Felhasználókat bejelentkező webalkalmazás: Kódkonfiguráció

Ez a cikk bemutatja, hogyan konfigurálhat kódot egy olyan webalkalmazáshoz, amely bejelentkezik a felhasználókba.

Webalkalmazásokat támogató Microsoft-kódtárak

A webalkalmazások (és webes API-k) védelmére az alábbi Microsoft-kódtárak szolgálnak:

Nyelv/ keretrendszer	Projekt bekapcsolva GitHub	Csomag	Megszerzés közül	Felhasználók bejelentkezése	Webes API-k elérése	Általánosan elérhető (GA) vagy 1. nyilvános előzetes verzió
.NET	MSAL.NET	Microsoft.Identity.Client	—			FE
.NET	Microsoft.IdentityModel	Microsoft.IdentityModel	—	2	2	FE
ASP.NET Core	ASP.NET Core	Microsoft.AspNetCore.Authentication	Gyors útmutató			FE
ASP.NET Core	Microsoft.Identity.Web	Microsoft.Identity.Web	Gyors útmutató			FE
Java	MSAL4J	msal4j	Gyors útmutató			FE
Spring	spring-cloud-azure-starter-active-directory	spring-cloud-azure-starter-active-directory	Oktatóanyag			FE
Node.js	MSAL-csomópont	msal-node	Gyors útmutató			FE
Python	MSAL Python	msal				FE
Python	azonosság	azonosság	Gyors útmutató			--

⁽¹⁾ Az online szolgáltatásokra vonatkozó univerzális licencfeltételek a nyilvános előzetes verzióban lévő kódtárakra vonatkoznak.

⁽²⁾ A Microsoft.IdentityModel-kódtár csak a jogkivonatokat érvényesíti – nem tud azonosítókat vagy hozzáférési jogkivonatokat kérni.

Válassza ki a kívánt platformnak megfelelő lapot:

ASP.NET Core

A cikkben szereplő kódrészleteket és az alábbiakat a ASP.NET Core webalkalmazás növekményes oktatóanyagából nyerjük ki, 1. fejezet.

A megvalósítás részleteiért tekintse meg ezt az oktatóanyagot.

ASP.NET

A cikkben szereplő kódrészleteket és az alábbiakat a ASP.NET webalkalmazás-mintából nyerjük ki.

A teljes megvalósítási részletekért tekintse meg ezt a mintát.

Java

A cikkben szereplő kódrészletek és az alábbiak a Microsoft gráfmintát hívó Java-webalkalmazásból nyerhetők ki az MSAL Java-ban.

A teljes megvalósítási részletekért tekintse meg ezt a mintát.

Node.js

A cikkben szereplő kódrészleteket és az alábbiakat az MSAL-csomópont mintájában szereplő Node.js webalkalmazás-aláíró felhasználókból nyeri ki.

A teljes megvalósítási részletekért tekintse meg ezt a mintát.

Python

A cikkben szereplő kódrészletek és az alábbiak a Microsoft Graph-mintát hívó Python-webalkalmazásból nyerhetők ki az identitáscsomag (egy MSAL Python körüli burkoló) használatával.

A teljes megvalósítási részletekért tekintse meg ezt a mintát.

Konfigurációs fájlok

A felhasználókat a Microsoft Identitásplatform használó webalkalmazások konfigurációs fájlokon keresztül vannak konfigurálva. Ezeknek a fájloknak a következő értékeket kell megadniuk:

• A felhőpéldány, ha például azt szeretné, hogy az alkalmazás nemzeti felhőkben fusson. A különböző lehetőségek közé tartoznak a következők:
  • https://login.microsoftonline.com/ nyilvános Azure-felhőhöz
  • https://login.microsoftonline.us/ az Azure US Government esetében
  • https://login.microsoftonline.de/ Microsoft Entra Germany esetén
  • https://login.partner.microsoftonline.cn/common a 21Vianet által üzemeltetett Microsoft Entra China esetében
• A bérlőazonosító célközönsége. A lehetőségek attól függően változnak, hogy az alkalmazás egy bérlős vagy több-bérlős.
  • Az Azure Portalról beszerzett bérlői GUID a felhasználók szervezetbe való bejelentkezéséhez. Tartománynevet is használhat.
  • organizations felhasználók bejelentkezése bármely munkahelyi vagy iskolai fiókba
  • common a felhasználók munkahelyi vagy iskolai fiókjával vagy Microsoft személyes fiókjával való bejelentkezéshez
  • consumers a felhasználók csak Microsoft-személyes fiókkal való bejelentkezéséhez
• Az alkalmazás ügyfélazonosítója az Azure Portalról másolt módon

A szolgáltatóra mutató hivatkozások, a példány és a bérlőazonosító értékeinek összefűzése is megjelenhet.

