Menggunakan MSAL di lingkungan cloud nasional

Artikel
10/24/2023

Cloud nasional, juga dikenal sebagai Sovereign cloud, adalah instans Azure yang terisolasi secara fisik. Wilayah Azure ini membantu memastikan persyaratan kediaman, kedaulatan, dan kepatuhan data dihormati dalam batas geografis.

Selain cloud Microsoft di seluruh dunia, Microsoft Authentication Library (MSAL) memungkinkan pengembang aplikasi di cloud nasional memperoleh token untuk mengautentikasi dan memanggil API web aman. API web ini dapat berupa Microsoft Graph atau API Microsoft lainnya.

Termasuk cloud Azure global, ID Microsoft Entra disebarkan di cloud nasional berikut:

Azure Government
Microsoft Azure dioperasikan oleh 21Vianet
Azure Germany (Tutup pada 29 Oktober 2021)

Panduan ini menunjukkan cara masuk ke akun kantor dan sekolah, mendapatkan token akses, dan memanggil API Microsoft Graph di lingkungan cloud Microsoft Azure Government.

Azure Jerman (Microsoft Cloud Deutschland)

Peringatan

Azure Jerman (Microsoft Cloud Deutschland) akan ditutup pada 29 Oktober 2021. Layanan dan aplikasi yang Anda pilih tidak untuk dimigrasikan ke wilayah di Azure global sebelum tanggal tersebut tidak akan dapat diakses.

Jika Anda belum memigrasikan aplikasi dari Azure Jerman, ikuti informasi Microsoft Entra untuk migrasi dari Azure Jerman untuk memulai.

Prasyarat

Sebelum memulai, pastikan Anda memenuhi prasyarat ini.

Memilih identitas yang sesuai

Aplikasi Azure Government dapat menggunakan identitas Microsoft Entra Government dan identitas Microsoft Entra Public untuk mengautentikasi pengguna. Karena Anda dapat menggunakan salah satu identitas ini, putuskan titik akhir otoritas mana yang harus Anda pilih untuk skenario Anda:

Microsoft Entra Public: Umumnya digunakan jika organisasi Anda sudah memiliki penyewa Microsoft Entra Public untuk mendukung Microsoft 365 (Publik atau GCC) atau aplikasi lain.
Microsoft Entra Government: Umumnya digunakan jika organisasi Anda sudah memiliki penyewa Microsoft Entra Government untuk mendukung Office 365 (GCC High atau DoD) atau membuat penyewa baru di Microsoft Entra Government.

Setelah memutuskan, pertimbangan khusus adalah tempat Anda melakukan pendaftaran aplikasi. Jika Anda memilih Identitas Publik Microsoft Entra untuk aplikasi Azure Government, Anda harus mendaftarkan aplikasi di penyewa Microsoft Entra Public Anda.

Mendapatkan langganan Microsoft Azure Government

Untuk mendapatkan langganan Microsoft Azure Government, lihat Mengelola dan menyambungkan ke langganan Anda di Microsoft Azure Government.

Jika tidak memiliki langganan Microsoft Azure Government, buat akun gratis sebelum memulai.

Untuk detail tentang menggunakan cloud nasional dengan bahasa pemrograman tertentu, pilih tab yang cocok dengan bahasa Anda:

Anda dapat menggunakan MSAL.NET untuk memasukkan pengguna, memperoleh token, dan memanggil API Microsoft Graph di cloud nasional.

Tutorial berikut menunjukkan cara membuat aplikasi web ASP.NET Core. Aplikasi ini menggunakan OpenID Connect untuk memasukkan pengguna dengan akun kantor dan sekolah di organisasi yang termasuk dalam cloud nasional.

Untuk memasukkan pengguna dan memperoleh token, ikuti tutorial ini: Membangun pengguna masuk aplikasi web ASP.NET Core di sovereign cloud dengan platform identitas Microsoft.
Untuk memanggil Microsoft Graph API, ikuti tutorial ini: Menggunakan platform identitas Microsoft untuk memanggil Microsoft Graph API dari aplikasi web ASP.NET Core, atas nama pengguna yang masuk menggunakan akun kerja dan sekolah mereka di Microsoft National Cloud.

Agar dapat mengaktifkan aplikasi MSAL.js Anda untuk sovereign cloud:

Daftarkan aplikasi Anda di portal tertentu, tergantung pada cloud. Untuk informasi selengkapnya tentang cara memilih portal, lihat Titik akhir pendaftaran aplikasi
Gunakan salah satu sampel dari repo dengan beberapa perubahan pada konfigurasi, tergantung pada cloud, yang disebutkan setelahnya.
Gunakan otoritas tertentu, tergantung pada cloud tempat Anda mendaftarkan aplikasi. Untuk informasi selengkapnya tentang otoritas untuk cloud yang berbeda, lihat titik akhir autentikasi Microsoft Entra.
Memanggil API Microsoft Graph memerlukan URL titik akhir yang khusus untuk cloud yang Anda gunakan. Agar dapat menemukan titik akhir Microsoft Graph untuk seluruh cloud nasional, lihat Titik akhir akar layanan Microsoft Graph dan Graph Explorer.

