Tutoriel : Configurer une application Android pour connecter des utilisateurs à l’aide de la plateforme d’identités Microsoft

S’applique à : Locataires d’employés Locataires externes (En savoir plus)

Dans ce tutoriel, vous allez ajouter microsoft Authentication Library (MSAL) pour Android à votre application Android. MSAL permet aux applications Android d’authentifier les utilisateurs auprès de Microsoft Entra.

Dans ce tutoriel, vous allez :

• Ajouter une dépendance MSAL
• Ajouter une configuration
• Créer une instance du Kit de développement logiciel (SDK) MSAL

Conditions préalables

Locataire d’employés

• Un locataire d’employés. Vous pouvez utiliser votre répertoire par défaut ou configurer un nouveau locataire.
• Inscrivez une nouvelle application dans le Centre d’administration Microsoft Entra, configurée pour les comptes dans cet annuaire organisationnel uniquement. Pour plus d’informations, reportez-vous à l'enregistrement d'une application. Enregistrez les valeurs suivantes à partir de la page Vue d’ensemble de l’application pour une utilisation ultérieure :
  • ID d’application (client)
  • ID d’annuaire (locataire)
• Un projet Android. Si vous n’avez pas de projet Android, créez-le.

Locataire externe

• Un locataire externe. Pour en créer un, choisissez parmi les méthodes suivantes :
  • Utilisez l’extension Microsoft Entra External ID pour configurer un locataire externe directement dans Visual Studio Code. (Conseillé)
  • Créer un nouveau locataire externe dans le Centre d’administration Microsoft Entra.
• Inscrivez une nouvelle application dans le Centre d’administration Microsoft Entra, configurée pour les comptes dans n’importe quel annuaire organisationnel et comptes Microsoft personnels. Pour plus d’informations, reportez-vous à l'enregistrement d'une application. Enregistrez les valeurs suivantes à partir de la page Vue d’ensemble de l’application pour une utilisation ultérieure :
  • ID d’application (client)
  • ID d’annuaire (locataire)

Ajouter un URI de redirection

Vous devez configurer des URI de redirection spécifiques dans votre inscription d’application pour garantir la compatibilité avec l’exemple de code téléchargé. Ces URI sont essentiels pour rediriger les utilisateurs vers l’application une fois qu’ils se connectent correctement.

Locataire d’employés

1. Sous Gérer, sélectionnez Authentification>Ajouter une plateforme>Android.

2. Entrez le nom du package de votre projet en fonction du type d’exemple que vous avez téléchargé ci-dessus.

   • Exemple Java : com.azuresamples.msalandroidapp
   • Exemple Kotlin : com.azuresamples.msalandroidkotlinapp

3. Dans la section Hachage de signature de la page Configurer votre application Android, sélectionnez Création d’un hachage de signature de développement, puis copiez la commande KeyTool vers votre ligne de commande.

   • Keytool.exe est installé en même temps que le kit de développement Java (JDK). Vous devez également installer l’outil OpenSSL pour exécuter la commande KeyTool. Pour plus d’informations, consultez la documentation Android sur la génération d’une clé.

4. Entrez l'empreinte de la signature générée par KeyTool.

5. Sélectionnez Configurer et enregistrez la Configuration MSAL qui apparaît dans la page Configuration Android pour pouvoir l’entrer plus tard quand vous devrez configurer votre application.

6. Cliquez sur Terminé.

Locataire externe

Pour spécifier votre type d’application à votre inscription d’application, procédez comme suit :

1. Sous Gérer, sélectionnez Authentification.
2. Dans la page Configurations de la plateforme, sélectionnez Ajouter une plateforme, puis sélectionnez l’option iOS/macOS .
3. Entrez l’ID de bundle de votre projet. Si vous avez téléchargé l’exemple de code, cette valeur est com.microsoft.identitysample.ciam.MSALiOS.
4. Sélectionnez Configurer et enregistrer la configuration MSAL qui s’affiche dans le volet de configuration iOS/macOS afin de pouvoir l’entrer lorsque vous configurez votre application ultérieurement.
5. Cliquez sur Terminé.

Activer le flux de client public

Pour identifier votre application en tant que client public, procédez comme suit :

1. Sous Gérer, sélectionnez Authentification.

2. Sous Paramètres avancés, pour Autoriser les flux clients publics, sélectionnez Oui.

3. Cliquez sur Enregistrer pour enregistrer vos modifications.

Ajouter une dépendance MSAL et des bibliothèques pertinentes à votre projet

Pour ajouter des dépendances MSAL dans votre projet Android, procédez comme suit :

1. Ouvrez votre projet dans Android Studio ou créez un projet.

2. Ouvrez le build.gradle de votre application et ajoutez les dépendances suivantes :

   allprojects {
   repositories {
       //Needed for com.microsoft.device.display:display-mask library
       maven {
           url 'https://pkgs.dev.azure.com/MicrosoftDeviceSDK/DuoSDK-Public/_packaging/Duo-SDK-Feed/maven/v1'
           name 'Duo-SDK-Feed'
       }
       mavenCentral()
       google()
       }
   }
   //...
   
   dependencies { 
       implementation 'com.microsoft.identity.client:msal:5.+'
       //...
   }
   

   Dans la build.gradle configuration, les référentiels sont définis pour les dépendances de projet. Elle inclut une URL du référentiel Maven pour la bibliothèque de com.microsoft.device.display:display-mask d’Azure DevOps. En outre, il utilise les référentiels Maven Central et Google. La section dépendances spécifie l’implémentation de MSAL version 5 et potentiellement d’autres dépendances.