ASP.NET Core

A ASP.NET Core-ban ezek a beállítások a appsettings.json fájlban, a "Microsoft Entra ID" szakaszban találhatók.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "[Enter the tenantId here]",

    // Client ID (application ID) obtained from the Azure portal
    "ClientId": "[Enter the Client Id here]",
    "CallbackPath": "/signin-oidc",
    "SignedOutCallbackPath": "/signout-oidc"
  }
}

A ASP.NET Core-ban egy másik fájl (properties\launchSettings.json) tartalmazza az alkalmazás URL-címét (applicationUrl) és a TLS/SSL-portot (sslPort) és a különböző profilokat.

{
  "iisSettings": {
    "windowsAuthentication": false,
    "anonymousAuthentication": true,
    "iisExpress": {
      "applicationUrl": "http://localhost:3110/",
      "sslPort": 44321
    }
  },
  "profiles": {
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development"
      }
    },
    "webApp": {
      "commandName": "Project",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development"
      },
      "applicationUrl": "http://localhost:3110/"
    }
  }
}

Az Azure Portalon az alkalmazás hitelesítési oldalán regisztrált átirányítási URI-knak meg kell egyezniük ezekkel az URL-címekkel. Az előző két konfigurációs fájl esetében a következő lenne https://localhost:44321/signin-oidc: . Ennek oka az, hogy applicationUrl az , de sslPort meg van adva (44321http://localhost:3110). CallbackPatha /signin-oidc.appsettings.json

Ugyanígy a kijelentkezés URI-ja is a következőre van állítva https://localhost:44321/signout-oidc: .

Feljegyzés

A SignedOutCallbackPath-nak a portálra vagy az alkalmazásra kell állítania, hogy elkerülje az ütközést az esemény kezelése során.

ASP.NET

A ASP.NET az alkalmazást a 12–15. sor appsettings.json fájlon keresztül konfigurálja.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "[Enter the tenantId here]",
    "ClientId": "[Enter the Client Id here]",
  }
}

Az Azure Portalon az alkalmazás hitelesítési oldalán regisztrálandó válasz URL-címeknek meg kell egyezniük ezekkel az URL-címekkel. Ez azt, hogy kell https://localhost:44326/.

Java

A Java-ban a konfiguráció az application.properties fájlban src/main/resourcestalálható.

aad.clientId=Enter_the_Application_Id_here
aad.authority=https://login.microsoftonline.com/Enter_the_Tenant_Info_Here/
aad.secretKey=Enter_the_Client_Secret_Here
aad.redirectUriSignin=http://localhost:8080/msal4jsample/secure/aad
aad.redirectUriGraph=http://localhost:8080/msal4jsample/graph/me

Az Azure Portalon az alkalmazás hitelesítési oldalán regisztrált válasz URI-knak meg kell egyeznie az redirectUri alkalmazás által definiált példányokkal. Ez azt, hogy kell http://localhost:8080/msal4jsample/secure/aad , és http://localhost:8080/msal4jsample/graph/me.

Node.js

A konfigurációs paraméterek a .env.dev környezeti változókként találhatók:

CLOUD_INSTANCE="Enter_the_Cloud_Instance_Id_Here" # cloud instance string should end with a trailing slash
TENANT_ID="Enter_the_Tenant_Info_Here"
CLIENT_ID="Enter_the_Application_Id_Here"
CLIENT_SECRET="Enter_the_Client_Secret_Here"

REDIRECT_URI="http://localhost:3000/auth/redirect"
POST_LOGOUT_REDIRECT_URI="http://localhost:3000"

GRAPH_API_ENDPOINT="Enter_the_Graph_Endpoint_Here" # graph api endpoint string should end with a trailing slash

EXPRESS_SESSION_SECRET="Enter_the_Express_Session_Secret_Here"

Ezek a paraméterek egy konfigurációs objektum létrehozására szolgálnak authConfig.js fájlban, amely végül az MSAL-csomópont inicializálására szolgál:

/*
 * Copyright (c) Microsoft Corporation. All rights reserved.
 * Licensed under the MIT License.
 */

require('dotenv').config({ path: '.env.dev' });

