Abilitare l'accesso per le app Java Tomcat con Microsoft Entra ID

  • Articolo

Questo articolo illustra un'app Java Tomcat che consente agli utenti di accedere al tenant di Microsoft Entra ID usando Microsoft Authentication Library (MSAL) per Java.

Il diagramma seguente illustra la topologia dell'app:

Diagramma che mostra la topologia dell'app.

L'app client usa MSAL per Java (MSAL4J) per consentire agli utenti di accedere al proprio tenant microsoft Entra ID e ottenere un token ID da Microsoft Entra ID. Il token ID dimostra che un utente è autenticato con questo tenant. L'app protegge le route in base allo stato di autenticazione dell'utente.

Prerequisiti

  • JDK versione 8 o successiva
  • Maven 3
  • Tenant di Microsoft Entra ID. Per altre informazioni, vedere Come ottenere un tenant di Microsoft Entra ID.
  • Un account utente nel tenant microsoft Entra ID se si vuole usare solo gli account nella directory organizzativa, ovvero la modalità a tenant singolo. Se non è stato creato un account utente nel tenant di Microsoft Entra ID, è consigliabile farlo prima di procedere. Per altre informazioni, vedere Come creare, invitare ed eliminare utenti.
  • Un account utente nel tenant di Microsoft Entra ID di qualsiasi organizzazione se si vuole usare gli account in qualsiasi directory organizzativa, ovvero in modalità multi-tenant. È necessario modificare questo esempio per lavorare con un account Microsoft personale. Se non è ancora stato creato un account utente nel tenant di Microsoft Entra ID, è necessario farlo prima di procedere. Per altre informazioni, vedere Come creare, invitare ed eliminare utenti.
  • Un account Microsoft personale, ad esempio Xbox, Hotmail, Live e così via, se vuoi lavorare con account Microsoft personali.

Consigli

  • Familiarità con Java /Jakarta Servlets.
  • Familiarità con il terminale Linux/OSX o Windows PowerShell.
  • jwt.ms per controllare i token.
  • Fiddler per monitorare l'attività di rete e la risoluzione dei problemi.
  • Segui il blog di Microsoft Entra ID per rimanere aggiornato con gli ultimi sviluppi.

Configurare l'esempio

Le sezioni seguenti illustrano come configurare l'applicazione di esempio.

Clonare o scaricare il repository di esempio

Per clonare l'esempio, aprire una finestra Bash e usare il comando seguente:

git clone https://github.com/Azure-Samples/ms-identity-java-servlet-webapp-authentication.git
cd 1-Authentication/sign-in

In alternativa, passare al repository ms-identity-java-servlet-webapp-authentication , quindi scaricarlo come file .zip ed estrarlo nel disco rigido.

Importante

Per evitare limitazioni di lunghezza del percorso di file in Windows, clonare o estrarre il repository in una directory vicino alla radice del disco rigido.

Registrare l'applicazione di esempio con il tenant di Microsoft Entra ID

In questo esempio è presente un progetto. Per registrare l'app nella portale di Azure, è possibile seguire la procedura di configurazione manuale o usare uno script di PowerShell. Lo script esegue le attività seguenti:

  • Crea le applicazioni Microsoft Entra ID e gli oggetti correlati, ad esempio password, autorizzazioni e dipendenze.
  • Modifica i file di configurazione del progetto.
  • Per impostazione predefinita, configura un'applicazione che funziona solo con gli account nella directory organizzativa.

Usare la procedura seguente per eseguire lo script di PowerShell:

  1. In Windows aprire PowerShell e passare alla radice della directory clonata.

  2. Usare il comando seguente per impostare i criteri di esecuzione per PowerShell:

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process -Force

  3. Usare i comandi seguenti per eseguire lo script di configurazione:

    cd .\AppCreationScripts\
.\Configure.ps1

    Nota

    Altri modi per eseguire gli script sono descritti in Script di creazione di app. Gli script forniscono anche una guida alla registrazione automatica delle applicazioni, alla configurazione e alla rimozione, che può essere utile negli scenari CI/CD.

Configurare l'app per l'uso della registrazione dell'app

Usare la procedura seguente per configurare l'app:

Nota

Nei passaggi seguenti è ClientID uguale Application ID a o AppId.