3. Dans Android Studio, sélectionnez Projet>de synchronisation de fichiers avec Gradle Files.

Ajouter une configuration

Vous transmettez les identificateurs de locataire requis, tels que l’ID d’application (client), au SDK MSAL via un paramètre de configuration JSON.

Procédez comme suit pour créer un fichier de configuration :

Configuration du locataire Workforce

1. Dans le volet de projet d’Android Studio, accédez à app\src\main\res.

2. Cliquez avec le bouton droit sur res, puis choisissez Nouveau>Répertoire. Entrez raw en tant que nouveau nom de répertoire, puis sélectionnez OK.

3. Dans app>src>main>res>raw, créez un fichier JSON appelé auth_config_single_account.json, puis collez la configuration MSAL que vous avez enregistrée.

   Sous l’URI de redirection, collez :

     "account_mode" : "SINGLE",
   

   Votre fichier de configuration doit ressembler à l’exemple suivant :

   {
     "client_id": "00001111-aaaa-bbbb-3333-cccc4444",
     "authorization_user_agent": "WEBVIEW",
     "redirect_uri": "msauth://com.azuresamples.msalandroidapp/00001111%cccc4444%3D",
     "broker_redirect_uri_registered": true,
     "account_mode": "SINGLE",
     "authorities": [
       {
         "type": "AAD",
         "audience": {
           "type": "AzureADandPersonalMicrosoftAccount",
           "tenant_id": "common"
         }
       }
     ]
   }
   

   Comme ce tutoriel montre uniquement comment configurer une application en mode compte unique, consultez Le mode compte unique ou multiple et la configuration de votre application pour plus d’informations

4. Nous vous recommandons d’utiliser « WEBVIEW ». Si vous souhaitez configurer « authorization_user_agent » comme « BROWSER » dans votre application, vous devez effectuer les mises à jour suivantes. a) Mettez à jour auth_config_single_account.json avec "authorization_user_agent": "Browser". b) Mettez à jour AndroidManifest.xml. Dans l’application, accédez à app>src>main>AndroidManifest.xml, ajoutez l’activité BrowserTabActivity en tant qu’enfant de l’élément <application>. Cette entrée permet à Microsoft Entra ID de rappeler votre application une fois l’authentification terminée :

   <!--Intent filter to capture System Browser or Authenticator calling back to our app after sign-in-->
   <activity
       android:name="com.microsoft.identity.client.BrowserTabActivity"
       android:exported="true">
       <intent-filter>
           <action android:name="android.intent.action.VIEW" />
           <category android:name="android.intent.category.DEFAULT" />
           <category android:name="android.intent.category.BROWSABLE" />
           <data android:scheme="msauth"
               android:host="Enter_the_Package_Name"
               android:path="/Enter_the_Signature_Hash" />
       </intent-filter>
   </activity>
   

   • Utilisez le Nom du package pour remplacer la valeur android:host=.. Il doit ressembler à com.azuresamples.msalandroidapp.
   • Utilisez le Hachage de signature pour remplacer la valeur android:path=. Assurez-vous qu'il y a un début / au début de votre hachage de signature. Il doit ressembler à /aB1cD2eF3gH4+iJ5kL6-mN7oP8q=.

   Vous pouvez également trouver ces valeurs dans le panneau Authentification de l’inscription de votre application.

Configuration du locataire externe

1. Dans le volet de projet d’Android Studio, accédez à app\src\main\res.

2. Cliquez avec le bouton droit sur res et sélectionnez Nouveau>Dossier. Entrez raw en tant que nouveau nom de répertoire, puis sélectionnez OK.

3. Dans app\src\main\res\raw, créez un fichier JSON appelé auth_config_ciam_auth.json.

4. Dans le auth_config_ciam_auth.json fichier, ajoutez les configurations MSAL suivantes :

   {
     "client_id" : "Enter_the_Application_Id_Here",
     "authorization_user_agent" : "DEFAULT",
     "redirect_uri" : "Enter_the_Redirect_Uri_Here",
     "account_mode" : "SINGLE",
     "authorities" : [
       {
         "type": "CIAM",
         "authority_url": "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/Enter_the_Tenant_Subdomain_Here.onmicrosoft.com/"
       }
     ]
   }
   

   Le fichier de configuration JSON spécifie différents paramètres pour une application Android. Il inclut l’ID client, l’agent utilisateur d’autorisation, l’URI de redirection et le mode compte. En outre, il définit une autorité pour l’authentification, en spécifiant le type et l’URL d’autorité.

