Samouczek: konfigurowanie aplikacji systemu Android w celu logowania użytkowników przy użyciu platformy tożsamości firmy Microsoft

Dotyczy: Dzierżawcy siły roboczej Dzierżawcy zewnętrzni (dowiedz się więcej)

W tym samouczku do aplikacji systemu Android dodasz bibliotekę Microsoft Authentication Library (MSAL) dla systemu Android. MSAL umożliwia aplikacjom Android uwierzytelnianie użytkowników za pomocą Microsoft Entra.

W tym samouczku nauczysz się:

• Dodaj zależność MSAL
• Dodawanie konfiguracji
• Tworzenie wystąpienia MSAL SDK

Wymagania wstępne

Najemca siły roboczej

• Najemca zasobów pracowniczych. Możesz użyć swojego katalogu domyślnego lub skonfigurować nowego najemcę.
• Zarejestruj nową aplikację w centrum administracyjnym usługi Microsoft Entra, skonfigurowaną tylko dla kont w tym katalogu organizacyjnym. Aby uzyskać więcej informacji, zobacz Rejestrowanie aplikacji . Zapisz następujące wartości na stronie Przegląd aplikacji do późniejszego użycia:
  • Identyfikator aplikacji (klienta)
  • Identyfikator katalogu (klienta)
• Projekt systemu Android. Jeśli nie masz projektu systemu Android, utwórz go.

Zewnętrzny najemca

• Zewnętrzny najemca Aby go utworzyć, wybierz jedną z następujących metod:
  • Użyj rozszerzenia Microsoft Entra External ID , aby skonfigurować dzierżawcę zewnętrznego bezpośrednio w programie Visual Studio Code. (Zalecane)
  • Utwórz nowego najemcę zewnętrznego w centrum administracyjnym Microsoft Entra.
• Zarejestruj nową aplikację w centrum administracyjnym firmy Microsoft Entra, skonfigurowaną dla kont w dowolnym katalogu organizacyjnym i osobistych kontach Microsoft. Aby uzyskać więcej informacji, zobacz Rejestrowanie aplikacji . Zapisz następujące wartości na stronie Przegląd aplikacji do późniejszego użycia:
  • Identyfikator aplikacji (klienta)
  • Identyfikator katalogu (klienta)

Dodaj identyfikator URI przekierowania

Aby zapewnić zgodność z pobranym przykładem kodu, należy skonfigurować określone identyfikatory URI przekierowania w rejestracji aplikacji. Te identyfikatory URI są niezbędne do przekierowywania użytkowników z powrotem do aplikacji po pomyślnym zalogowaniu.

Najemca siły roboczej

1. W obszarze Zarządzanie wybierz Uwierzytelnianie>Dodaj platformę>Android.

2. Wprowadź nazwę pakietu projektu na podstawie przykładowego typu pobranego powyżej.

   • Przykład języka Java — com.azuresamples.msalandroidapp
   • Przykład Kotlin — com.azuresamples.msalandroidkotlinapp

3. W sekcji Skrót podpisu w okienku Konfigurowanie aplikacji Android wybierz pozycję Generowanie skrótu sygnatury programistycznej. i skopiuj polecenie KeyTool do wiersza poleceń.

   • KeyTool.exe jest instalowany w ramach zestawu Java Development Kit (JDK). Należy również zainstalować narzędzie OpenSSL, aby wykonać polecenie KeyTool. Aby uzyskać więcej informacji, zobacz dokumentację systemu Android dotyczącą generowania klucza , aby uzyskać więcej informacji.

4. Wprowadź skrót sygnatury wygenerowany przez narzędzie KeyTool.

5. Wybierz pozycję Konfiguruj i zapisz konfigurację biblioteki MSAL wyświetlaną w okienku konfiguracji systemu Android, aby można było wprowadzić ją podczas konfigurowania aplikacji później.

