Mengaktifkan aplikasi Java WebLogic untuk memasukkan pengguna dan mengakses Microsoft Graph

Artikel ini menunjukkan aplikasi Java WebLogic yang memasukkan pengguna dan mendapatkan token akses untuk memanggil Microsoft Graph. Ini menggunakan Microsoft Authentication Library (MSAL) untuk Java.

Diagram berikut menunjukkan topologi aplikasi:

Diagram yang menunjukkan topologi aplikasi.

Aplikasi klien menggunakan MSAL for Java (MSAL4J) untuk memasukkan pengguna dan mendapatkan token akses untuk Microsoft Graph dari ID Microsoft Entra. Token akses membuktikan bahwa pengguna berwenang untuk mengakses titik akhir Microsoft Graph API seperti yang didefinisikan dalam cakupan.

Prasyarat

• Java 8 atau lebih tinggi
• Maven 3
• Penyewa ID Microsoft Entra. Untuk informasi selengkapnya, lihat Cara mendapatkan penyewa MICROSOFT Entra ID.
• Akun pengguna di penyewa ID Microsoft Entra Anda sendiri jika Anda ingin bekerja dengan akun di direktori organisasi Anda saja - yaitu, dalam mode penyewa tunggal. Jika Anda belum membuat akun pengguna di penyewa, Anda harus melakukannya sebelum melanjutkan. Untuk informasi selengkapnya, lihat Cara membuat, mengundang, dan menghapus pengguna.
• Akun pengguna di penyewa MICROSOFT Entra ID organisasi mana pun jika Anda ingin bekerja dengan akun di direktori organisasi apa pun - yaitu, dalam mode multipenyewa. Sampel ini harus dimodifikasi agar berfungsi dengan akun Microsoft pribadi. Jika Anda belum membuat akun pengguna di penyewa, Anda harus melakukannya sebelum melanjutkan. Untuk informasi selengkapnya, lihat Cara membuat, mengundang, dan menghapus pengguna.
• Akun Microsoft pribadi - misalnya, Xbox, Hotmail, Live, dan sebagainya - jika Anda ingin bekerja dengan akun Microsoft pribadi.

• WebLogic
• Visual Studio Code
• Alat Azure untuk Visual Studio Code

Rekomendasi

• Beberapa keakraban dengan Java / Jakarta Servlets.
• Beberapa keakraban dengan terminal Linux/OSX.
• jwt.ms untuk memeriksa token Anda.
• Fiddler untuk memantau aktivitas jaringan dan pemecahan masalah Anda.
• Ikuti Blog Microsoft Entra untuk tetap up-to-date dengan perkembangan terbaru.

Menyiapkan sampel

Bagian berikut menunjukkan kepada Anda cara menyiapkan aplikasi sampel.

Mengkloning atau mengunduh repositori sampel

Untuk mengkloning sampel, buka jendela Bash dan gunakan perintah berikut:

git clone https://github.com/Azure-Samples/ms-identity-msal-java-samples.git
cd 3-java-servlet-web-app/2-Authorization-I/call-graph

Atau, navigasikan ke repositori ms-identity-msal-java-samples , lalu unduh sebagai file .zip dan ekstrak ke hard drive Anda.

Penting

Untuk menghindari batasan panjang jalur file pada Windows, kloning atau ekstrak repositori ke direktori di dekat akar hard drive Anda.

Mendaftarkan aplikasi sampel dengan penyewa MICROSOFT Entra ID Anda

Ada satu proyek dalam sampel ini. Bagian berikut menunjukkan kepada Anda cara mendaftarkan aplikasi menggunakan portal Azure.

Pilih penyewa ID Microsoft Entra tempat Anda ingin membuat aplikasi

Untuk memilih penyewa Anda, gunakan langkah-langkah berikut:

1. Masuk ke portal Azure.

2. Jika akun Anda ada di lebih dari satu penyewa MICROSOFT Entra ID, pilih profil Anda di sudut portal Azure, lalu pilih Alihkan direktori untuk mengubah sesi Anda ke penyewa MICROSOFT Entra ID yang diinginkan.

Mendaftarkan aplikasi (java-servlet-webapp-call-graph)

Pertama, daftarkan aplikasi baru di portal Azure dengan mengikuti instruksi di Mulai Cepat: Mendaftarkan aplikasi dengan platform identitas Microsoft.

Kemudian, gunakan langkah-langkah berikut untuk menyelesaikan pendaftaran:

1. Navigasikan ke halaman platform identitas Microsoft untuk pengembang Pendaftaran aplikasi.

2. Pilih Pendaftaran baru.

3. Di halaman Daftarkan aplikasi yang muncul, masukkan informasi pendaftaran aplikasi berikut ini:

   • Di bagian Nama , masukkan nama aplikasi yang bermakna untuk ditampilkan kepada pengguna aplikasi - misalnya, java-servlet-webapp-call-graph.

   • Di bawah Jenis akun yang didukung, pilih salah satu opsi berikut:

     • Pilih Akun di direktori organisasi ini hanya jika Anda membuat aplikasi untuk digunakan hanya oleh pengguna di penyewa Anda - yaitu, aplikasi penyewa tunggal.
     • Pilih Akun di direktori organisasi apa pun jika Anda ingin pengguna di penyewa ID Microsoft Entra mana pun dapat menggunakan aplikasi Anda - yaitu, aplikasi multipenyewa .
     • Pilih Akun di direktori organisasi dan akun Microsoft pribadi apa pun untuk sekumpulan pelanggan terluas - yaitu, aplikasi multipenyewa yang juga mendukung akun pribadi Microsoft.

   • Pilih Akun Microsoft Pribadi untuk digunakan hanya oleh pengguna akun Microsoft pribadi - misalnya, akun Hotmail, Live, Skype, dan Xbox.

   • Di bagian URI Pengalihan, pilih Web di kotak kombo dan masukkan URI pengalihan berikut: http://localhost:8080/msal4j-servlet-graph/auth/redirect.

4. Pilih Daftar untuk membuat aplikasi.

5. Pada halaman pendaftaran aplikasi, temukan dan salin nilai ID Aplikasi (klien) untuk digunakan nanti. Anda menggunakan nilai ini dalam file atau file konfigurasi aplikasi Anda.

6. Pilih Simpan untuk menerapkan perubahan.

7. Pada halaman pendaftaran aplikasi, pilih Sertifikat & rahasia di panel navigasi untuk membuka halaman tempat Anda dapat membuat rahasia dan mengunggah sertifikat.

8. Di bagian Rahasia klien, pilih Rahasia klien baru.

9. Ketik deskripsi - misalnya, rahasia aplikasi.

10. Pilih salah satu durasi yang tersedia: Dalam 1 tahun, Dalam 2 tahun, atau Tidak Pernah Kedaluwarsa.

11. Pilih Tambahkan. Nilai yang dihasilkan ditampilkan.

12. Salin dan simpan nilai yang dihasilkan untuk digunakan di langkah selanjutnya. Anda memerlukan nilai ini untuk file konfigurasi kode Anda. Nilai ini tidak ditampilkan lagi, dan Anda tidak dapat mengambilnya dengan cara lain. Jadi, pastikan untuk menyimpannya dari portal Azure sebelum Anda menavigasi ke layar atau panel lain.

13. Pada halaman pendaftaran aplikasi, pilih izin API dari panel navigasi untuk membuka halaman untuk menambahkan akses ke API yang dibutuhkan aplikasi Anda.

14. Pilih Tambahkan izin.

15. Pastikan bahwa tab API Microsoft dipilih.

16. Di bagian Microsoft API yang umum digunakan, pilih Microsoft Graph.

17. Di bagian Izin yang didelegasikan, pilih User.Read dari daftar. Gunakan kotak pencarian jika perlu.

18. Pilih Tambahkan izin.

---

Mengonfigurasi aplikasi (java-servlet-webapp-call-graph) untuk menggunakan pendaftaran aplikasi Anda

Gunakan langkah-langkah berikut untuk mengonfigurasi aplikasi:

Catatan

Dalam langkah-langkah berikut, ClientID sama dengan Application ID atau AppId.

1. Buka proyek di IDE Anda.

2. Buka file ./src/main/resources/authentication.properties.

3. Temukan {enter-your-tenant-id-here} stringnya. Ganti nilai yang sudah ada dengan salah satu nilai berikut:

   • ID penyewa ID Microsoft Entra Anda jika Anda mendaftarkan aplikasi dengan opsi Hanya Akun di direktori organisasi ini.
   • Kata organizations jika Anda mendaftarkan aplikasi dengan Akun di opsi direktori organisasi apa pun.
   • Kata common jika Anda mendaftarkan aplikasi dengan Akun di direktori organisasi dan opsi akun Microsoft pribadi apa pun.
   • Kata consumers jika Anda mendaftarkan aplikasi Anda dengan opsi Akun Microsoft Pribadi.

4. Temukan string {enter-your-client-id-here} dan ganti nilai yang ada dengan ID aplikasi atau clientId aplikasi yang java-servlet-webapp-call-graph disalin dari portal Azure.

5. Temukan string {enter-your-client-secret-here} dan ganti nilai yang ada dengan nilai yang Anda simpan selama pembuatan java-servlet-webapp-call-graph aplikasi, di portal Azure.

Susun sampel

Untuk membuat sampel menggunakan Maven, navigasikan ke direktori yang berisi file pom.xml untuk sampel, lalu jalankan perintah berikut:

mvn clean package

Perintah ini menghasilkan file .war yang dapat Anda jalankan di berbagai server aplikasi.

Menyebarkan sampel

Instruksi ini mengasumsikan bahwa Anda menginstal WebLogic dan menyiapkan beberapa domain server.

Sebelum Anda dapat menyebarkan ke WebLogic, gunakan langkah-langkah berikut untuk membuat beberapa perubahan konfigurasi dalam sampel itu sendiri lalu membangun atau membangun kembali paket:

1. Dalam sampel, temukan file application.properties atau authentication.properties tempat Anda mengonfigurasi ID klien, penyewa, URL pengalihan, dan sebagainya.

2. Dalam file ini, ubah referensi ke localhost:8080 atau localhost:8443 ke URL dan port tempat WebLogic berjalan, yang secara default harus .localhost:7001

3. Anda juga perlu membuat perubahan yang sama dalam pendaftaran aplikasi Azure, di mana Anda mengaturnya di portal Azure sebagai nilai URI Pengalihan pada tab Autentikasi.

Gunakan langkah-langkah berikut untuk menyebarkan sampel ke WebLogic melalui konsol web:

1. Mulai server WebLogic dengan DOMAIN_NAME\bin\startWebLogic.cmd.

2. Navigasikan ke konsol web WebLogic di browser Anda di http://localhost:7001/console.

3. Buka Penyebaran Struktur>Domain, pilih Instal, pilih Unggah file Anda, lalu temukan file .war yang Anda buat menggunakan Maven.

4. Pilih Instal penyebaran ini sebagai aplikasi, pilih Berikutnya, pilih Selesai, lalu pilih Simpan.

5. Sebagian besar pengaturan default harus baik-baik saja kecuali Anda harus memberi nama aplikasi agar sesuai dengan URI pengalihan yang Anda tetapkan dalam konfigurasi sampel atau pendaftaran aplikasi Azure. Artinya, jika URI pengalihan adalah http://localhost:7001/msal4j-servlet-auth, maka Anda harus memberi nama aplikasi msal4j-servlet-auth.

6. Kembali ke Penyebaran Struktur>Domain, dan mulai aplikasi Anda.

7. Setelah aplikasi dimulai, navigasikan ke http://localhost:7001/<application-name>/, dan Anda harus dapat mengakses aplikasi.

Menjelajahi sampel

Gunakan langkah-langkah berikut untuk menjelajahi sampel:

1. Perhatikan status masuk atau keluar yang ditampilkan di tengah layar.
2. Pilih tombol peka konteks di sudut. Tombol ini membaca Masuk saat Anda pertama kali menjalankan aplikasi.
3. Pada halaman berikutnya, ikuti instruksi dan masuk dengan akun di penyewa ID Microsoft Entra.
4. Pada layar persetujuan, perhatikan cakupan yang diminta.
5. Perhatikan bahwa tombol peka konteks sekarang mengatakan Keluar dan menampilkan nama pengguna Anda.
6. Pilih Detail Token ID untuk melihat beberapa klaim token ID yang didekodekan.
7. Pilih Call Graph untuk melakukan panggilan ke titik akhir /me Microsoft Graph dan lihat pilihan detail pengguna yang diperoleh.
8. Gunakan tombol di sudut untuk keluar.

Tentang kode

Sampel ini menggunakan MSAL for Java (MSAL4J) untuk memasukkan pengguna dan mendapatkan token untuk Microsoft Graph API. Ini menggunakan Microsoft Graph SDK untuk Java untuk mendapatkan data dari Graph. Anda harus menambahkan pustaka ini ke proyek Anda menggunakan Maven.

Jika Anda ingin mereplikasi perilaku sampel ini, Anda dapat menyalin file pom.xml dan konten folder pembantu dan authservlets di folder src/main/java/com/microsoft/azuresamples/msal4j. Anda juga memerlukan file authentication.properties . Kelas dan file ini berisi kode generik yang dapat Anda gunakan dalam berbagai aplikasi. Anda juga dapat menyalin sampel lainnya, tetapi kelas dan file lainnya dibangun khusus untuk mengatasi tujuan sampel ini.

