Esercitazione: Configurare un'app Android per l'accesso degli utenti tramite Microsoft Identity Platform

si applica a: utenti aziendali utenti esterni (ulteriori informazioni)

In questa esercitazione viene illustrato come aggiungere Microsoft Authentication Library (MSAL) per Android all'app Android. MSAL consente alle applicazioni Android di autenticare gli utenti con Microsoft Entra.

In questo tutorial, tu;

• Aggiungere una dipendenza MSAL
• Aggiungere la configurazione
• Creare un'istanza di MSAL SDK

Prerequisiti

Tenant del personale

• Inquilino della forza lavoro. È possibile usare la directory predefinita o configurare un nuovo tenant.
• Registrare una nuova app nell'interfaccia di amministrazione di Microsoft Entra, configurata solo per gli account in questa directory organizzativa. Per altri dettagli, vedere Registrare un'applicazione . Registrare i valori seguenti dalla pagina Panoramica dell'applicazione per usarli in un secondo momento:
  • ID applicazione (cliente)
  • ID della directory (cliente)
• Un progetto Android. Se non si ha un progetto Android, crearlo.

Tenant esterno

• Un tenant esterno. Per crearne uno, scegliere tra i metodi seguenti:
  • Usare l'estensione MICROSOFT Entra External ID per configurare un tenant esterno direttamente in Visual Studio Code. (consigliato)
  • Creare un nuovo tenant esterno nel centro di amministrazione di Microsoft Entra.
• Registrare una nuova app nell'interfaccia di amministrazione di Microsoft Entra configurata per gli account in qualsiasi directory organizzativa e account Microsoft personali. Per altri dettagli, vedere Registrare un'applicazione . Registrare i valori seguenti dalla pagina Panoramica dell'applicazione per usarli in un secondo momento:
  • ID applicazione (cliente)
  • ID della directory (cliente)

Aggiungere un URI di reindirizzamento

È necessario configurare URI di reindirizzamento specifici nella registrazione dell'app per garantire la compatibilità con l'esempio di codice scaricato. Questi URI sono essenziali per reindirizzare gli utenti all'app dopo l'accesso.

Tenant del personale

1. In Gestisci selezionare Autenticazione>Aggiungi una piattaforma>Android.

2. Immettere il nome del pacchetto del progetto in base al tipo di esempio scaricato in precedenza.

   • Esempio Java - com.azuresamples.msalandroidapp
   • Esempio di Kotlin - com.azuresamples.msalandroidkotlinapp

3. Nella sezione Codice hash della firma del riquadro Configurare l'app Android selezionare Generazione di un codice hash della firma di sviluppo e copiare il comando KeyTool nella riga di comando.

   • KeyTool.exe viene installato come parte di Java Development Kit (JDK). È anche necessario installare lo strumento OpenSSL per eseguire il comando KeyTool. Per altre informazioni, vedere la documentazione di Android relativa alla generazione di una chiave.

4. Immettere il valore di Hash della firma generato da KeyTool.

5. Selezionare Configura e salvare la Configurazione MSAL visualizzata nella pagina Configurazione di Android in modo da poterla immettere durante la configurazione dell'app in seguito.

6. Selezionare Fine.

Tenant esterno

Per specificare il tipo di app per la registrazione, seguire questa procedura:

1. In Gestisci selezionare Autenticazione.
2. Nella pagina configurazioni della piattaforma, selezionare Aggiungi una piattaforma, e quindi selezionare l' opzione iOS/macOS.
3. Immettere l'ID bundle del progetto. Se è stato scaricato il codice di esempio, il valore sarà com.microsoft.identitysample.ciam.MSALiOS.
4. Selezionare Configura e salvare la configurazione MSAL visualizzata nel riquadro di configurazione iOS/macOS in modo da poterlo immettere quando si configura l'app in un secondo momento.
5. Selezionare Fine.

Abilitare il flusso dei client pubblici

Per identificare l'app come client pubblico, seguire questa procedura:

1. In Gestisci selezionare Autenticazione.

2. In Impostazioni avanzateper Consenti flussi client pubbliciselezionare Sì.

3. Seleziona Salva per salvare le modifiche.

Aggiungere le dipendenze MSAL e le librerie pertinenti al tuo progetto

Per aggiungere dipendenze MSAL nel progetto Android, seguire questa procedura:

1. Aprire il progetto in Android Studio o creare un nuovo progetto.

2. Aprire il build.gradle dell'applicazione e aggiungere le dipendenze seguenti:

   allprojects {
   repositories {
       //Needed for com.microsoft.device.display:display-mask library
       maven {
           url 'https://pkgs.dev.azure.com/MicrosoftDeviceSDK/DuoSDK-Public/_packaging/Duo-SDK-Feed/maven/v1'
           name 'Duo-SDK-Feed'
       }
       mavenCentral()
       google()
       }
   }
   //...
   
   dependencies { 
       implementation 'com.microsoft.identity.client:msal:5.+'
       //...
   }
   

   Nella configurazione build.gradle i repository vengono definiti per le dipendenze del progetto. Include un URL del repository Maven per la libreria com.microsoft.device.display:display-mask di Azure DevOps. Inoltre, utilizza i repository Maven Central e Google. La sezione dependencies specifica l'implementazione di MSAL versione 5 e potenzialmente altre dipendenze.

3. In Android Studio selezionare File>Sincronizza progetto con Gradle Files.

Aggiungere la configurazione

È possibile passare gli identificatori del tenant necessari, ad esempio l'ID applicazione (client) all'SDK MSAL tramite un'impostazione di configurazione JSON.

Usare questi passaggi per creare un file di configurazione:

Configurazione del tenant Workforce

1. Nel riquadro del progetto di Android Studio, vai a app\src\main\res.

2. Fare clic con il pulsante destro del mouse su res e scegliere Nuova cartella>. Immettere raw come nome della nuova directory e selezionare OK.

3. Nell'app >src>main>res>raw, crea un nuovo file JSON denominato auth_config_single_account.json e incolla la Configurazione MSAL salvata in precedenza.

   Sotto l'URI di reindirizzamento incollare:

     "account_mode" : "SINGLE",
   

   Il file di configurazione dovrebbe essere simile a questo esempio:

   {
     "client_id": "00001111-aaaa-bbbb-3333-cccc4444",
     "authorization_user_agent": "WEBVIEW",
     "redirect_uri": "msauth://com.azuresamples.msalandroidapp/00001111%cccc4444%3D",
     "broker_redirect_uri_registered": true,
     "account_mode": "SINGLE",
     "authorities": [
       {
         "type": "AAD",
         "audience": {
           "type": "AzureADandPersonalMicrosoftAccount",
           "tenant_id": "common"
         }
       }
     ]
   }
   

   Poiché questa esercitazione illustra solo come configurare un'app in modalità Account singolo, vedere modalità account singolo e multiplo e configurazione dell'app per altre informazioni

4. È consigliabile usare "WEBVIEW". Se vuoi configurare "authorization_user_agent" come "BROWSER" nella tua app, devi apportare gli aggiornamenti seguenti. a) Aggiorna auth_config_single_account.json con "authorization_user_agent": "Browser". b) Aggiornare AndroidManifest.xml. Nell'app, vai all'app >src>main>AndroidManifest.xml, aggiungi l'attività BrowserTabActivity come figlio dell'elemento <application>. Questa voce consente a Microsoft Entra ID di richiamare l'applicazione al termine dell'autenticazione:

   <!--Intent filter to capture System Browser or Authenticator calling back to our app after sign-in-->
   <activity
       android:name="com.microsoft.identity.client.BrowserTabActivity"
       android:exported="true">
       <intent-filter>
           <action android:name="android.intent.action.VIEW" />
           <category android:name="android.intent.category.DEFAULT" />
           <category android:name="android.intent.category.BROWSABLE" />
           <data android:scheme="msauth"
               android:host="Enter_the_Package_Name"
               android:path="/Enter_the_Signature_Hash" />
       </intent-filter>
   </activity>
   

   • Usare il nome pacchetto per sostituire android:host=. valore. Dovrebbe essere simile a com.azuresamples.msalandroidapp.
   • Utilizzare la firma hash per sostituire il valore android:path=. Assicurarsi che sia presente un / iniziale all'inizio dell'hash della firma. Dovrebbe essere simile a /aB1cD2eF3gH4+iJ5kL6-mN7oP8q=.

   Questi valori sono disponibili anche nel pannello Autenticazione della registrazione dell'app.

Configurazione del tenant esterno

1. Nel riquadro del progetto di Android Studio, vai a app\src\main\res.

2. Fare clic con il pulsante destro del mouse su res e selezionare Nuovo>Directory. Immettere raw come nome della nuova directory e selezionare OK.

3. In app\src\main\res\rcreare un nuovo file JSON denominato auth_config_ciam_auth.json.

4. Nel file auth_config_ciam_auth.json aggiungere le configurazioni MSAL seguenti:

   {
     "client_id" : "Enter_the_Application_Id_Here",
     "authorization_user_agent" : "DEFAULT",
     "redirect_uri" : "Enter_the_Redirect_Uri_Here",
     "account_mode" : "SINGLE",
     "authorities" : [
       {
         "type": "CIAM",
         "authority_url": "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/Enter_the_Tenant_Subdomain_Here.onmicrosoft.com/"
       }
     ]
   }
   

   Il file di configurazione JSON specifica varie impostazioni per un'applicazione Android. Include l'ID client, l'agente utente di autorizzazione, l'URI di reindirizzamento e la modalità account. Definisce inoltre un'autorità per l'autenticazione, specificando il tipo e l'URL dell'autorità.

   Sostituire i segnaposto seguenti con i valori del tenant ottenuti dall'interfaccia di amministrazione di Microsoft Entra:

   • Sostituisci Enter_the_Application_Id_Here con l'ID applicazione (client) dell'app registrata in precedenza.
   • Enter_the_Redirect_Uri_Here e sostituirlo con il valore di redirect_uri nel file di configurazione di Microsoft Authentication Library (MSAL) scaricato in precedenza quando è stato aggiunto l'URL di reindirizzamento della piattaforma.
   • Enter_the_Tenant_Subdomain_Here e sostituirlo con il sottodominio Directory (tenant). Ad esempio, se il dominio primario del tenant è contoso.onmicrosoft.com, usare contoso. Se non si conosce il sottodominio tenant, scopri come leggere i dettagli del tenant.

5. Apri il file /app/src/main/AndroidManifest.xml.

6. In AndroidManifest.xml, aggiungi la seguente specifica dei dati a un filtro di intenti:

   <data
       android:host="ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE"
       android:path="/ENTER_YOUR_SIGNATURE_HASH_HERE"
       android:scheme="msauth" />
   

   Trova il segnaposto:

   • ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE e sostituirlo con il nome del pacchetto del progetto Android.
   • ENTER_YOUR_SIGNATURE_HASH_HERE e sostituirlo con l'hash della firma generato in precedenza quando è stato aggiunto l'URL di reindirizzamento della piattaforma.

Usare un dominio URL personalizzato (facoltativo)

Usare un dominio personalizzato per personalizzare completamente l'URL di autenticazione. Dal punto di vista dell'utente, gli utenti rimangono nel tuo dominio durante il processo di autenticazione, anziché essere reindirizzati al dominio ciamlogin.com.

Usare la procedura seguente per usare un dominio personalizzato:

1. Usare la procedura descritta in Abilitare domini URL personalizzati per le app nei tenant esterni per abilitare il dominio URL personalizzato per il tenant esterno.

2. Apri il file auth_config_ciam_auth.json

   1. Aggiornare il valore della proprietà authority_url in https://Enter_the_Custom_Domain_Here/Enter_the_Tenant_ID_Here. Sostituire Enter_the_Custom_Domain_Here con il dominio URL personalizzato e Enter_the_Tenant_ID_Here con l'ID tenant. Se non hai il tuo ID tenant, scopri come leggere i dettagli del tenant.
   2. Aggiungere la proprietà knownAuthorities con il valore [Enter_the_Custom_Domain_Here].

Dopo aver apportato le modifiche al file di auth_config_ciam_auth.json, se il dominio URL personalizzato è login.contoso.come l'ID tenant è aaaabbbbbb-0000-cccc-1111-dddd2222eeeee, il file dovrebbe essere simile al frammento di codice seguente:

{
    "client_id" : "Enter_the_Application_Id_Here",
    "authorization_user_agent" : "DEFAULT",
    "redirect_uri" : "Enter_the_Redirect_Uri_Here",
    "account_mode" : "SINGLE",
    "authorities" : [
    {
        "type": "CIAM",
        "authority_url": "https://login.contoso.com/aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "knownAuthorities": ["login.contoso.com"]
    }
    ]
}

Creare un'istanza di MSAL SDK

Per inizializzare l'istanza di MSAL SDK, usare il codice seguente:

Configurazione del tenant Workforce

PublicClientApplication.createSingleAccountPublicClientApplication(
    getContext(),
    R.raw.auth_config_single_account,
    new IPublicClientApplication.ISingleAccountApplicationCreatedListener() {
        @Override
        public void onCreated(ISingleAccountPublicClientApplication application) {
            // Initialize the single account application instance
            mSingleAccountApp = application;
            loadAccount();
        }

        @Override
        public void onError(MsalException exception) {
            // Handle any errors that occur during initialization
            displayError(exception);
        }
    }
);

Questo codice crea un'applicazione client pubblica con account singolo usando il file di configurazione auth_config_single_account.json. Quando l'applicazione viene creata correttamente, assegna l'istanza a mSingleAccountApp e chiama il metodo loadAccount(). Se si verifica un errore durante la creazione, gestisce l'errore chiamando il metodo displayError(exception).

Configurazione del tenant esterno

private suspend fun initClient(): ISingleAccountPublicClientApplication = withContext(Dispatchers.IO) {
    return@withContext PublicClientApplication.createSingleAccountPublicClientApplication(
        this@MainActivity,
        R.raw.auth_config_ciam_auth
    )
}

Il codice inizializza in modo asincrono un'applicazione client pubblica con un singolo account. Usa il file di configurazione dell'autenticazione fornito e viene eseguito nel dispatcher di I/O.

Assicurati di includere le istruzioni di importazione. Android Studio dovrebbe includere automaticamente le istruzioni di importazione.

Passaggi successivi

Esercitazione: Aggiungi la funzione di accesso nella tua app Android.