imbriqués

Pour configurer votre application, procédez comme suit :

1. Dans la page d’inscription de l’application, sélectionnez Configuration du jeton dans le volet de navigation pour ouvrir la page dans laquelle vous pouvez configurer les jetons fournis par revendications émis pour votre application.

2. Sélectionnez Ajouter une revendication de groupes pour ouvrir l’écran Modifier la revendication des groupes.

3. Sélectionnez Groupes de sécurité OU tous les groupes (y compris les listes de distribution, mais pas les groupes affectés à l’application). Le choix des deux options annule l’effet de l’option Groupes de sécurité.

4. Sous la section ID , sélectionnez ID de groupe. Cette sélection entraîne l’envoi de l’ID d’objet de l’ID d’objet des groupes auxquels l’utilisateur est affecté dans la revendication de groupe du jeton d’ID reçu par votre application après la connexion d’un utilisateur.

Configurer votre application pour recevoir les valeurs de revendication de groupes d’un ensemble filtré de groupes auxquels un utilisateur peut être affecté

Cette option est utile lorsque les cas suivants sont vrais :

• Votre application s’intéresse à un ensemble sélectionné de groupes auxquels un utilisateur de connexion peut être affecté.
• Votre application n’est pas intéressée par chaque groupe de sécurité auquel cet utilisateur est affecté dans le locataire.

Cette option permet à votre application d’éviter le problème de dépassement.

Remarque

Cette fonctionnalité n’est pas disponible dans l’édition Gratuite de l’ID Microsoft Entra.

Les affectations de groupe imbriquées ne sont pas disponibles lorsque vous utilisez cette option.

Pour activer cette option dans votre application, procédez comme suit :

1. Dans la page d’inscription de l’application, sélectionnez Configuration du jeton dans le volet de navigation pour ouvrir la page dans laquelle vous pouvez configurer les jetons fournis par revendications émis pour votre application.

2. Sélectionnez Ajouter une revendication de groupes pour ouvrir l’écran Modifier la revendication des groupes.

3. Sélectionnez Groupes affectés à l’application.

   Choisir des options supplémentaires , telles que les groupes de sécurité ou tous les groupes (y compris les listes de distribution, mais pas les groupes affectés à l’application), annule les avantages que votre application tire du choix d’utiliser cette option.

4. Sous la section ID , sélectionnez ID de groupe. Cela entraîne l’envoi de l’ID d’objet des groupes auxquels l’utilisateur est affecté dans la revendication de groupe du jeton d’ID.

5. Si vous exposez une API web à l’aide de l’option Exposer une API , vous pouvez également choisir l’option ID de groupe sous la section Accès . Cette option entraîne l’envoi de l’ID d’objet de l’ID d’objet des groupes auxquels l’utilisateur est affecté dans la revendication de groupes du jeton d’accès.

6. Dans la page d’inscription de l’application, sélectionnez Vue d’ensemble dans le volet de navigation pour ouvrir l’écran vue d’ensemble de l’application.

7. Sélectionnez le lien hypertexte avec le nom de votre application dans l’application gérée dans le répertoire local. Ce titre de champ peut être tronqué , par exemple Managed application in .... Lorsque vous sélectionnez ce lien, vous accédez à la page Vue d’ensemble de l’application d’entreprise associée au principal de service de votre application dans le locataire où vous l’avez créée. Vous pouvez revenir à la page d’inscription d’application à l’aide du bouton Précédent de votre navigateur.

8. Sélectionnez Utilisateurs et groupes dans le volet de navigation pour ouvrir la page dans laquelle vous pouvez affecter des utilisateurs et des groupes à votre application.

9. Sélectionnez Ajouter un utilisateur.

10. Sélectionnez Utilisateur et groupes à partir de l’écran résultant.

11. Choisissez les groupes que vous souhaitez affecter à cette application.

12. Sélectionnez Sélectionner pour terminer la sélection des groupes.

13. Sélectionnez Affecter pour terminer le processus d’affectation de groupe.

    Votre application reçoit maintenant ces groupes sélectionnés dans la revendication de groupes lorsqu’un utilisateur qui se connecte à votre application est membre d’un ou plusieurs de ces groupes attribués.

14. Sélectionnez Propriétés dans le volet de navigation pour ouvrir la page qui répertorie les propriétés de base de votre application. Définissez l’attribution d’utilisateur requise ? indicateur Oui.