6. Wybierz pozycję Gotowe.

Zewnętrzny najemca

Aby określić typ aplikacji do rejestracji aplikacji, wykonaj następujące kroki:

1. W obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.
2. Na stronie Konfiguracje platformy wybierz pozycję Dodaj platformę, a następnie wybierz opcję iOS/macOS.
3. Wprowadź identyfikator pakietu projektu. Jeśli pobrałeś przykładowy kod, to ta wartość jest com.microsoft.identitysample.ciam.MSALiOS.
4. Wybierz pozycję Konfiguruj i zapisz konfigurację MSAL, która pojawia się w okienku konfiguracji iOS/macOS, aby później można było wprowadzić ją podczas konfigurowania aplikacji.
5. Wybierz pozycję Gotowe.

Włącz publiczny przepływ klienta

Aby zidentyfikować aplikację jako klienta publicznego, wykonaj następujące kroki:

1. W obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.

2. W Ustawieniach Zaawansowanych dla opcji Zezwalaj na przepływy klientów publicznych wybierz opcję Tak.

3. Wybierz Zapisz, aby zapisać zmiany.

Dodaj zależność MSAL i odpowiednie biblioteki do projektu

Aby dodać zależności biblioteki MSAL w projekcie systemu Android, wykonaj następujące kroki:

1. Otwórz projekt w programie Android Studio lub utwórz nowy projekt.

2. Otwórz w aplikacji element build.gradle i dodaj następujące zależności:

   allprojects {
   repositories {
       //Needed for com.microsoft.device.display:display-mask library
       maven {
           url 'https://pkgs.dev.azure.com/MicrosoftDeviceSDK/DuoSDK-Public/_packaging/Duo-SDK-Feed/maven/v1'
           name 'Duo-SDK-Feed'
       }
       mavenCentral()
       google()
       }
   }
   //...
   
   dependencies { 
       implementation 'com.microsoft.identity.client:msal:5.+'
       //...
   }
   

   build.gradle W konfiguracji repozytoria są definiowane dla zależności projektu. Zawiera on adres URL repozytorium Maven dla com.microsoft.device.display:display-mask biblioteki z usługi Azure DevOps. Ponadto korzysta z repozytoriów Maven Central i Google. Sekcja zależności określa implementację biblioteki MSAL w wersji 5 i potencjalnie innych zależności.

3. W programie Android Studio wybierz File>Sync Project with Gradle Files.

Dodawanie konfiguracji

Wymagane identyfikatory dzierżawcy, takie jak identyfikator aplikacji (klienta), są przekazywane do zestawu MSAL SDK za pomocą ustawienia konfiguracji JSON.

Wykonaj następujące kroki, aby utworzyć plik konfiguracji:

Konfiguracja dzierżawy Workforce

1. W okienku projektu programu Android Studio przejdź do app\src\main\res.

2. Kliknij prawym przyciskiem myszy pozycję res i wybierz Nowy>katalog. Wprowadź raw jako nazwę nowego katalogu i wybierz przycisk OK.

3. W app>src>main>res>raw utwórz nowy plik JSON o nazwie auth_config_single_account.json i wklej zapisaną wcześniej konfigurację MSAL.

   Poniżej adresu URI przekierowania wklej:

     "account_mode" : "SINGLE",
   

   Plik konfiguracji powinien wyglądać podobnie do tego przykładu:

   {
     "client_id": "00001111-aaaa-bbbb-3333-cccc4444",
     "authorization_user_agent": "WEBVIEW",
     "redirect_uri": "msauth://com.azuresamples.msalandroidapp/00001111%cccc4444%3D",
     "broker_redirect_uri_registered": true,
     "account_mode": "SINGLE",
     "authorities": [
       {
         "type": "AAD",
         "audience": {
           "type": "AzureADandPersonalMicrosoftAccount",
           "tenant_id": "common"
         }
       }
     ]
   }
   

   W tym samouczku pokazano tylko, jak skonfigurować aplikację w trybie pojedynczego konta; aby uzyskać więcej informacji, zobacz tryb pojedynczego konta vs wielokontowy oraz konfigurowanie aplikacji.