Konten

Tabel berikut ini memperlihatkan konten folder proyek sampel:

Berkas/Folder	Deskripsi
src/main/java/com/microsoft/azuresamples/msal4j/callgraphwebapp/	Direktori ini berisi kelas yang menentukan logika bisnis backend aplikasi.
src/main/java/com/microsoft/azuresamples/msal4j/authservlets/	Direktori ini berisi kelas yang digunakan untuk titik akhir masuk dan keluar.
*Servlet.java	Semua titik akhir yang tersedia ditentukan dalam kelas Java dengan nama yang berakhiran Servlet.
src/main/java/com/microsoft/azuresamples/msal4j/helpers/	Kelas pembantu untuk autentikasi.
AuthenticationFilter.java	Mengalihkan permintaan yang tidak diautentikasi ke titik akhir yang dilindungi ke halaman 401.
src/main/resources/authentication.properties	ID Microsoft Entra dan konfigurasi program.
src/main/webapp/	Direktori ini berisi templat UI - JSP
CHANGELOG.md	Daftar perubahan pada sampel.
CONTRIBUTING.md	Panduan untuk berkontribusi pada sampel.
LISENSI	Lisensi untuk sampel.

ConfidentialClientApplication

ConfidentialClientApplication Instans dibuat dalam file AuthHelper.java, seperti yang ditunjukkan dalam contoh berikut. Objek ini membantu membuat URL otorisasi ID Microsoft Entra dan juga membantu menukar token autentikasi dengan token akses.

// getConfidentialClientInstance method
IClientSecret secret = ClientCredentialFactory.createFromSecret(SECRET);
confClientInstance = ConfidentialClientApplication
                     .builder(CLIENT_ID, secret)
                     .authority(AUTHORITY)
                     .build();

Parameter berikut digunakan untuk instans:

• ID klien aplikasi.
• Rahasia klien, yang merupakan persyaratan untuk Aplikasi Klien Rahasia.
• Otoritas ID Microsoft Entra, yang menyertakan ID penyewa Microsoft Entra Anda.

Dalam sampel ini, nilai-nilai ini dibaca dari file authentication.properties menggunakan pembaca properti dalam file Config.java .

Panduan langkah demi langkah

Langkah-langkah berikut menyediakan panduan fungsionalitas aplikasi:

1. Langkah pertama dari proses masuk adalah mengirim permintaan ke /authorize titik akhir untuk penyewa ID Microsoft Entra Anda. Instans MSAL4J ConfidentialClientApplication digunakan untuk membuat URL permintaan otorisasi. Aplikasi mengalihkan browser ke URL ini, yang merupakan tempat pengguna masuk.

   final ConfidentialClientApplication client = getConfidentialClientInstance();
   AuthorizationRequestUrlParameters parameters = AuthorizationRequestUrlParameters.builder(Config.REDIRECT_URI, Collections.singleton(Config.SCOPES))
           .responseMode(ResponseMode.QUERY).prompt(Prompt.SELECT_ACCOUNT).state(state).nonce(nonce).build();
   
   final String authorizeUrl = client.getAuthorizationRequestUrl(parameters).toString();
   contextAdapter.redirectUser(authorizeUrl);
   

   Daftar berikut menjelaskan fitur kode ini:

   • AuthorizationRequestUrlParameters: Parameter yang harus diatur untuk membangun AuthorizationRequestUrl.
   • REDIRECT_URI: Di mana MICROSOFT Entra ID mengalihkan browser - bersama dengan kode autentikasi - setelah mengumpulkan kredensial pengguna. Ini harus cocok dengan URI pengalihan dalam pendaftaran aplikasi ID Microsoft Entra di portal Azure
   • SCOPES: Cakupan adalah izin yang diminta oleh aplikasi.
     • Biasanya, tiga cakupan openid profile offline_access cukup untuk menerima respons token ID.
     • Daftar lengkap cakupan yang diminta oleh aplikasi dapat ditemukan di file authentication.properties . Anda dapat menambahkan lebih banyak cakupan seperti User.Read.

2. Pengguna disajikan dengan perintah masuk oleh ID Microsoft Entra. Jika upaya masuk berhasil, browser pengguna dialihkan ke titik akhir pengalihan aplikasi. Permintaan yang valid ke titik akhir ini berisi kode otorisasi.

3. Instans ConfidentialClientApplication kemudian menukar kode otorisasi ini dengan token ID dan token akses dari ID Microsoft Entra.