   Remplacez les paramètres fictifs suivants par vos valeurs de locataire obtenues à partir du portail d'administration Microsoft Entra :

   • Enter_the_Application_Id_Here et remplacez-le par l’ID d’application (client) de l’application inscrite précédemment.
   • Enter_the_Redirect_Uri_Here remplacez-le par la valeur de redirect_uri dans le fichier de configuration MSAL (Microsoft Authentication Library) que vous avez téléchargé précédemment lorsque vous avez ajouté l’URL de redirection de la plateforme.
   • Enter_the_Tenant_Subdomain_Here et remplacez-le par le sous-domaine du répertoire (locataire). Par exemple, si le domaine principal de votre locataire est contoso.onmicrosoft.com, utilisez contoso. Si vous ne connaissez pas votre sous-domaine de locataire, découvrez comment lire les détails de votre locataire.

5. Ouvrez le fichierAndroidManifest.xml/app/src/main/ .

6. Dans AndroidManifest.xml, ajoutez la spécification de données suivante à un filtre d’intention :

   <data
       android:host="ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE"
       android:path="/ENTER_YOUR_SIGNATURE_HASH_HERE"
       android:scheme="msauth" />
   

   Trouvez l’espace réservé :

   • ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE et remplacez-le par le nom du package de projet Android.
   • ENTER_YOUR_SIGNATURE_HASH_HERE remplacez-le par le hachage de signature que vous avez généré précédemment lorsque vous avez ajouté l’URL de redirection de la plateforme.

Utiliser un domaine d’URL personnalisé (facultatif)

Utilisez un domaine personnalisé pour personnaliser entièrement l’URL d’authentification. Du point de vue de l’utilisateur, les utilisateurs restent sur votre domaine pendant le processus d’authentification, au lieu d’être redirigés vers ciamlogin.com nom de domaine.

Procédez comme suit pour utiliser un domaine personnalisé :

1. Utilisez les étapes décrites dans Activer les domaines d’URL personnalisés pour les applications dans les locataires externes afin d’activer le domaine d’URL personnalisé pour votre locataire externe.

2. Ouvrez auth_config_ciam_auth.json fichier :

   1. Mettez à jour la valeur de la authority_url propriété sur https://Enter_the_Custom_Domain_Here/Enter_the_Tenant_ID_Here. Remplacez Enter_the_Custom_Domain_Here par votre domaine d’URL personnalisé et Enter_the_Tenant_ID_Here par votre ID de locataire. Si vous n’avez pas votre identifiant de locataire, apprenez comment consulter les détails de votre locataire.
   2. Ajoutez knownAuthorities une propriété avec une valeur [Enter_the_Custom_Domain_Here].

Après avoir apporté les modifications à votre fichier auth_config_ciam_auth.json , si votre domaine d’URL personnalisé est login.contoso.com et que votre ID de locataire est aaaabbbb-0000-cccc-1111-dddd222eeee, votre fichier doit ressembler à l’extrait de code suivant :

{
    "client_id" : "Enter_the_Application_Id_Here",
    "authorization_user_agent" : "DEFAULT",
    "redirect_uri" : "Enter_the_Redirect_Uri_Here",
    "account_mode" : "SINGLE",
    "authorities" : [
    {
        "type": "CIAM",
        "authority_url": "https://login.contoso.com/aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "knownAuthorities": ["login.contoso.com"]
    }
    ]
}

Créer une instance du Kit de développement logiciel (SDK) MSAL

Pour initialiser l’instance du Kit de développement logiciel (SDK) MSAL, utilisez le code suivant :

Configuration du locataire Workforce

PublicClientApplication.createSingleAccountPublicClientApplication(
    getContext(),
    R.raw.auth_config_single_account,
    new IPublicClientApplication.ISingleAccountApplicationCreatedListener() {
        @Override
        public void onCreated(ISingleAccountPublicClientApplication application) {
            // Initialize the single account application instance
            mSingleAccountApp = application;
            loadAccount();
        }

        @Override
        public void onError(MsalException exception) {
            // Handle any errors that occur during initialization
            displayError(exception);
        }
    }
);

Ce code crée une application cliente publique de compte unique à l’aide du fichier de configuration auth_config_single_account.json. Une fois l'application créée avec succès, elle affecte l'instance à mSingleAccountApp et appelle la méthode loadAccount(). Si une erreur se produit pendant la création, elle gère l’erreur en appelant la méthode displayError(exception).

Configuration du locataire externe

private suspend fun initClient(): ISingleAccountPublicClientApplication = withContext(Dispatchers.IO) {
    return@withContext PublicClientApplication.createSingleAccountPublicClientApplication(
        this@MainActivity,
        R.raw.auth_config_ciam_auth
    )
}

Le code initialise de manière asynchrone une application publique cliente pour un seul compte. Il utilise le fichier de configuration d’authentification fourni et s’exécute sur le répartiteur d’E/S.

Veillez à inclure les instructions d'importation. Android Studio devrait inclure automatiquement les instructions d'importation pour vous.

Étapes suivantes

Tutoriel : Ajouter une connexion dans votre application Android.