4. Zalecamy użycie „WEBVIEW”. Jeśli chcesz skonfigurować "authorization_user_agent" jako "PRZEGLĄDARKA" w aplikacji, musisz wprowadzić następujące aktualizacje. a) Zaktualizuj auth_config_single_account.json, ustawiając "authorization_user_agent": "Przeglądarka". b) Zaktualizuj plik AndroidManifest.xml. W aplikacji przejdź do app>src>main>AndroidManifest.xml, dodaj BrowserTabActivity akcję jako element podrzędny <application> elementu. Ten wpis umożliwia usłudze Microsoft Entra ID oddzwonienie do Twojej aplikacji po zakończeniu procesu uwierzytelniania.

   <!--Intent filter to capture System Browser or Authenticator calling back to our app after sign-in-->
   <activity
       android:name="com.microsoft.identity.client.BrowserTabActivity"
       android:exported="true">
       <intent-filter>
           <action android:name="android.intent.action.VIEW" />
           <category android:name="android.intent.category.DEFAULT" />
           <category android:name="android.intent.category.BROWSABLE" />
           <data android:scheme="msauth"
               android:host="Enter_the_Package_Name"
               android:path="/Enter_the_Signature_Hash" />
       </intent-filter>
   </activity>
   

   • Użyj nazwy pakietu, aby zamienić wartość android:host=.. Powinien wyglądać następująco: com.azuresamples.msalandroidapp.
   • Użyj skrót podpisu, aby zamienić wartość android:path=. Upewnij się, że na początku skrótu podpisu znajduje się wiodący element / . Powinien wyglądać następująco: /aB1cD2eF3gH4+iJ5kL6-mN7oP8q=.

   Te wartości można również znaleźć w zakładce Uwierzytelnianie w rejestracji Twojej aplikacji.

Konfiguracja zewnętrznego najemcy

1. W okienku projektu programu Android Studio przejdź do app\src\main\res.

2. Kliknij prawym przyciskiem myszy res i wybierz pozycję New>Directory. Wprowadź raw jako nazwę nowego katalogu i wybierz przycisk OK.

3. W app\src\main\res\rawutwórz nowy plik JSON o nazwie auth_config_ciam_auth.json.

4. W pliku auth_config_ciam_auth.json dodaj następujące konfiguracje biblioteki MSAL:

   {
     "client_id" : "Enter_the_Application_Id_Here",
     "authorization_user_agent" : "DEFAULT",
     "redirect_uri" : "Enter_the_Redirect_Uri_Here",
     "account_mode" : "SINGLE",
     "authorities" : [
       {
         "type": "CIAM",
         "authority_url": "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/Enter_the_Tenant_Subdomain_Here.onmicrosoft.com/"
       }
     ]
   }
   

   Plik konfiguracji JSON określa różne ustawienia aplikacji systemu Android. Obejmuje identyfikator klienta, agenta użytkownika używany do autoryzacji, identyfikator URI przekierowania i tryb konta. Ponadto definiuje urząd uwierzytelniania, określając typ i adres URL urzędu.

   Zastąp następujące symbole wartościami dzierżawy uzyskanymi z centrum administracyjnego Microsoft Entra:

   • Zastąp Enter_the_Application_Id_Here identyfikatorem aplikacji (klienta) , którą zarejestrowałeś wcześniej.
   • Enter_the_Redirect_Uri_Here i zastąp ją wartością redirect_uri w pliku konfiguracji biblioteki Microsoft Authentication Library (MSAL), który pobrałeś wcześniej, dodając adres URL przekierowania platformy.
   • Enter_the_Tenant_Subdomain_Here i zastąp ją poddomeną katalogową (dzierżawcy). Na przykład, jeśli podstawowa domena najemcy to contoso.onmicrosoft.com, użyj contoso. Jeśli nie znasz poddomeny dzierżawcy, dowiedz się, jak sprawdzić szczegóły dzierżawcy.

5. Otwórz plik /app/src/main/AndroidManifest.xml.

6. W AndroidManifest.xmldodaj następującą specyfikację danych do filtru intencji:

   <data
       android:host="ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE"
       android:path="/ENTER_YOUR_SIGNATURE_HASH_HERE"
       android:scheme="msauth" />
   

   Znajdź element zastępczy:

   • ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE i zastąp go nazwą pakietu projektu systemu Android.
   • ENTER_YOUR_SIGNATURE_HASH_HERE zastąp go skrótem sygnatury wygenerowaną wcześniej podczas dodawania adresu URL przekierowania platformy.