   // First, validate the state, then parse any error codes in response, then extract the authCode. Then:
   // build the auth code params:
   final AuthorizationCodeParameters authParams = AuthorizationCodeParameters
           .builder(authCode, new URI(Config.REDIRECT_URI)).scopes(Collections.singleton(Config.SCOPES)).build();
   
   // Get a client instance and leverage it to acquire the token:
   final ConfidentialClientApplication client = AuthHelper.getConfidentialClientInstance();
   final IAuthenticationResult result = client.acquireToken(authParams).get();
   

   Daftar berikut menjelaskan fitur kode ini:

   • AuthorizationCodeParameters: Parameter yang harus diatur untuk menukar Kode Otorisasi dengan ID dan/atau token akses.
   • authCode: Kode otorisasi yang diterima di titik akhir pengalihan.
   • REDIRECT_URI: URI pengalihan yang digunakan pada langkah sebelumnya harus diteruskan lagi.
   • SCOPES: Cakupan yang digunakan pada langkah sebelumnya harus diteruskan lagi.

4. Jika acquireToken berhasil, klaim token diekstraksi. Jika pemeriksaan nonce lolos, hasilnya ditempatkan di context - instans IdentityContextData - dan disimpan ke sesi. Aplikasi kemudian dapat membuat instans IdentityContextData dari sesi dengan cara instans IdentityContextAdapterServlet kapan pun ia membutuhkan akses ke sana, seperti yang ditunjukkan dalam kode berikut:

   // parse IdToken claims from the IAuthenticationResult:
   // (the next step - validateNonce - requires parsed claims)
   context.setIdTokenClaims(result.idToken());
   
   // if nonce is invalid, stop immediately! this could be a token replay!
   // if validation fails, throws exception and cancels auth:
   validateNonce(context);
   
   // set user to authenticated:
   context.setAuthResult(result, client.tokenCache().serialize());
   

Melindungi rute

Untuk informasi tentang cara aplikasi sampel memfilter akses ke rute, lihat AuthenticationFilter.java. Dalam file authentication.properties, app.protect.authenticated properti berisi rute yang dipisahkan koma yang hanya dapat diakses pengguna terautentikasi, seperti yang ditunjukkan dalam contoh berikut:

# for example, /token_details requires any user to be signed in and does not require special roles or groups claim(s)
app.protect.authenticated=/token_details, /call_graph

Grafik panggilan

Saat pengguna menavigasi ke /call_graph, aplikasi membuat instans IGraphServiceClient - dari Java Graph SDK - melewati token akses pengguna yang masuk. Klien Graph menempatkan token akses di Authorization header permintaannya. Aplikasi kemudian meminta klien Graph untuk memanggil /me titik akhir untuk menghasilkan detail untuk pengguna yang saat ini masuk.

Jika Anda sudah memiliki token akses yang valid untuk Layanan Graph dengan User.Read cakupan, Anda hanya memerlukan kode berikut untuk mendapatkan akses ke /me titik akhir:

//CallGraphServlet.java
User user = GraphHelper.getGraphClient(contextAdapter).me().buildRequest().get();

Cakupan

Cakupan memberi tahu Microsoft Entra ID tingkat akses yang diminta aplikasi.

Berdasarkan cakupan yang diminta, MICROSOFT Entra ID menyajikan dialog persetujuan kepada pengguna saat masuk. Jika pengguna menyetujui satu atau beberapa cakupan dan mendapatkan token, cakupan yang disetujui untuk dikodekan ke dalam yang dihasilkan access_token.

Untuk cakupan yang diminta oleh aplikasi, lihat authentication.properties. Secara default, aplikasi mengatur nilai cakupan ke User.Read. Cakupan Microsoft Graph API khusus ini adalah untuk mengakses informasi pengguna yang masuk saat ini. Titik akhir grafik untuk mengakses info ini adalah https://graph.microsoft.com/v1.0/me. Setiap permintaan valid yang dibuat ke titik akhir ini harus menanggung yang access_token berisi cakupan User.Read di Authorization header.

Informasi selengkapnya

• Microsoft Authentication Library (MSAL) untuk Java
• platform identitas Microsoft (ID Microsoft Entra untuk pengembang)
• Mulai cepat: Mendaftarkan aplikasi di platform identitas Microsoft
• Memahami pengalaman persetujuan aplikasi ID Microsoft Entra
• Memahami persetujuan pengguna dan admin
• Sampel kode MSAL

Langkah selanjutnya

Menyebarkan aplikasi Java WebLogic ke WebLogic di Azure Virtual Machines