Important

Lorsque vous définissez l’attribution d’utilisateur requise ? sur Oui, l’ID Microsoft Entra case activée s que seuls les utilisateurs affectés à votre application dans le volet Utilisateurs et groupes sont en mesure de se connecter à votre application. Vous pouvez affecter directement des utilisateurs ou en affectant des groupes de sécurité auxquels ils appartiennent.

Configurer l’application (java-servlet-webapp-groups) pour reconnaître les ID de groupe

Pour configurer l’application, procédez comme suit :

Important

Dans la page Configuration du jeton, si vous avez choisi une autre option que groupID ( par exemple DNSDomain\sAMAccountName ), vous devez entrer le nom du groupe dans les étapes suivantes , par exemple, contoso.com\Test Group au lieu de l’ID d’objet :

1. Ouvrez le fichier ./src/main/resources/authentication.properties .

2. Recherchez la chaîne {enter-your-admins-group-id-here} et remplacez la valeur existante par l’ID d’objet du GroupAdmin groupe que vous avez copié à partir du Portail Azure. Supprimez également les accolades de la valeur de l’espace réservé.

3. Recherchez la chaîne {enter-your-users-group-id-here} et remplacez la valeur existante par l’ID d’objet du GroupMember groupe que vous avez copié à partir du Portail Azure. Supprimez également les accolades de la valeur de l’espace réservé.

Générer l’exemple

Pour générer l’exemple à l’aide de Maven, accédez au répertoire contenant le fichier pom.xml de l’exemple, puis exécutez la commande suivante :

mvn clean package

Cette commande génère un fichier .war que vous pouvez exécuter sur différents serveurs d’applications.

Exécution de l'exemple

Déployer vers Azure App Service

Les sections suivantes vous montrent comment déployer l’exemple sur Azure App Service.

Prérequis

• Plug-in Maven pour les applications Azure App Service

  Si Maven n’est pas votre outil de développement préféré, consultez les didacticiels similaires suivants qui utilisent d’autres outils :

  • IntelliJ IDEA
  • Eclipse
  • Visual Studio Code

Configurer le plug-in Maven

Lorsque vous déployez sur Azure App Service, le déploiement utilise automatiquement vos informations d’identification Azure à partir d’Azure CLI. Si Azure CLI n’est pas installé localement, le plug-in Maven s’authentifie avec OAuth ou la connexion de l’appareil. Pour plus d’informations, consultez Authentification avec les plug-ins Maven.

Pour configurer le plug-in, procédez comme suit :

1. Exécutez la commande suivante pour configurer le déploiement. Cette commande vous aide à configurer le système d’exploitation Azure App Service, la version Java et la version tomcat.

   mvn com.microsoft.azure:azure-webapp-maven-plugin:2.12.0:config
   

2. Pour créer une configuration d’exécution, appuyez sur Y, puis appuyez sur Entrée.

3. Pour Définir la valeur du système d’exploitation, appuyez sur 1 pour Windows ou 2 pour Linux, puis appuyez sur Entrée.

4. Pour Définir la valeur de javaVersion, appuyez sur 2 pour Java 11, puis appuyez sur Entrée.

5. Pour Définir la valeur pour webContainer, appuyez sur 4 pour Tomcat 9.0, puis appuyez sur Entrée.

6. Pour Définir la valeur de pricingTier, appuyez sur Entrée pour sélectionner le niveau P1v2 par défaut.

7. Pour Confirmer, appuyez sur Y, puis appuyez sur Entrée.

L’exemple suivant montre la sortie du processus de déploiement :

Please confirm webapp properties
AppName : msal4j-servlet-auth-1707209552268
ResourceGroup : msal4j-servlet-auth-1707209552268-rg
Region : centralus
PricingTier : P1v2
OS : Linux
Java Version: Java 11
Web server stack: Tomcat 9.0
Deploy to slot : false
Confirm (Y/N) [Y]: [INFO] Saving configuration to pom.
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  37.112 s
[INFO] Finished at: 2024-02-06T08:53:02Z
[INFO] ------------------------------------------------------------------------

Une fois que vous avez confirmé vos choix, le plug-in ajoute l’élément de plug-in et les paramètres requis au fichier de pom.xml de votre projet pour configurer votre application à exécuter dans Azure App Service.

La partie pertinente du fichier pom.xml doit ressembler à l’exemple suivant :

<build>
    <plugins>
        <plugin>
            <groupId>com.microsoft.azure</groupId>
            <artifactId>>azure-webapp-maven-plugin</artifactId>
            <version>x.xx.x</version>
            <configuration>
                <schemaVersion>v2</schemaVersion>
                <resourceGroup>your-resourcegroup-name</resourceGroup>
                <appName>your-app-name</appName>
            ...
            </configuration>
        </plugin>
    </plugins>
</build>

Vous pouvez modifier les configurations d’App Service directement dans votre pom.xml. Certaines configurations courantes sont répertoriées dans le tableau suivant :

Propriété	Obligatoire	Description
subscriptionId	false	L'ID de l'abonnement.
resourceGroup	true	Groupe de ressources Azure pour votre application.
appName	true	Nom de votre application.
region	false	Région dans laquelle héberger votre application. La valeur par défaut est centralus. Pour les régions valides, consultez Régions prises en charge.
pricingTier	false	Niveau tarifaire de votre application. La valeur par défaut est P1v2 pour une charge de travail de production. La valeur minimale recommandée pour le développement et le test Java est B2. Pour plus d’informations, consultez Tarification App Service.
runtime	false	Configuration de l’environnement d’exécution. Pour plus d’informations, consultez Détails de configuration.
deployment	false	Configuration du déploiement. Pour plus d’informations, consultez Détails de configuration.

Pour obtenir la liste complète des configurations, consultez la documentation de référence sur le plug-in. Tous les plug-ins Azure Maven partagent un ensemble commun de configurations. Pour ces configurations, consultez Configurations courantes. Pour connaître les configurations spécifiques à Azure App Service, consultez l’application Azure : Détails de configuration.

Veillez à enregistrer les valeurs et resourceGroup les appName valeurs pour une utilisation ultérieure.

Préparer l’application pour le déploiement

Lorsque vous déployez votre application sur App Service, votre URL de redirection passe à l’URL de redirection de votre instance d’application déployée. Pour modifier ces paramètres dans votre fichier de propriétés, procédez comme suit :

1. Accédez au fichier authentication.properties de votre application et modifiez la valeur du app.homePage nom de domaine de votre application déployée, comme illustré dans l’exemple suivant. Par exemple, si vous avez choisi example-domain le nom de votre application à l’étape précédente, vous devez maintenant l’utiliser https://example-domain.azurewebsites.net pour la app.homePage valeur. Assurez-vous que vous avez également modifié le protocole de http vers https.

   # app.homePage is by default set to dev server address and app context path on the server
   # for apps deployed to azure, use https://your-sub-domain.azurewebsites.net
   app.homePage=https://<your-app-name>.azurewebsites.net
   

2. Après avoir enregistré ce fichier, utilisez la commande suivante pour reconstruire votre application :

   mvn clean package
   

Important

Dans ce même fichier authentication.properties , vous avez un paramètre pour votre aad.secret. Il n’est pas recommandé de déployer cette valeur sur App Service. Il n’est pas recommandé de laisser cette valeur dans votre code et de l’envoyer à votre dépôt Git. Pour supprimer cette valeur secrète de votre code, vous trouverez des instructions plus détaillées dans la section Déployer sur App Service - Supprimer le secret . Ces instructions ajoutent des étapes supplémentaires pour envoyer (push) la valeur secrète à Key Vault et utiliser les références Key Vault.

Mettre à jour votre inscription d’application Microsoft Entra ID

Étant donné que l’URI de redirection change vers votre application déployée dans Azure App Service, vous devez également modifier l’URI de redirection dans l’inscription de votre application Microsoft Entra ID. Pour cela, effectuez les étapes suivantes :

1. Accédez à la page Inscriptions d’applications de la plateforme d’identités Microsoft pour les développeurs.

2. Utilisez la zone de recherche pour rechercher l’inscription de votre application , par exemple java-servlet-webapp-authentication.

3. Ouvrez votre inscription d’application en sélectionnant son nom.

4. Sélectionnez Authentification dans le menu déroulant.

5. Dans la section URI de redirection web - , sélectionnez Ajouter un URI.

6. Renseignez l’URI de votre application, en ajoutant /auth/redirect , par exemple https://<your-app-name>.azurewebsites.net/auth/redirect.

7. Sélectionnez Enregistrer.

Déployer l’application

Vous êtes maintenant prêt à déployer votre application sur Azure App Service. Utilisez la commande suivante pour vous assurer que vous êtes connecté à votre environnement Azure pour exécuter le déploiement :

az login

Avec toutes les configurations prêtes dans votre fichier pom.xml , vous pouvez maintenant utiliser la commande suivante pour déployer votre application Java sur Azure :

mvn package azure-webapp:deploy

Une fois le déploiement terminé, votre application est prête à http://<your-app-name>.azurewebsites.net/. Ouvrez l’URL avec votre navigateur web local, où vous devez voir la page de démarrage de l’application msal4j-servlet-auth .

Exécuter localement

Pour exécuter l’exemple sur Tomcat, procédez comme suit :

1. Dans votre installation de Tomcat, vérifiez qu’il existe une entrée dans tomcat/conf/server.xml pour l’adresse sur laquelle vous souhaitez héberger votre application.

   Par défaut, les exemples s’attendent simplement à http://localhost:8080 or https://localhost:8443se connecter, comme défini dans la app.homePage valeur du fichier authentication.properties .

2. Copiez le fichier .war que vous avez généré avec Maven dans le répertoire /webapps/ dans votre installation de Tomcat, puis démarrez le serveur Tomcat.

3. Une fois Tomcat démarré, ouvrez votre navigateur et accédez à l’URL que vous avez définie à l’étape 1 et vous devriez être en mesure d’accéder à l’application.

Explorer l’exemple

Pour explorer l’exemple, procédez comme suit :

1. Notez que l’état de connexion ou de déconnexion s’affiche au centre de l’écran.
2. Sélectionnez le bouton contextuel dans le coin. Ce bouton lit la connexion lorsque vous exécutez l’application pour la première fois.
3. Dans la page suivante, suivez les instructions et connectez-vous avec un compte dans le locataire Microsoft Entra ID.
4. Sur l’écran de consentement, notez les étendues demandées.
5. Notez que le bouton contextuel indique maintenant se déconnecter et affiche votre nom d’utilisateur.
6. Sélectionnez Détails du jeton d’ID pour afficher certaines revendications décodées du jeton d’ID.
7. Sélectionnez Groupes pour afficher des informations sur l’appartenance aux groupes de sécurité pour l’utilisateur connecté.
8. Sélectionnez Administration Utilisateur normal ou uniquement pour accéder aux points de terminaison protégés des groupes.
   • Si votre utilisateur connecté se trouve dans le GroupAdmin groupe, l’utilisateur peut entrer les deux pages.
   • Si votre utilisateur connecté se trouve dans le GroupMember groupe, l’utilisateur peut entrer la page Utilisateur normal uniquement.
   • Si votre utilisateur connecté n’est dans aucun groupe, l’utilisateur ne peut pas accéder à l’une des deux pages.
9. Utilisez le bouton dans le coin pour vous déconnecter.
10. Après la déconnexion, sélectionnez Détails du jeton d’ID pour observer que l’application affiche une 401: unauthorized erreur au lieu des revendications de jeton d’ID lorsque l’utilisateur n’est pas autorisé.

À propos du code

Cet exemple utilise MSAL pour Java (MSAL4J) pour signer un utilisateur et obtenir un jeton d’ID qui peut contenir la revendication des groupes. S’il existe trop de groupes pour l’émission dans le jeton d’ID, l’exemple utilise le Kit de développement logiciel (SDK) Microsoft Graph pour Java pour obtenir les données d’appartenance au groupe auprès de Microsoft Graph. En fonction des groupes auxquels appartient l’utilisateur, l’utilisateur connecté peut accéder à aucun, un ou les deux des pages protégées et Admins OnlyRegular Users.

Si vous souhaitez répliquer le comportement de cet exemple, vous devez ajouter MSAL4J et microsoft Graph SDK à vos projets à l’aide de Maven. Vous pouvez copier le fichier pom.xml et le contenu des dossiers d’assistance et d’authentification dans le dossier src/main/java/com/microsoft/azuresamples/msal4j. Vous avez également besoin du fichier authentication.properties . Ces classes et fichiers contiennent du code générique que vous pouvez utiliser dans un large éventail d’applications. Vous pouvez également copier le reste de l’exemple, mais les autres classes et fichiers sont créés spécifiquement pour traiter l’objectif de cet exemple.

Contenu

Le tableau suivant montre le contenu de l’exemple de dossier de projet :

Fichier/Dossier	Description
AppCreationScripts/	Scripts pour configurer automatiquement les inscriptions d’applications Microsoft Entra ID.
src/main/java/com/microsoft/azuresamples/msal4j/groupswebapp/	Ce répertoire contient les classes qui définissent la logique métier principale de l’application.
src/main/java/com/microsoft/azuresamples/msal4j/authservlets/	Ce répertoire contient les classes utilisées pour les points de terminaison de connexion et de déconnexion.
____Servlet.java	Tous les points de terminaison disponibles sont définis dans .java classes se terminant par ____Servlet.java.
src/main/java/com/microsoft/azuresamples/msal4j/helpers/	Classes d’assistance pour l’authentification.
AuthenticationFilter.java	Redirige les demandes non authentifiées vers des points de terminaison protégés vers une page 401.
src/main/resources/authentication.properties	Configuration de l’ID et du programme Microsoft Entra.
src/main/webapp/	Ce répertoire contient l’interface utilisateur - Modèles JSP
CHANGELOG.md	Liste des modifications apportées à l’exemple.
CONTRIBUTING.md	Instructions pour contribuer à l’exemple.
LICENCE	Licence de l’exemple.

Traiter une revendication de groupe dans les jetons, y compris la gestion du dépassement

Les sections suivantes décrivent comment l’application traite une revendication de groupe.

Revendication des groupes

L’ID d’objet des groupes de sécurité dont l’utilisateur connecté est membre est retourné dans la revendication de groupes du jeton, illustré dans l’exemple suivant :

{
  ...
  "groups": [
    "0bbe91cc-b69e-414d-85a6-a043d6752215",
    "48931dac-3736-45e7-83e8-015e6dfd6f7c",]
  ...
}

Revendication de dépassement de groupe

Pour vous assurer que la taille du jeton ne dépasse pas les limites de taille d’en-tête HTTP, la Plateforme d'identités Microsoft limite le nombre d’ID d’objet qu’elle inclut dans la revendication de groupes.

La limite de dépassement est de 150 pour les jetons SAML, 200 pour les jetons JWT et 6 pour les applications monopage. Si un utilisateur est membre de plus de groupes que la limite de dépassement, le Plateforme d'identités Microsoft n’émet pas les ID de groupe dans la revendication des groupes dans le jeton. Au lieu de cela, il inclut une revendication de dépassement dans le jeton qui indique à l’application d’interroger l’API Microsoft Graph pour récupérer l’appartenance au groupe de l’utilisateur, comme illustré dans l’exemple suivant :

{
  ...
  "_claim_names": {
    "groups": "src1"
    },
    {
   "_claim_sources": {
    "src1": {
        "endpoint":"[Graph Url to get this user's group membership from]"
        }
    }
  ...
}

Créer le scénario de dépassement dans cet exemple pour les tests

Pour créer le scénario de dépassement, vous pouvez effectuer les étapes suivantes :

1. Vous pouvez utiliser le fichier BulkCreateGroups.ps1 fourni dans le dossier AppCreationScripts pour créer un grand nombre de groupes et leur affecter des utilisateurs. Ce fichier permet de tester les scénarios de dépassement pendant le développement. N’oubliez pas de modifier les informations objectId fournies par l’utilisateur dans le script BulkCreateGroups.ps1 .

2. Lorsque vous exécutez cet exemple et qu’une surapprovisionnement se produit, vous voyez la _claim_names page d’accueil après la connexion de l’utilisateur.

3. Nous vous conseillons vivement d’utiliser la fonctionnalité de filtrage de groupe, le cas échéant, pour éviter d’avoir à exécuter des dépassements de groupe. Pour plus d’informations, consultez la section Configurer votre application pour recevoir les valeurs de revendication de groupes d’un ensemble filtré de groupes auxquels un utilisateur peut être affecté.

4. Si vous ne pouvez pas éviter l’interruption de groupe, nous vous suggérons d’utiliser les étapes suivantes pour traiter la revendication des groupes dans votre jeton :

   1. Recherchez la revendication _claim_names avec l’une des valeurs en cours de groupes. Cela indique le dépassement.
   2. S’il est trouvé, effectuez un appel au point de terminaison spécifié pour _claim_sources extraire les groupes de l’utilisateur.
   3. Si aucune valeur n’a été trouvée, examinez la revendication de groupes pour les groupes de l’utilisateur.

Remarque

La gestion du dépassement nécessite un appel à Microsoft Graph pour lire les appartenances de groupe de l’utilisateur connecté. Par conséquent, votre application doit disposer de l’autorisation GroupMember.Read.All pour que la fonction getMemberObjects s’exécute correctement.