/**
 * Configuration object to be passed to MSAL instance on creation.
 * For a full list of MSAL Node configuration parameters, visit:
 * https://github.com/AzureAD/microsoft-authentication-library-for-js/blob/dev/lib/msal-node/docs/configuration.md
 */
const msalConfig = {
    auth: {
        clientId: process.env.CLIENT_ID, // 'Application (client) ID' of app registration in Azure portal - this value is a GUID
        authority: process.env.CLOUD_INSTANCE + process.env.TENANT_ID, // Full directory URL, in the form of https://login.microsoftonline.com/<tenant>
        clientSecret: process.env.CLIENT_SECRET // Client secret generated from the app registration in Azure portal
    },
    system: {
        loggerOptions: {
            loggerCallback(loglevel, message, containsPii) {
                console.log(message);
            },
            piiLoggingEnabled: false,
            logLevel: 3,
        }
    }
}

const REDIRECT_URI = process.env.REDIRECT_URI;
const POST_LOGOUT_REDIRECT_URI = process.env.POST_LOGOUT_REDIRECT_URI;
const GRAPH_ME_ENDPOINT = process.env.GRAPH_API_ENDPOINT + "v1.0/me";

module.exports = {
    msalConfig,
    REDIRECT_URI,
    POST_LOGOUT_REDIRECT_URI,
    GRAPH_ME_ENDPOINT
};

Az Azure Portalon az alkalmazás hitelesítési oldalán regisztrált válasz URI-knak meg kell egyeznie az alkalmazás által definiált átirányításiUri-példányokkal (http://localhost:3000/auth/redirect).

A cikkben szereplő egyszerűség kedvéért az ügyfél titkos kódját a konfigurációs fájl tárolja. Az éles alkalmazásban fontolja meg egy kulcstartó vagy egy környezeti változó használatát. Még jobb megoldás a tanúsítvány használata.

Python

A konfigurációs paraméterek környezeti változóként .env formátumban vannak beállítva:

# Note: If you are using Azure App Service, go to your app's Configuration,
# and then set the following values into your app's "Application settings".

CLIENT_ID=<client id>
CLIENT_SECRET=<client secret>

# Expects a full authority URL such as "https://login.microsoftonline.com/TENANT_GUID"
# or "https://login.microsoftonline.com/contoso.onmicrosoft.com".
# Alternatively, leave it undefined if you are building a multi-tenant app in world-wide cloud
#AUTHORITY=<authority url>

Ezekre a környezeti változókra a app_config.py hivatkozik:

import os

# Application (client) ID of app registration
CLIENT_ID = os.getenv("CLIENT_ID")
# Application's generated client secret: never check this into source control!
CLIENT_SECRET = os.getenv("CLIENT_SECRET")

# You can configure your authority via environment variable
# Defaults to a multi-tenant app in world-wide cloud
AUTHORITY = os.getenv("AUTHORITY", "https://login.microsoftonline.com/common")

REDIRECT_PATH = "/getAToken"  # Used for forming an absolute URL to your redirect URI.
# The absolute URL must match the redirect URI you set
# in the app's registration in the Azure portal.

# You can find more Microsoft Graph API endpoints from Graph Explorer
# https://developer.microsoft.com/en-us/graph/graph-explorer
ENDPOINT = 'https://graph.microsoft.com/v1.0/users'  # This resource requires no admin consent

# You can find the proper permission names from this document
# https://docs.microsoft.com/en-us/graph/permissions-reference
SCOPE = ["User.ReadBasic.All"]

# Tells the Flask-session extension to store sessions in the filesystem
SESSION_TYPE = "filesystem"
# Using the file system will not work in most production systems,
# it's better to use a database-backed session store instead.

Az .env fájlt soha nem szabad beolvasni a forrásvezérlőbe, mivel titkos kódokat tartalmaz. A rövid útmutató minta tartalmaz egy .gitignore fájlt, amely megakadályozza az .env fájl beadását.

# Environments
.env

Inicializálási kód

Az inicializálási kód különbségei platformfüggőek. A ASP.NET Core és ASP.NET esetén a felhasználók bejelentkezése az OpenID Connect köztes szoftverbe delegálva történik. A ASP.NET vagy ASP.NET Core-sablon webalkalmazásokat hoz létre az Azure AD 1.0-s végponthoz. A Microsoft Identitásplatform való alkalmazkodáshoz bizonyos konfigurációra van szükség.