  1. Aprire il progetto nell'IDE.

  2. Aprire il file ./src/main/resources/authentication.properties .

  3. Trovare la stringa {enter-your-tenant-id-here}. Sostituire il valore esistente con uno dei valori seguenti:

    • ID tenant di Microsoft Entra ID se hai registrato l'app con l'opzione Account solo in questa directory organizzativa.
    • Parola organizations se hai registrato l'app con l'opzione Account in qualsiasi directory organizzativa.
    • Parola common se hai registrato l'app con l'opzione Account in qualsiasi directory organizzativa e account Microsoft personali.
    • Parola consumers se hai registrato l'app con l'opzione Account Microsoft personali.

  4. Trovare la stringa {enter-your-client-id-here} e sostituire il valore esistente con l'ID applicazione o clientId l'applicazione java-servlet-webapp-authentication copiata dal portale di Azure.

  5. Trovare la stringa {enter-your-client-secret-here} e sostituire il valore esistente con il valore salvato durante la creazione dell'appjava-servlet-webapp-authentication, nella portale di Azure.

Compilare l'esempio

Per compilare l'esempio usando Maven, passare alla directory contenente il file pom.xml per l'esempio e quindi eseguire il comando seguente:

mvn clean package

Questo comando genera un file con estensione war che è possibile eseguire in un'ampia gamma di server applicazioni.

Eseguire l'esempio

Le sezioni seguenti illustrano come distribuire l'esempio in app Azure Servizio.

Prerequisiti

Configurare il plug-in Maven

Quando si esegue la distribuzione in app Azure Servizio, la distribuzione usa automaticamente le credenziali di Azure dall'interfaccia della riga di comando di Azure. Se l'interfaccia della riga di comando di Azure non è installata in locale, il plug-in Maven esegue l'autenticazione con OAuth o l'accesso del dispositivo. Per altre informazioni, vedere Autenticazione con i plug-in Maven.

Per configurare il plug-in, seguire questa procedura:

  1. Eseguire il comando seguente per configurare la distribuzione. Questo comando consente di configurare il sistema operativo del servizio app Azure, la versione Java e la versione di Tomcat.

    mvn com.microsoft.azure:azure-webapp-maven-plugin:2.12.0:config

  2. Per Crea nuova configurazione di esecuzione, premere Y, quindi premere INVIO.

  3. Per Definisci valore per il sistema operativo, premere 1 per Windows o 2 per Linux, quindi premere INVIO.

  4. Per Definisci valore per javaVersion, premere 2 per Java 11 e quindi premere INVIO.

  5. Per Definisci valore per webContainer, premere 4 per Tomcat 9.0, quindi premere INVIO.

  6. Per Definisci valore per pricingTier, premere INVIO per selezionare il livello P1v2 predefinito.

  7. Per Conferma premere Y, quindi premere INVIO.

L'esempio seguente mostra l'output del processo di distribuzione:

Please confirm webapp properties
AppName : msal4j-servlet-auth-1707209552268
ResourceGroup : msal4j-servlet-auth-1707209552268-rg
Region : centralus
PricingTier : P1v2
OS : Linux
Java Version: Java 11
Web server stack: Tomcat 9.0
Deploy to slot : false
Confirm (Y/N) [Y]: [INFO] Saving configuration to pom.
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  37.112 s
[INFO] Finished at: 2024-02-06T08:53:02Z
[INFO] ------------------------------------------------------------------------

Dopo aver confermato le scelte, il plug-in aggiunge l'elemento e le impostazioni del plug-in necessari al file di pom.xml del progetto per configurare l'app per l'esecuzione in app Azure Servizio.

La parte pertinente del file pom.xml dovrebbe essere simile all'esempio seguente:

<build>
    <plugins>
        <plugin>
            <groupId>com.microsoft.azure</groupId>
            <artifactId>>azure-webapp-maven-plugin</artifactId>
            <version>x.xx.x</version>
            <configuration>
                <schemaVersion>v2</schemaVersion>
                <resourceGroup>your-resourcegroup-name</resourceGroup>
                <appName>your-app-name</appName>
            ...
            </configuration>
        </plugin>
    </plugins>
</build>

È possibile modificare le configurazioni per servizio app direttamente nel pom.xml. Alcune configurazioni comuni sono elencate nella tabella seguente:

Proprietà Richiesto Descrizione
subscriptionId false ID della sottoscrizione.
resourceGroup true Gruppo di risorse di Azure per l'app.
appName true Nome dell'app.
region false Area in cui ospitare l'app. Il valore predefinito è centralus. Per le aree valide, vedere Aree supportate.
pricingTier false Piano tariffario per l'app. Il valore predefinito è P1v2 per un carico di lavoro di produzione. Il valore minimo consigliato per lo sviluppo e il test Java è B2. Per altre informazioni, vedere Prezzi di servizio app.
runtime false Configurazione dell'ambiente di runtime. Per altre informazioni, vedere Dettagli di configurazione.
deployment false Configurazione della distribuzione. Per altre informazioni, vedere Dettagli di configurazione.