Użyj niestandardowej domeny adresu URL (opcjonalnie)

Użyj domeny niestandardowej, aby w pełni oznaczyć adres URL uwierzytelniania. Z perspektywy użytkownika użytkownicy pozostają na twojej domenie podczas procesu uwierzytelniania, a nie są przekierowywani na domenę ciamlogin.com.

Aby użyć domeny niestandardowej, wykonaj następujące czynności:

1. Aby włączyć niestandardową domenę URL dla twojej dzierżawy zewnętrznej, wykonaj kroki opisane w temacie Włączanie niestandardowych domen URL dla aplikacji w dzierżawach zewnętrznych.

2. Otwórz plik auth_config_ciam_auth.json :

   1. Zaktualizuj wartość authority_url właściwości na https://Enter_the_Custom_Domain_Here/Enter_the_Tenant_ID_Here. Zastąp Enter_the_Custom_Domain_Here swoją własną domeną URL i Enter_the_Tenant_ID_Here swoim identyfikatorem najemcy. Jeśli nie masz identyfikatora dzierżawy, dowiedz się, jak odczytywać szczegóły dzierżawy.
   2. Dodaj knownAuthorities właściwość o wartości [Enter_the_Custom_Domain_Here].

Po wprowadzeniu zmian w pliku auth_config_ciam_auth.json , jeśli domena niestandardowego adresu URL jest login.contoso.com, a identyfikator dzierżawy to aaaabbbb-0000-cccc-1111-dddd2222eeeee, plik powinien wyglądać podobnie do następującego fragmentu kodu:

{
    "client_id" : "Enter_the_Application_Id_Here",
    "authorization_user_agent" : "DEFAULT",
    "redirect_uri" : "Enter_the_Redirect_Uri_Here",
    "account_mode" : "SINGLE",
    "authorities" : [
    {
        "type": "CIAM",
        "authority_url": "https://login.contoso.com/aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "knownAuthorities": ["login.contoso.com"]
    }
    ]
}

Tworzenie wystąpienia MSAL SDK

Aby zainicjować wystąpienie zestawu MSAL SDK, użyj następującego kodu:

Konfiguracja dzierżawy Workforce

PublicClientApplication.createSingleAccountPublicClientApplication(
    getContext(),
    R.raw.auth_config_single_account,
    new IPublicClientApplication.ISingleAccountApplicationCreatedListener() {
        @Override
        public void onCreated(ISingleAccountPublicClientApplication application) {
            // Initialize the single account application instance
            mSingleAccountApp = application;
            loadAccount();
        }

        @Override
        public void onError(MsalException exception) {
            // Handle any errors that occur during initialization
            displayError(exception);
        }
    }
);

Ten kod tworzy publiczną aplikację kliencką pojedynczego konta przy użyciu pliku konfiguracji auth_config_single_account.json. Po pomyślnym utworzeniu aplikacji przypisuje wystąpienie do mSingleAccountApp i wywołuje metodę loadAccount(). Jeśli podczas tworzenia wystąpi błąd, obsługuje błąd, wywołując metodę displayError(exception).

Konfiguracja zewnętrznego najemcy

private suspend fun initClient(): ISingleAccountPublicClientApplication = withContext(Dispatchers.IO) {
    return@withContext PublicClientApplication.createSingleAccountPublicClientApplication(
        this@MainActivity,
        R.raw.auth_config_ciam_auth
    )
}

Kod inicjuje jedno konto publicznej aplikacji klienckiej asynchronicznie. Używa on dostarczonego pliku konfiguracji uwierzytelniania i działa w dyspozytorze we/wy.

Upewnij się, że dołączysz instrukcje importowania. Program Android Studio powinien automatycznie dołączać instrukcje importowania.

Dalsze kroki

Samouczek: dodawanie funkcji logowania do aplikacji systemu Android.