ASP.NET Core

A ASP.NET Core-webalkalmazásokban (és webes API-kban) az alkalmazás védett, mert rendelkezik egy Authorize attribútummal a vezérlők vagy a vezérlőműveletek esetében. Ez az attribútum ellenőrzi, hogy a felhasználó hitelesítése megtörtént-e. A .NET 6 kiadása előtt a kód inicializálása a Startup.cs fájlban történt. A .NET 6-ot tartalmazó új ASP.NET Core-projektek már nem tartalmaznak Startup.cs fájlt. A helyét a Program.cs fájl veszi át. Az oktatóanyag többi része a .NET 5-ös vagy újabb verziójára vonatkozik.

Feljegyzés

Ha közvetlenül a Microsoft.Identity.Webet használó Microsoft Identitásplatform új ASP.NET Core-sablonjaival szeretne kezdeni, letöltheti a .NET 5.0-hoz készült projektsablonokat tartalmazó előzetes NuGet-csomagot. Ezután a telepítés után közvetlenül példányosíthatja ASP.NET Core-webalkalmazásokat (MVC vagy Blazor). Részletekért tekintse meg a Microsoft.Identity.Web webalkalmazás projektsablonjait . Ez a legegyszerűbb megközelítés, mivel a következő lépéseket fogja elvégezni Önnek.

Ha inkább az aktuális alapértelmezett ASP.NET Core webes projekttel szeretné elindítani a projektet a Visual Studióban, vagy használja vagy dotnet new webapp --auth SingleOrghasználjadotnet new mvc --auth SingleOrg, a következőhöz hasonló kód jelenik meg:

 services.AddAuthentication(AzureADDefaults.AuthenticationScheme)
         .AddAzureAD(options => Configuration.Bind("AzureAd", options));

Ez a kód az örökölt Microsoft.AspNetCore.Authentication.AzureAD.UI NuGet-csomagot használja, amely egy Azure Active Directory v1.0-s alkalmazás létrehozásához használatos. Ez a cikk bemutatja, hogyan hozhat létre Microsoft Identitásplatform 2.0-s verziós alkalmazást, amely lecseréli a kódot.

1. Adja hozzá a Microsoft.Identity.Web és a Microsoft.Identity.Web.UI NuGet-csomagokat a projekthez. Távolítsa el a Microsoft.AspNetCore.Authentication.AzureAD.UI NuGet-csomagot, ha az jelen van.

2. Frissítse a kódot ConfigureServices úgy, hogy a metódusokat és AddMicrosoftIdentityUI a AddMicrosoftIdentityWebApp metódusokat használja.

   public class Startup
   {
    ...
    // This method gets called by the runtime. Use this method to add services to the container.
    public void ConfigureServices(IServiceCollection services)
    {
     services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
            .AddMicrosoftIdentityWebApp(Configuration, "AzureAd");
   
     services.AddRazorPages().AddMvcOptions(options =>
     {
      var policy = new AuthorizationPolicyBuilder()
                    .RequireAuthenticatedUser()
                    .Build();
      options.Filters.Add(new AuthorizeFilter(policy));
     }).AddMicrosoftIdentityUI();
   

3. A Startup.cs metódusában engedélyezze a Configure hitelesítést a következő hívássalapp.UseAuthentication();: és app.MapControllers();.

   // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
   public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
   {
    // more code here
    app.UseAuthentication();
    app.UseAuthorization();
   
    app.MapRazorPages();
    app.MapControllers();
    // more code here
   }
   

Ebben a kódban:

• A AddMicrosoftIdentityWebApp bővítménymetódus a Microsoft.Identity.Web-ben van definiálva, amely;

  • Konfigurálja a konfigurációs fájl olvasási beállításait (itt a "Microsoft Entra ID" szakaszból)
  • Úgy konfigurálja az OpenID Connect beállításait, hogy a szolgáltató legyen a Microsoft Identitásplatform.
  • Ellenőrzi a jogkivonat kiállítóját.
  • Biztosítja, hogy a névnek megfelelő jogcímek le vannak képezve az preferred_username azonosító jogkivonatában szereplő jogcímből.

• A konfigurációs objektum mellett megadhatja a konfigurációs szakasz nevét híváskor AddMicrosoftIdentityWebApp. Alapértelmezés szerint az AzureAd.

• AddMicrosoftIdentityWebApp speciális forgatókönyvekhez más paraméterekkel is rendelkezik. Az OpenID Connect köztes szoftveresemények nyomon követése például segíthet a webalkalmazás hibaelhárításában, ha a hitelesítés nem működik. Az opcionális paraméter subscribeToOpenIdConnectMiddlewareDiagnosticsEvents true beállítása megmutatja, hogy a ASP.NET Core köztes szoftverkészlet hogyan dolgozza fel az adatokat, miközben az a HTTP-válaszból a felhasználó HttpContext.Useridentitására mutat.

• A AddMicrosoftIdentityUI bővítménymetódus a Microsoft.Identity.Web.UI-ban van definiálva. Ez egy alapértelmezett vezérlőt biztosít a bejelentkezés és a kijelentkezés kezeléséhez.

Ha többet szeretne tudni arról, hogy a Microsoft.Identity.Web hogyan teszi lehetővé a webalkalmazások létrehozását, tekintse meg a Web Apps alkalmazást a Microsoft-Identity-Web webhelyen.

ASP.NET

A ASP.NET webalkalmazások és webes API-k hitelesítéséhez kapcsolódó kód a App_Start/Startup.Auth.cs fájlban található.

 public void ConfigureAuth(IAppBuilder app)
 {
  app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);

  app.UseCookieAuthentication(new CookieAuthenticationOptions());

  OwinTokenAcquirerFactory factory = TokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>();
  factory.Build();
  app.AddMicrosoftIdentityWebApi(factory);
 }

Java

A Java-minta a Spring-keretrendszert használja. Az alkalmazás védett, mert egy szűrőt implementál, amely elfogja az egyes HTTP-válaszokat. A Java-webalkalmazások rövid útmutatójában ez a szűrő találhatóAuthFilter.src/main/java/com/microsoft/azure/msalwebsample/AuthFilter.java

A szűrő feldolgozza az OAuth 2.0 engedélyezési kódfolyamatot, és ellenőrzi, hogy a felhasználó hitelesítése megtörtént-e (isAuthenticated() metódus). Ha a felhasználó nincs hitelesítve, kiszámítja a Microsoft Entra engedélyezési végpontjainak URL-címét, és átirányítja a böngészőt erre az URI-ra.

Amikor megérkezik a válasz, amely tartalmazza az engedélyezési kódot, az MSAL Java használatával szerzi be a jogkivonatot. Amikor végül megkapja a jogkivonatot a jogkivonat végpontjától (az átirányítási URI-n), a felhasználó bejelentkezik.

További részletekért tekintse meg a doFilter() AuthFilter.java metódusát.

Feljegyzés

A kód doFilter() kissé eltérő sorrendben van megírva, de a folyamat a leírt.

A metódus által aktivált engedélyezési kódfolyamat részleteiért tekintse meg a Microsoft Identitásplatform és az OAuth 2.0 engedélyezési kódfolyamatát.

Node.js

A csomópontminta az Express-keretrendszert használja. Az MSAL inicializálva van a hitelesítési útvonal kezelőjében:

var express = require('express');

const authProvider = require('../auth/AuthProvider');
const { REDIRECT_URI, POST_LOGOUT_REDIRECT_URI } = require('../authConfig');

const router = express.Router();

router.get('/signin', authProvider.login({
    scopes: [],
    redirectUri: REDIRECT_URI,
    successRedirect: '/'

Python

A Python-minta a Flask-keretrendszerrel készült, de más keretrendszerek, például a Django is használhatók. A Flask-alkalmazás inicializálva van az alkalmazás konfigurációjával a app.py tetején:

import identity
import identity.web
import requests
from flask import Flask, redirect, render_template, request, session, url_for
from flask_session import Session

import app_config

app = Flask(__name__)
app.config.from_object(app_config)
Session(app)

Ezután a kód létrehoz egy auth objektumot az identitáscsomag használatával.

auth = identity.web.Auth(
    session=session,
    authority=app.config["AUTHORITY"],
    client_id=app.config["CLIENT_ID"],
    client_credential=app.config["CLIENT_SECRET"],
)

Következő lépés

ASP.NET Core

Jelentkezzen be és jelentkezzen ki.

ASP.NET

Jelentkezzen be és jelentkezzen ki.

Java

Jelentkezzen be és jelentkezzen ki.

Node.js

Jelentkezzen be és jelentkezzen ki.

Python

Jelentkezzen be és jelentkezzen ki.