Pour plus d’informations sur la programmation de Microsoft Graph, consultez la vidéo Une présentation de Microsoft Graph pour les développeurs.

ConfidentialClientApplication

Une ConfidentialClientApplication instance est créée dans le fichier AuthHelper.java , comme illustré dans l’exemple suivant. Cet objet permet d’élaborer l’URL d’autorisation Microsoft Entra et d’échanger le jeton d’authentification pour un jeton d’accès.

// getConfidentialClientInstance method
IClientSecret secret = ClientCredentialFactory.createFromSecret(SECRET);
confClientInstance = ConfidentialClientApplication
                      .builder(CLIENT_ID, secret)
                      .authority(AUTHORITY)
                      .build();

Les paramètres suivants sont utilisés pour l’instanciation :

• ID client de l’application.
• Secret client, qui est une exigence pour les applications clientes confidentielles.
• Autorité d’IDENTIFICATION Microsoft Entra, qui inclut votre ID de locataire Microsoft Entra.

Dans cet exemple, ces valeurs sont lues à partir du fichier authentication.properties à l’aide d’un lecteur de propriétés dans le fichier Config.java.

Procédure pas-à-pas

Les étapes suivantes fournissent une procédure pas à pas des fonctionnalités de l’application :

1. La première étape du processus de connexion consiste à envoyer une demande au /authorize point de terminaison sur votre locataire Microsoft Entra ID. L’instance MSAL4J ConfidentialClientApplication est utilisée pour construire une URL de demande d’autorisation. L’application redirige le navigateur vers cette URL, qui est l’emplacement où l’utilisateur se connecte.

   final ConfidentialClientApplication client = getConfidentialClientInstance();
   AuthorizationRequestUrlParameters parameters = AuthorizationRequestUrlParameters.builder(Config.REDIRECT_URI, Collections.singleton(Config.SCOPES))
           .responseMode(ResponseMode.QUERY).prompt(Prompt.SELECT_ACCOUNT).state(state).nonce(nonce).build();
   
   final String authorizeUrl = client.getAuthorizationRequestUrl(parameters).toString();
   contextAdapter.redirectUser(authorizeUrl);
   

   La liste suivante décrit les fonctionnalités de ce code :

   • AuthorizationRequestUrlParameters: paramètres qui doivent être définis pour générer un AuthorizationRequestUrl.
   • REDIRECT_URI: Où Microsoft Entra redirige le navigateur, ainsi que le code d’authentification, après avoir collecté les informations d’identification de l’utilisateur. Il doit correspondre à l’URI de redirection dans l’inscription de l’application Microsoft Entra ID dans le Portail Azure.
   • SCOPES: les étendues sont des autorisations demandées par l’application.
     • Normalement, les trois étendues openid profile offline_access suffisent pour recevoir une réponse de jeton d’ID.
     • Vous trouverez la liste complète des étendues demandées par l’application dans le fichier authentication.properties . Vous pouvez ajouter d’autres étendues telles que User.Read, etc.

2. L’utilisateur reçoit une invite de connexion de Microsoft Entra ID. Si la tentative de connexion réussit, le navigateur de l’utilisateur est redirigé vers le point de terminaison de redirection de l’application. Une demande valide adressée à ce point de terminaison contient un code d’autorisation.

3. L’instance ConfidentialClientApplication échange ensuite ce code d’autorisation pour un jeton d’ID et un jeton d’accès à partir de Microsoft Entra ID.

   // First, validate the state, then parse any error codes in response, then extract the authCode. Then:
   // build the auth code params:
   final AuthorizationCodeParameters authParams = AuthorizationCodeParameters
           .builder(authCode, new URI(Config.REDIRECT_URI)).scopes(Collections.singleton(Config.SCOPES)).build();
   
   // Get a client instance and leverage it to acquire the token:
   final ConfidentialClientApplication client = AuthHelper.getConfidentialClientInstance();
   final IAuthenticationResult result = client.acquireToken(authParams).get();
   

   La liste suivante décrit les fonctionnalités de ce code :

   • AuthorizationCodeParameters: paramètres qui doivent être définis pour échanger le code d’autorisation pour un ID et/ou un jeton d’accès.
   • authCode: code d’autorisation reçu au point de terminaison de redirection.
   • REDIRECT_URI: l’URI de redirection utilisé à l’étape précédente doit être repassé.
   • SCOPES: les étendues utilisées à l’étape précédente doivent être passées à nouveau.