Berikut adalah contoh otoritas:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Berikut adalah contoh titik akhir Microsoft Graph, dengan cakupan:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Berikut adalah kode minimal untuk mengautentikasi pengguna dengan sovereign cloud dan memanggil Microsoft Graph:

const msalConfig = {
    auth: {
        clientId: "Enter_the_Application_Id_Here",
        authority: "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here",
        redirectUri: "/",
    }
};

// Initialize MSAL
const msalObj = new PublicClientApplication(msalConfig);

// Get token using popup experience
try {
    const graphToken = await msalObj.acquireTokenPopup({
        scopes: ["User.Read"]
    });
} catch(error) {
    console.log(error)
}

// Call the Graph API
const headers = new Headers();
const bearer = `Bearer ${graphToken}`;

headers.append("Authorization", bearer);

fetch("https://graph.microsoft.us/v1.0/me", {
    method: "GET",
    headers: headers
})

Agar dapat mengaktifkan aplikasi MSAL Python Anda untuk sovereign cloud:

Daftarkan aplikasi Anda di portal tertentu, tergantung pada cloud. Untuk informasi selengkapnya tentang cara memilih portal, lihat Titik akhir pendaftaran aplikasi
Gunakan salah satu sampel dari repo dengan beberapa perubahan pada konfigurasi, tergantung pada cloud, yang disebutkan setelahnya.
Gunakan otoritas tertentu, tergantung pada cloud tempat Anda mendaftarkan aplikasi. Untuk informasi selengkapnya tentang otoritas untuk cloud yang berbeda, lihat titik akhir autentikasi Microsoft Entra.

Berikut adalah contoh otoritas:
```
"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"
```
Memanggil API Microsoft Graph memerlukan URL titik akhir yang khusus untuk cloud yang Anda gunakan. Agar dapat menemukan titik akhir Microsoft Graph untuk seluruh cloud nasional, lihat Titik akhir akar layanan Microsoft Graph dan Graph Explorer.

Berikut adalah contoh titik akhir Microsoft Graph, dengan cakupan:
```
"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"
```

Agar dapat mengaktifkan aplikasi MSAL untuk aplikasi Java Anda untuk sovereign cloud:

Daftarkan aplikasi Anda di portal tertentu, tergantung pada cloud. Untuk informasi selengkapnya tentang cara memilih portal, lihat Titik akhir pendaftaran aplikasi
Gunakan salah satu sampel dari repo dengan beberapa perubahan pada konfigurasi, tergantung pada cloud, yang disebutkan setelahnya.
Gunakan otoritas tertentu, tergantung pada cloud tempat Anda mendaftarkan aplikasi. Untuk informasi selengkapnya tentang otoritas untuk cloud yang berbeda, lihat titik akhir autentikasi Microsoft Entra.

Berikut adalah contoh otoritas:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Memanggil API Microsoft Graph memerlukan URL titik akhir yang khusus untuk cloud yang Anda gunakan. Agar dapat menemukan titik akhir Microsoft Graph untuk seluruh cloud nasional, lihat Titik akhir akar layanan Microsoft Graph dan Graph Explorer.

Berikut adalah contoh titik akhir grafik, dengan cakupan:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

MSAL untuk iOS dan macOS dapat digunakan untuk memperoleh token di cloud nasional, tetapi memerlukan konfigurasi tambahan saat membuat MSALPublicClientApplication.

Misalnya, jika Anda ingin aplikasi Anda menjadi aplikasi multi-penyewa di cloud nasional (di sini Pemerintah AS), Anda dapat menulis:

MSALAADAuthority *aadAuthority =
                [[MSALAADAuthority alloc] initWithCloudInstance:MSALAzureUsGovernmentCloudInstance
                                                   audienceType:MSALAzureADMultipleOrgsAudience
                                                      rawTenant:nil
                                                          error:nil];

MSALPublicClientApplicationConfig *config =
                [[MSALPublicClientApplicationConfig alloc] initWithClientId:@"<your-client-id-here>"
                                                                redirectUri:@"<your-redirect-uri-here>"
                                                                  authority:aadAuthority];

NSError *applicationError = nil;
MSALPublicClientApplication *application =
                [[MSALPublicClientApplication alloc] initWithConfiguration:config error:&applicationError];

MSAL untuk iOS dan macOS dapat digunakan untuk memperoleh token di cloud nasional, tetapi memerlukan konfigurasi tambahan saat membuat MSALPublicClientApplication.

Misalnya, jika Anda ingin aplikasi Anda menjadi aplikasi multi-penyewa di cloud nasional (di sini Pemerintah AS), Anda dapat menulis:

let authority = try? MSALAADAuthority(cloudInstance: .usGovernmentCloudInstance, audienceType: .azureADMultipleOrgsAudience, rawTenant: nil)

let config = MSALPublicClientApplicationConfig(clientId: "<your-client-id-here>", redirectUri: "<your-redirect-uri-here>", authority: authority)
if let application = try? MSALPublicClientApplication(configuration: config) { /* Use application */}

Langkah berikutnya

Lihat Titik akhir autentikasi cloud nasional untuk daftar URL portal Microsoft Azure dan titik akhir token untuk tiap cloud.

Dokumentasi cloud nasional: