MSAL használata országos felhőkörnyezetben

Cikk
10/24/2023

A nemzeti felhők, más néven szuverén felhők az Azure fizikailag elkülönített példányai. Az Azure ezen régiói gondoskodnak arról, hogy az adatok tárolási, szuverenitási és megfelelőségi követelményei a földrajzi határokon belül teljesülnek.

A Microsoft globális felhő mellett a Microsoft Authentication Library (MSAL) lehetővé teszi, hogy a nemzeti felhők alkalmazásfejlesztői jogkivonatokat szerezzenek be a biztonságos webes API-k hitelesítéséhez és meghívásához. Ezek a webes API-k lehetnek Microsoft Graph vagy más Microsoft API-k.

A globális Azure-felhőt is beleértve a Microsoft Entra ID a következő nemzeti felhőkben van üzembe helyezve:

Azure Government
A 21Vianet által üzemeltetett Microsoft Azure
Azure Germany (2021. október 29-i záró)

Ez az útmutató bemutatja, hogyan jelentkezhet be munkahelyi és iskolai fiókokba, hogyan szerezhet be hozzáférési jogkivonatot, és hogyan hívhatja meg a Microsoft Graph API-t az Azure Government felhőkörnyezetében .

Azure Germany (Microsoft Cloud Deutschland)

Figyelmeztetés

Az Azure Germany (Microsoft Cloud Deutschland) 2021. október 29-én megszűnik. Azokat a szolgáltatásokat és alkalmazásokat, amelyeket úgy dönt , hogy nem migrál egy régióba a globális Azure-ban az adott dátum előtt, elérhetetlenné válik.

Ha még nem migrálta az alkalmazást az Azure Germany-ból, az első lépésekhez kövesse a Microsoft Entra adatait az Azure Germany-ból való migráláshoz.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy megfelel ezeknek az előfeltételeknek.

A megfelelő identitások kiválasztása

Az Azure Government-alkalmazások Microsoft Entra Government-identitásokat és Microsoft Entra nyilvános identitásokat használhatnak a felhasználók hitelesítéséhez. Mivel ezen identitások bármelyikét használhatja, döntse el, hogy melyik szolgáltatói végpontot válassza a forgatókönyvhöz:

Nyilvános Microsoft Entra: Gyakran használják, ha a szervezet már rendelkezik Microsoft Entra nyilvános bérlővel a Microsoft 365 (nyilvános vagy GCC) vagy egy másik alkalmazás támogatásához.
Microsoft Entra Government: Általában akkor használatos, ha szervezete már rendelkezik Microsoft Entra Government-bérlővel az Office 365 támogatásához (GCC High vagy DoD), vagy új bérlőt hoz létre a Microsoft Entra Governmentben.

A döntés után különleges szempont, hogy hol végzi el az alkalmazásregisztrációt. Ha a Microsoft Entra nyilvános identitásokat választja az Azure Government-alkalmazáshoz, regisztrálnia kell az alkalmazást a Microsoft Entra nyilvános bérlőjében.

Azure Government-előfizetés lekérése

Azure Government-előfizetés beszerzéséhez tekintse meg az Előfizetés kezelése és csatlakoztatása az Azure Governmentben című témakört.

Ha nem rendelkezik Azure Government-előfizetéssel, a kezdés előtt hozzon létre egy ingyenes fiókot .

Az adott programozási nyelvvel rendelkező nemzeti felhő használatának részleteiért válassza a nyelvnek megfelelő lapot:

A MSAL.NET használatával bejelentkezhet a felhasználókba, jogkivonatokat szerezhet be, és meghívhatja a Microsoft Graph API-t a nemzeti felhőkben.

Az alábbi oktatóanyagok bemutatják, hogyan hozhat létre ASP.NET Core-webalkalmazást. Az alkalmazás OpenID Csatlakozás használatával jelentkeztet be munkahelyi és iskolai fiókkal rendelkező felhasználókat egy országos felhőhöz tartozó szervezetben.

A felhasználók bejelentkezéséhez és jogkivonatok beszerzéséhez kövesse ezt az oktatóanyagot: Hozzon létre egy ASP.NET Core webalkalmazás-bejelentkezési felhasználókat szuverén felhőkben a Microsoft Identitásplatform.
A Microsoft Graph API meghívásához kövesse az alábbi oktatóanyagot: A Microsoft Identitásplatform használatával meghívhatja a Microsoft Graph API-t egy ASP.NET Core-webalkalmazásból, a Microsoft National Cloudban munkahelyi és iskolai fiókjával bejelentkezett felhasználó nevében.

A szuverén felhők MSAL.js alkalmazásának engedélyezése:

Regisztrálja az alkalmazást egy adott portálon, a felhőtől függően. A portál kiválasztásával kapcsolatos további információkért tekintse meg az alkalmazásregisztrációs végpontokat
Használjon az adattárból származó mintákat a konfiguráció néhány módosításával, a felhőtől függően, amelyről a következő szó esik.
Használjon egy adott szolgáltatót attól függően, hogy melyik felhőben regisztrálta az alkalmazást. A különböző felhők hatóságaival kapcsolatos további információkért tekintse meg a Microsoft Entra hitelesítési végpontjait.
A Microsoft Graph API meghívásához a használt felhőre vonatkozó végponti URL-cím szükséges. Az összes országos felhőhöz tartozó Microsoft Graph-végpontok megkereséséhez tekintse meg a Microsoft Graph és a Graph Explorer szolgáltatás gyökérvégpontjait.

Íme egy példaszolgáltató:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Íme egy példa egy Microsoft Graph-végpontra, hatókörrel:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Az alábbi minimális kóddal hitelesít egy felhasználót szuverén felhővel, és meghívja a Microsoft Graphot:

const msalConfig = {
    auth: {
        clientId: "Enter_the_Application_Id_Here",
        authority: "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here",
        redirectUri: "/",
    }
};

// Initialize MSAL
const msalObj = new PublicClientApplication(msalConfig);

// Get token using popup experience
try {
    const graphToken = await msalObj.acquireTokenPopup({
        scopes: ["User.Read"]
    });
} catch(error) {
    console.log(error)
}

// Call the Graph API
const headers = new Headers();
const bearer = `Bearer ${graphToken}`;

headers.append("Authorization", bearer);

fetch("https://graph.microsoft.us/v1.0/me", {
    method: "GET",
    headers: headers
})

Az MSAL Python-alkalmazás szuverén felhőkhöz való engedélyezéséhez:

Regisztrálja az alkalmazást egy adott portálon, a felhőtől függően. A portál kiválasztásával kapcsolatos további információkért tekintse meg az alkalmazásregisztrációs végpontokat
Használjon az adattárból származó mintákat a konfiguráció néhány módosításával, a felhőtől függően, amelyről a következő szó esik.
Használjon egy adott szolgáltatót attól függően, hogy melyik felhőben regisztrálta az alkalmazást. A különböző felhők hatóságaival kapcsolatos további információkért tekintse meg a Microsoft Entra hitelesítési végpontjait.

Íme egy példaszolgáltató:
```
"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"
```
A Microsoft Graph API meghívásához a használt felhőre vonatkozó végponti URL-cím szükséges. Az összes országos felhőhöz tartozó Microsoft Graph-végpontok megkereséséhez tekintse meg a Microsoft Graph és a Graph Explorer szolgáltatás gyökérvégpontjait.

Íme egy példa egy Microsoft Graph-végpontra, hatókörrel:
```
"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"
```

Az MSAL szuverén felhőkhöz készült Java-alkalmazás engedélyezéséhez:

Regisztrálja az alkalmazást egy adott portálon, a felhőtől függően. A portál kiválasztásával kapcsolatos további információkért tekintse meg az alkalmazásregisztrációs végpontokat
Használjon az adattárból származó mintákat a konfiguráció néhány módosításával, a felhőtől függően, amelyet a következő lépésben említünk.
Használjon egy adott szolgáltatót attól függően, hogy melyik felhőben regisztrálta az alkalmazást. A különböző felhők hatóságaival kapcsolatos további információkért tekintse meg a Microsoft Entra hitelesítési végpontjait.

Íme egy példaszolgáltató:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

A Microsoft Graph API meghívásához a használt felhőre vonatkozó végponti URL-cím szükséges. Az összes országos felhőhöz tartozó Microsoft Graph-végpontok megkereséséhez tekintse meg a Microsoft Graph és a Graph Explorer szolgáltatás gyökérvégpontjait.

Íme egy példa egy gráfvégpontra a hatókörrel:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Az iOS-hez és macOS-hez készült MSAL használható jogkivonatok beszerzésére az országos felhőkben, de a létrehozáshoz MSALPublicClientApplicationtovábbi konfigurációra van szükség.

Ha például azt szeretné, hogy az alkalmazás több-bérlős alkalmazás legyen egy nemzeti felhőben (itt az USA kormányzati szerveinél), a következőket írhatja:

MSALAADAuthority *aadAuthority =
                [[MSALAADAuthority alloc] initWithCloudInstance:MSALAzureUsGovernmentCloudInstance
                                                   audienceType:MSALAzureADMultipleOrgsAudience
                                                      rawTenant:nil
                                                          error:nil];

MSALPublicClientApplicationConfig *config =
                [[MSALPublicClientApplicationConfig alloc] initWithClientId:@"<your-client-id-here>"
                                                                redirectUri:@"<your-redirect-uri-here>"
                                                                  authority:aadAuthority];

NSError *applicationError = nil;
MSALPublicClientApplication *application =
                [[MSALPublicClientApplication alloc] initWithConfiguration:config error:&applicationError];

Az iOS-hez és macOS-hez készült MSAL használható jogkivonatok beszerzésére az országos felhőkben, de a létrehozáshoz MSALPublicClientApplicationtovábbi konfigurációra van szükség.

Ha például azt szeretné, hogy az alkalmazás több-bérlős alkalmazás legyen egy nemzeti felhőben (itt az USA kormányzati szerveinél), a következőket írhatja:

let authority = try? MSALAADAuthority(cloudInstance: .usGovernmentCloudInstance, audienceType: .azureADMultipleOrgsAudience, rawTenant: nil)

let config = MSALPublicClientApplicationConfig(clientId: "<your-client-id-here>", redirectUri: "<your-redirect-uri-here>", authority: authority)
if let application = try? MSALPublicClientApplication(configuration: config) { /* Use application */}

Következő lépések

Az Egyes felhőkhöz tartozó Azure Portal URL-címeinek és jogkivonatvégpontjainak listájáért tekintse meg a nemzeti felhőhitelesítési végpontokat.

Nemzeti felhődokumentáció: