チュートリアル: 外部テナントでの認証用に Angular SPA を準備する
このチュートリアルは、Angular シングルページ アプリケーション (特権アクセスのセキュリティ保護 (SPA)) の構築と、Microsoft Entra 管理センターを使った認証の準備について説明するシリーズのパート 2 です。 このシリーズのパート 1 では、外部テナントでアプリケーションを登録し、ユーザー フローを構成しました。 このチュートリアルでは、npm を使って Angular SPA を作成し、認証と認可に必要なファイルを作成する方法について説明します。
このチュートリアルでは、
- Visual Studio Code で Angular プロジェクトを作成する
- アプリケーション用のユーザー インターフェイスを構成する
- home および guarded コンポーネントを構成する
前提条件
- チュートリアル: 外部テナントが Angular SPA でユーザーを認証できるように準備します。
- React アプリケーションをサポートする統合開発環境 (IDE) であればどれでも使用できますが、このチュートリアルでは Visual Studio Code を使用します。
- Node.js。
Angular プロジェクトを作成する
このセクションでは、Visual Studio Code で Angular CLI を使用して新しい Angular プロジェクトを作成します。
Visual Studio Code を開き、[ファイル]>[フォルダーを開く...] の順に選択します。プロジェクトを作成する場所に移動して選択します。
[ターミナル]>[新しいターミナル] を選択して、新しいターミナルを開きます。
次のコマンドを実行して、
angularspalocalという名前の新しい Angular プロジェクトを作成し、Angular Material コンポーネント ライブラリ、MSAL ブラウザー、MSAL Angular をインストールし、home および guarded コンポーネントを生成します。npm install -g @angular/cli@14.2.0 ng new angularspalocal --routing=true --style=css --strict=false cd angularspalocal npm install @angular/material@13.0.0 @angular/cdk@13.0.0 npm install @azure/msal-browser@2.37.0 @azure/msal-angular@2.5.7 ng generate component home ng generate component guarded
UI 要素を構成する
次の手順では、アプリケーションの UI 要素を構成します。 CSS スタイルをアプリケーションに追加して、色とフォントを定義します。 アプリケーションのヘッダーとフッターを HTML ファイルで定義し、CSS スタイルをアプリケーションのホーム ページに追加します。
src/styles.css を開き、既存のコードを次のコード スニペットに置き換えます。
@import '~@angular/material/prebuilt-themes/deeppurple-amber.css'; html, body { height: 100%; } body { margin: 0; font-family: Roboto, "Helvetica Neue", sans-serif; }src/app/app.component.html を開き、既存のコードを次のコード スニペットに置き換えます。
<mat-toolbar color="primary"> <a class="title" href="/">{{ title }}</a> <div class="toolbar-spacer"></div> <a mat-button [routerLink]="['guarded']">Guarded Component</a> <button mat-raised-button *ngIf="!loginDisplay" (click)="login()">Login</button> <button mat-raised-button color="accent" *ngIf="loginDisplay" (click)="logout()">Logout</button> </mat-toolbar> <div class="container"> <!--This is to avoid reload during acquireTokenSilent() because of hidden iframe --> <router-outlet *ngIf="!isIframe"></router-outlet> </div> <footer *ngIf="loginDisplay"> <mat-toolbar> <div class="footer-text"> How did we do? <a href="https://forms.office.com/Pages/ResponsePage.aspx?id=v4j5cvGGr0GRqy180BHbR_ivMYEeUKlEq8CxnMPgdNZUNDlUTTk2NVNYQkZSSjdaTk5KT1o4V1VVNS4u" target="_blank"> Share your experience with us!</a> </div> </mat-toolbar> </footer>src/app/app.component.css を開き、既存のコードを次のスニペットに置き換えます。
.toolbar-spacer { flex: 1 1 auto; } a.title { color: white; } footer { position: fixed; left: 0; bottom: 0; width: 100%; color: white; text-align: center; } .footer-text { font-size: small; text-align: center; flex: 1 1 auto; }
アプリケーション コンポーネントを構成する
このセクションでは、アプリケーションの home および guarded コンポーネントを構成します。 home コンポーネントは、アプリケーションのランディング ページであり、guarded コンポーネントは、認証されたユーザーのみがアクセスできるページです。
src/app/home/home.component.ts を開き、既存のコードを次のコード スニペットに置き換えます。
import { Component, Inject, OnInit } from '@angular/core'; import { Subject } from 'rxjs'; import { filter } from 'rxjs/operators'; import { MsalBroadcastService, MsalGuardConfiguration, MsalService, MSAL_GUARD_CONFIG } from '@azure/msal-angular'; import { AuthenticationResult, InteractionStatus, InteractionType } from '@azure/msal-browser'; import { createClaimsTable } from '../claim-utils'; @Component({ selector: 'app-home', templateUrl: './home.component.html', styleUrls: ['./home.component.css'], }) export class HomeComponent implements OnInit { loginDisplay = false; dataSource: any = []; displayedColumns: string[] = ['claim', 'value', 'description']; private readonly _destroying$ = new Subject<void>(); constructor( @Inject(MSAL_GUARD_CONFIG) private msalGuardConfig: MsalGuardConfiguration, private authService: MsalService, private msalBroadcastService: MsalBroadcastService ) { } ngOnInit(): void { this.msalBroadcastService.inProgress$ .pipe( filter((status: InteractionStatus) => status === InteractionStatus.None) ) .subscribe(() => { this.setLoginDisplay(); this.getClaims( this.authService.instance.getActiveAccount()?.idTokenClaims ); }); } setLoginDisplay() { this.loginDisplay = this.authService.instance.getAllAccounts().length > 0; } getClaims(claims: any) { if (claims) { const claimsTable = createClaimsTable(claims); this.dataSource = [...claimsTable]; } } signUp() { if (this.msalGuardConfig.interactionType === InteractionType.Popup) { this.authService.loginPopup({ scopes: [], prompt: 'create', }) .subscribe((response: AuthenticationResult) => { this.authService.instance.setActiveAccount(response.account); }); } else { this.authService.loginRedirect({ scopes: [], prompt: 'create', }); } } // unsubscribe to events when component is destroyed ngOnDestroy(): void { this._destroying$.next(undefined); this._destroying$.complete(); } }src/app/home/home.component.html を開き、既存のコードを次のコード スニペットに置き換えます。 このコードは、アプリケーションのホーム ページの HTML 要素を定義します。
<mat-card class="card-section" *ngIf="!loginDisplay"> <mat-card-title>Angular single-page application built with MSAL Angular</mat-card-title> <mat-card-subtitle>Sign in with Microsoft Entra External ID</mat-card-subtitle> <mat-card-content>This sample demonstrates how to configure MSAL Angular to sign up, sign in and sign out with Microsoft Entra External ID</mat-card-content> <button mat-raised-button color="primary" (click)="signUp()">Sign up</button> </mat-card> <br> <p class="text-center" *ngIf="loginDisplay"> See below the claims in your <strong> ID token </strong>. For more information, visit: <span> <a href="https://docs.microsoft.com/en-us/azure/active-directory/develop/id-tokens#claims-in-an-id-token"> docs.microsoft.com </a> </span> </p> <div id="table-container"> <table mat-table [dataSource]="dataSource" class="mat-elevation-z8" *ngIf="loginDisplay"> <!-- Claim Column --> <ng-container matColumnDef="claim"> <th mat-header-cell *matHeaderCellDef> Claim </th> <td mat-cell *matCellDef="let element"> {{element.claim}} </td> </ng-container> <!-- Value Column --> <ng-container matColumnDef="value"> <th mat-header-cell *matHeaderCellDef> Value </th> <td mat-cell *matCellDef="let element"> {{element.value}} </td> </ng-container> <!-- Value Column --> <ng-container matColumnDef="description"> <th mat-header-cell *matHeaderCellDef> Description </th> <td mat-cell *matCellDef="let element"> {{element.description}} </td> </ng-container> <tr mat-header-row *matHeaderRowDef="displayedColumns sticky: true"></tr> <tr mat-row *matRowDef="let row; columns: displayedColumns;"></tr> </table> </div>src/app/home/home.component.css を開きます。 既存のコードを次のコード スニペットに置き換えます。
#table-container { height: '100vh'; overflow: auto; } table { margin: 3% auto 1% auto; width: 70%; } .mat-row { height: auto; } .mat-cell { padding: 8px 8px 8px 0; } p { text-align: center; } .card-section { margin: 10%; padding: 5%; }src/app/guarded/guarded.component.ts を開き、既存のコードを次のコード スニペットに置き換えます。
import { Component, OnInit } from '@angular/core'; @Component({ selector: 'app-guarded', templateUrl: './guarded.component.html', styleUrls: ['./guarded.component.css'] }) export class GuardedComponent implements OnInit { constructor() { } ngOnInit(): void { } }src/app/ に claim-utils.ts という名前のファイルを作成し、次のコード スニペットを貼り付けます。
/** * Populate claims table with appropriate description * @param {Record} claims ID token claims * @returns claimsTable */ export const createClaimsTable = (claims: Record<string, string>): any[] => { const claimsTable: any[] = []; Object.keys(claims).map((key) => { switch (key) { case 'aud': populateClaim( key, claims[key], "Identifies the intended recipient of the token. In ID tokens, the audience is your app's Application ID, assigned to your app in the Azure portal.", claimsTable ); break; case 'iss': populateClaim( key, claims[key], 'Identifies the issuer, or authorization server that constructs and returns the token. It also identifies the Azure AD tenant for which the user was authenticated. If the token was issued by the v2.0 endpoint, the URI will end in /v2.0.', claimsTable ); break; case 'iat': populateClaim( key, changeDateFormat(+claims[key]), '"Issued At" indicates the timestamp (UNIX timestamp) when the authentication for this user occurred.', claimsTable ); break; case 'nbf': populateClaim( key, changeDateFormat(+claims[key]), 'The nbf (not before) claim dictates the time (as UNIX timestamp) before which the JWT must not be accepted for processing.', claimsTable ); break; case 'exp': populateClaim( key, changeDateFormat(+claims[key]), "The exp (expiration time) claim dictates the expiration time (as UNIX timestamp) on or after which the JWT must not be accepted for processing. It's important to note that in certain circumstances, a resource may reject the token before this time. For example, if a change in authentication is required or a token revocation has been detected.", claimsTable ); break; case 'name': populateClaim( key, claims[key], "The name claim provides a human-readable value that identifies the subject of the token. The value isn't guaranteed to be unique, it can be changed, and it's designed to be used only for display purposes. The 'profile' scope is required to receive this claim.", claimsTable ); break; case 'preferred_username': populateClaim( key, claims[key], 'The primary username that represents the user. It could be an email address, phone number, or a generic username without a specified format. Its value is mutable and might change over time. Since it is mutable, this value must not be used to make authorization decisions. It can be used for username hints, however, and in human-readable UI as a username. The profile scope is required in order to receive this claim.', claimsTable ); break; case 'nonce': populateClaim( key, claims[key], 'The nonce matches the parameter included in the original /authorize request to the IDP.', claimsTable ); break; case 'oid': populateClaim( key, claims[key], 'The oid (user object id) is the only claim that should be used to uniquely identify a user in an Azure AD tenant.', claimsTable ); break; case 'tid': populateClaim( key, claims[key], 'The id of the tenant where this application resides. You can use this claim to ensure that only users from the current Azure AD tenant can access this app.', claimsTable ); break; case 'upn': populateClaim( key, claims[key], 'upn (user principal name) might be unique amongst the active set of users in a tenant but tend to get reassigned to new employees as employees leave the organization and others take their place or might change to reflect a personal change like marriage.', claimsTable ); break; case 'email': populateClaim( key, claims[key], 'Email might be unique amongst the active set of users in a tenant but tend to get reassigned to new employees as employees leave the organization and others take their place.', claimsTable ); break; case 'acct': populateClaim( key, claims[key], 'Available as an optional claim, it lets you know what the type of user (homed, guest) is. For example, for an individual's access to their data you might not care for this claim, but you would use this along with tenant id (tid) to control access to say a company-wide dashboard to just employees (homed users) and not contractors (guest users).', claimsTable ); break; case 'sid': populateClaim( key, claims[key], 'Session ID, used for per-session user sign-out.', claimsTable ); break; case 'sub': populateClaim( key, claims[key], 'The sub claim is a pairwise identifier - it is unique to a particular application ID. If a single user signs into two different apps using two different client IDs, those apps will receive two different values for the subject claim.', claimsTable ); break; case 'ver': populateClaim( key, claims[key], 'Version of the token issued by the Microsoft identity platform', claimsTable ); break; case 'login_hint': populateClaim( key, claims[key], 'An opaque, reliable login hint claim. This claim is the best value to use for the login_hint OAuth parameter in all flows to get SSO.', claimsTable ); break; case 'idtyp': populateClaim( key, claims[key], 'Value is app when the token is an app-only token. This is the most accurate way for an API to determine if a token is an app token or an app+user token', claimsTable ); break; case 'uti': case 'rh': break; default: populateClaim(key, claims[key], '', claimsTable); } }); return claimsTable; }; /** * Populates claim, description, and value into an claimsObject * @param {String} claim * @param {String} value * @param {String} description * @param {Array} claimsObject */ const populateClaim = ( claim: string, value: string, description: string, claimsTable: any[] ): void => { claimsTable.push({ claim: claim, value: value, description: description, }); }; /** * Transforms Unix timestamp to date and returns a string value of that date * @param {number} date Unix timestamp * @returns */ const changeDateFormat = (date: number) => { let dateObj = new Date(date * 1000); return `${date} - [${dateObj.toString()}]`; };src/index.html を開き、コードを次のスニペットに置き換えます。
<!doctype html> <html lang="en"> <head> <meta charset="utf-8"> <title>Microsoft identity platform</title> <base href="/"> <meta name="viewport" content="width=device-width, initial-scale=1"> <link rel="icon" type="image/x-icon" href="favicon.svg"> <link rel="preconnect" href="https://fonts.gstatic.com"> <link href="https://fonts.googleapis.com/css2?family=Roboto:wght@300;400;500&display=swap" rel="stylesheet"> <link href="https://fonts.googleapis.com/icon?family=Material+Icons" rel="stylesheet"> </head> <body class="mat-typography"> <app-root></app-root> <app-redirect></app-redirect> </body> </html>
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示