4. Si acquireToken réussit, les revendications du jeton sont extraites. Si la nonce case activée passe, les résultats sont placés dans context - une instance de IdentityContextData - et enregistrées dans la session. L’application peut ensuite instancier la IdentityContextData session à partir d’une instance de chaque fois qu’elle a besoin d’y IdentityContextAdapterServlet accéder, comme indiqué dans le code suivant :

   // parse IdToken claims from the IAuthenticationResult:
   // (the next step - validateNonce - requires parsed claims)
   context.setIdTokenClaims(result.idToken());
   
   // if nonce is invalid, stop immediately! this could be a token replay!
   // if validation fails, throws exception and cancels auth:
   validateNonce(context);
   
   // set user to authenticated:
   context.setAuthResult(result, client.tokenCache().serialize());
   
   // handle groups overage if it has occurred.
   handleGroupsOverage(contextAdapter);
   

5. Après l’étape précédente, vous pouvez extraire les appartenances aux groupes en appelant context.getGroups() à l’aide d’une instance de IdentityContextData.

6. Si l’utilisateur est membre d’un trop grand nombre de groupes - plus de 200 - un appel peut context.getGroups() avoir été vide s’il n’était pas pour l’appel à handleGroupsOverage(). Pendant ce temps, retournetrue, context.getGroupsOverage() signalant qu’un dépassement s’est produit et que l’obtention de la liste complète des groupes nécessite un appel à Microsoft Graph. Consultez la handleGroupsOverage() méthode dans AuthHelper.java pour voir comment cette application utilise context.setGroups() lorsqu’il y a un dépassement.

Protéger les itinéraires

Consultez AuthenticationFilter.java pour voir comment l’exemple d’application filtre l’accès aux itinéraires. Dans le fichier authentication.properties , la app.protect.authenticated propriété contient les itinéraires séparés par des virgules auxquels seuls les utilisateurs authentifiés peuvent accéder, comme illustré dans l’exemple suivant :

# for example, /token_details requires any user to be signed in and does not require special groups claim
app.protect.authenticated=/token_details

Les itinéraires répertoriés dans les ensembles de règles séparés par des virgules sous les app.protect.groups ensembles de règles sont également hors limites pour les utilisateurs authentifiés non authentifiés, comme illustré dans l’exemple suivant. Toutefois, ces itinéraires contiennent également une liste séparée par l’espace des appartenances aux groupes. Seuls les utilisateurs appartenant à au moins un des groupes correspondants peuvent accéder à ces itinéraires après l’authentification.

# define short names for group IDs here for the app. This is useful in the next property (app.protect.groups).
# EXCLUDE the curly braces, they are in this file only as delimiters.
# example:
# app.groups=groupA abcdef-qrstuvw-xyz groupB abcdef-qrstuv-wxyz
app.groups=admin {enter-your-admins-group-id-here}, user {enter-your-users-group-id-here}

# A route and its corresponding group(s) that can view it, <space-separated>; the start of the next route & its group(s) is delimited by a <comma-and-space-separator>
# this says: /admins_only can be accessed by admin group, /regular_user can be accessed by admin group and user group
app.protect.groups=/admin_only admin, /regular_user admin user

Étendues

Les étendues indiquent à Microsoft Entra ID le niveau d’accès demandé par l’application.

En fonction des étendues demandées, l’ID Microsoft Entra présente un dialogue de consentement à l’utilisateur lors de la connexion. Si l’utilisateur consent à une ou plusieurs étendues et obtient un jeton, les étendues consentées sont encodées dans le résultat access_token.

Pour connaître les étendues demandées par l’application, consultez authentication.properties. Par défaut, l’application définit la valeur GroupMember.Read.Alldes étendues sur . Cette étendue d’API Microsoft Graph particulière est requise si l’application doit appeler Graph pour obtenir les appartenances aux groupes de l’utilisateur.

Plus d’informations

• Bibliothèque d’authentification Microsoft (MSAL) pour Java
• Plateforme d'identités Microsoft (ID Microsoft Entra pour les développeurs)
• Démarrage rapide : Inscrire une application à l’aide de la plateforme d’identités Microsoft
• Présentation des expériences de consentement de l’application Microsoft Entra ID
• Comprendre le consentement de l’utilisateur et de l’administrateur
• Exemples de code MSAL