Per l'elenco completo delle configurazioni, vedere la documentazione di riferimento sul plug-in. Tutti i plug-in Azure Maven condividono un set comune di configurazioni. Per queste configurazioni, vedere Configurazioni comuni. Per le configurazioni specifiche del servizio app Azure, vedere App di Azure: Dettagli configurazione.

Assicurarsi di salvare i appName valori e resourceGroup per usarli in un secondo momento.

Preparare l'app per la distribuzione

Quando si distribuisce l'applicazione in servizio app, l'URL di reindirizzamento viene modificato nell'URL di reindirizzamento dell'istanza dell'app distribuita. Usare la procedura seguente per modificare queste impostazioni nel file delle proprietà:

  1. Passare al file authentication.properties dell'app e modificare il valore di app.homePage in base al nome di dominio dell'app distribuita, come illustrato nell'esempio seguente. Ad esempio, se si sceglie example-domain per il nome dell'app nel passaggio precedente, è ora necessario usare https://example-domain.azurewebsites.net per il app.homePage valore . Assicurarsi di aver modificato anche il protocollo da http a https.

    # app.homePage is by default set to dev server address and app context path on the server
# for apps deployed to azure, use https://your-sub-domain.azurewebsites.net
app.homePage=https://<your-app-name>.azurewebsites.net

  2. Dopo aver salvato questo file, usare il comando seguente per ricompilare l'app:

    mvn clean package

Importante

In questo stesso file authentication.properties è disponibile un'impostazione per .aad.secret Non è consigliabile distribuire questo valore in servizio app. Nessuno dei due è consigliabile lasciare questo valore nel codice e potenzialmente eseguirne il push nel repository Git. Per rimuovere questo valore segreto dal codice, è possibile trovare indicazioni più dettagliate nella sezione Deploy to servizio app - Remove secret (Distribuisci in servizio app - Rimuovi segreto). Questo materiale sussidiario aggiunge passaggi aggiuntivi per il push del valore del segreto in Key Vault e per l'uso dei riferimenti all'insieme di credenziali delle chiavi.

Aggiornare la registrazione dell'app Microsoft Entra ID

Poiché l'URI di reindirizzamento cambia nell'app distribuita in app Azure Servizio, è anche necessario modificare l'URI di reindirizzamento nella registrazione dell'app Microsoft Entra ID. Attenersi alla seguente procedura per apportare questa modifica:

  1. Passare alla pagina Registrazioni app di Microsoft Identity Platform per sviluppatori.

  2. Usare la casella di ricerca per cercare la registrazione dell'app, java-servlet-webapp-authenticationad esempio .

  3. Aprire la registrazione dell'app selezionandone il nome.

  4. Seleziona Autenticazione dal menu.

  5. Nella sezione URI di reindirizzamento Web - selezionare Aggiungi URI.

  6. Compilare l'URI dell'app, aggiungendo /auth/redirect , ad esempio . https://<your-app-name>.azurewebsites.net/auth/redirect

  7. Seleziona Salva.

Distribuire l'app

È ora possibile distribuire l'app nel servizio app Azure. Usare il comando seguente per assicurarsi di aver eseguito l'accesso all'ambiente Azure per eseguire la distribuzione:

az login

Con tutta la configurazione pronta nel file pom.xml , è ora possibile usare il comando seguente per distribuire l'app Java in Azure:

mvn package azure-webapp:deploy

Al termine della distribuzione, l'applicazione è pronta in http://<your-app-name>.azurewebsites.net/. Aprire l'URL con il Web browser locale, in cui verrà visualizzata la pagina iniziale dell'applicazione msal4j-servlet-auth .

Esaminare l'esempio

Per esplorare l'esempio, seguire questa procedura:

  1. Si noti lo stato di accesso o disconnesso visualizzato al centro della schermata.
  2. Selezionare il pulsante sensibile al contesto nell'angolo. Questo pulsante legge Accedi quando si esegue l'app per la prima volta.
  3. Nella pagina successiva seguire le istruzioni e accedere con un account nel tenant microsoft Entra ID.
  4. Nella schermata di consenso notare gli ambiti richiesti.
  5. Si noti che il pulsante sensibile al contesto ora indica Disconnetti e visualizza il nome utente.
  6. Selezionare ID Token Details (Dettagli token ID) per visualizzare alcune delle attestazioni decodificate del token ID.
  7. Usare il pulsante nell'angolo per disconnettersi.
  8. Dopo la disconnessione, selezionare ID Token Details (Dettagli token ID) per osservare che l'app visualizza un 401: unauthorized errore anziché le attestazioni del token ID quando l'utente non è autorizzato.

Informazioni sul codice

Questo esempio illustra come usare MSAL per Java (MSAL4J) per accedere agli utenti nel tenant di Microsoft Entra ID. Se si vuole usare MSAL4J nelle proprie applicazioni, è necessario aggiungerlo ai progetti usando Maven.

Per replicare il comportamento di questo esempio, è possibile copiare il file pom.xml e il contenuto delle cartelle helper e authservlets nella cartella src/main/java/com/microsoft/azuresamples/msal4j . È necessario anche il file authentication.properties . Queste classi e file contengono codice generico che è possibile usare in un'ampia gamma di applicazioni. È anche possibile copiare il resto dell'esempio, ma le altre classi e file vengono compilati in modo specifico per soddisfare l'obiettivo di questo esempio.

Contenuto

La tabella seguente illustra il contenuto della cartella del progetto di esempio:

File/cartella Descrizione
AppCreationScripts/ Script per configurare automaticamente le registrazioni dell'app Microsoft Entra ID.
src/main/java/com/microsoft/azuresamples/msal4j/authwebapp/ Questa directory contiene le classi che definiscono la logica di business back-end dell'app.
src/main/java/com/microsoft/azuresamples/msal4j/authservlets/ Questa directory contiene le classi usate per l'accesso e la disconnessità degli endpoint.
____Servlet.java Tutti gli endpoint disponibili sono definiti nelle classi .java che terminano in ____Servlet.java.
src/main/java/com/microsoft/azuresamples/msal4j/helpers/ Classi helper per l'autenticazione.
AuthenticationFilter.java Reindirizza le richieste non autenticate agli endpoint protetti a una pagina 401.
src/main/resources/authentication.properties Microsoft Entra ID e configurazione del programma.
src/main/webapp/ Questa directory contiene l'interfaccia utente - Modelli JSP
CHANGELOG.md Elenco delle modifiche apportate all'esempio.
CONTRIBUTING.md Linee guida per contribuire all'esempio.
LICEN edizione Standard Licenza per l'esempio.

ConfidentialClientApplication

Viene creata un'istanza ConfidentialClientApplication nel file AuthHelper.java , come illustrato nell'esempio seguente. Questo oggetto consente di creare l'URL di autorizzazione di Microsoft Entra ID e consente anche di scambiare il token di autenticazione per un token di accesso.

// getConfidentialClientInstance method
IClientSecret secret = ClientCredentialFactory.createFromSecret(SECRET);
confClientInstance = ConfidentialClientApplication
                     .builder(CLIENT_ID, secret)
                     .authority(AUTHORITY)
                     .build();

Per la creazione di istanze vengono usati i parametri seguenti:

  • ID client dell'app.
  • Segreto client, che è un requisito per le applicazioni client riservate.
  • Microsoft Entra ID Authority, che include l'ID tenant di Microsoft Entra ID.

In questo esempio questi valori vengono letti dal file authentication.properties usando un lettore di proprietà nel file Config.java .

Procedura

I passaggi seguenti forniscono una procedura dettagliata delle funzionalità dell'app:

  1. Il primo passaggio del processo di accesso consiste nell'inviare una richiesta all'endpoint per il /authorize tenant di Microsoft Entra ID. L'istanza DI MSAL4J ConfidentialClientApplication viene usata per costruire un URL della richiesta di autorizzazione. L'app reindirizza il browser a questo URL, dove l'utente accede.

    final ConfidentialClientApplication client = getConfidentialClientInstance();
AuthorizationRequestUrlParameters parameters = AuthorizationRequestUrlParameters.builder(Config.REDIRECT_URI, Collections.singleton(Config.SCOPES))
        .responseMode(ResponseMode.QUERY).prompt(Prompt.SELECT_ACCOUNT).state(state).nonce(nonce).build();

final String authorizeUrl = client.getAuthorizationRequestUrl(parameters).toString();
contextAdapter.redirectUser(authorizeUrl);

    L'elenco seguente descrive le funzionalità di questo codice:

    • AuthorizationRequestUrlParameters: parametri che devono essere impostati per compilare un oggetto AuthorizationRequestUrl.

    • REDIRECT_URI: dove Microsoft Entra ID reindirizza il browser, insieme al codice di autenticazione, dopo aver raccolto le credenziali utente. Deve corrispondere all'URI di reindirizzamento nella registrazione dell'app Microsoft Entra ID nel portale di Azure.

    • SCOPES: gli ambiti sono autorizzazioni richieste dall'applicazione. In genere, i tre ambiti openid profile offline_access sono sufficienti per ricevere una risposta del token ID.

      È possibile trovare un elenco completo degli ambiti richiesti dall'app nel file authentication.properties . È possibile aggiungere altri ambiti, ad esempio User.Read.

  2. L'utente riceve una richiesta di accesso da Microsoft Entra ID. Se il tentativo di accesso ha esito positivo, il browser dell'utente viene reindirizzato all'endpoint di reindirizzamento dell'app. Una richiesta valida a questo endpoint contiene un codice di autorizzazione.

  3. L'istanza ConfidentialClientApplication scambia quindi questo codice di autorizzazione per un token ID e un token di accesso da Microsoft Entra ID.

    // First, validate the state, then parse any error codes in response, then extract the authCode. Then:
// build the auth code params:
final AuthorizationCodeParameters authParams = AuthorizationCodeParameters
        .builder(authCode, new URI(Config.REDIRECT_URI)).scopes(Collections.singleton(Config.SCOPES)).build();

// Get a client instance and leverage it to acquire the token:
final ConfidentialClientApplication client = AuthHelper.getConfidentialClientInstance();
final IAuthenticationResult result = client.acquireToken(authParams).get();

    L'elenco seguente descrive le funzionalità di questo codice:

    • AuthorizationCodeParameters: parametri che devono essere impostati per scambiare il codice di autorizzazione per un ID e/o un token di accesso.
    • authCode: codice di autorizzazione ricevuto nell'endpoint di reindirizzamento.
    • REDIRECT_URI: l'URI di reindirizzamento usato nel passaggio precedente deve essere passato di nuovo.
    • SCOPES: gli ambiti usati nel passaggio precedente devono essere passati di nuovo.

  4. Se acquireToken ha esito positivo, vengono estratte le attestazioni del token. Se il controllo nonce viene superato, i risultati vengono inseriti in context , un'istanza di IdentityContextData , e salvati nella sessione. L'applicazione può quindi creare un'istanza IdentityContextData di dalla sessione tramite un'istanza di IdentityContextAdapterServlet ogni volta che deve accedervi, come illustrato nel codice seguente:

    // parse IdToken claims from the IAuthenticationResult:
// (the next step - validateNonce - requires parsed claims)
context.setIdTokenClaims(result.idToken());

// if nonce is invalid, stop immediately! this could be a token replay!
// if validation fails, throws exception and cancels auth:
validateNonce(context);

// set user to authenticated:
context.setAuthResult(result, client.tokenCache().serialize());

Proteggere le route

Per informazioni su come l'app di esempio filtra l'accesso alle route, vedere AuthenticationFilter.java. Nel file authentication.properties la app.protect.authenticated proprietà contiene le route separate da virgole a cui possono accedere solo gli utenti autenticati, come illustrato nell'esempio seguente:

# for example, /token_details requires any user to be signed in and does not require special roles claim(s)
app.protect.authenticated=/token_details

Ambiti

Gli ambiti indicano a Microsoft Entra ID il livello di accesso richiesto dall'applicazione.

In base agli ambiti richiesti, Microsoft Entra ID presenta una finestra di dialogo di consenso all'utente al momento dell'accesso. Se l'utente acconsente a uno o più ambiti e ottiene un token, gli ambiti con consenso vengono codificati nell'oggetto risultante access_token.

Per gli ambiti richiesti dall'applicazione, vedere authentication.properties. Questi tre ambiti vengono richiesti da MSAL e forniti da Microsoft Entra ID per impostazione predefinita.

Ulteriori informazioni