Samouczek: logowanie użytkowników do aplikacji internetowej platformy Python Flask przy użyciu platformy tożsamości firmy Microsoft

Dotyczy: Najemcy pracowników Najemcy zewnętrzni (dowiedz się więcej)

Ten samouczek przeprowadzi Cię przez proces zabezpieczania aplikacji internetowej platformy Python Flask.

W tym samouczku nauczysz się następujących rzeczy:

• Tworzenie projektu platformy Python Flask
• Instalowanie wymaganych zależności
• Konfigurowanie aplikacji internetowej platformy Flask do korzystania z platformy tożsamości firmy Microsoft na potrzeby uwierzytelniania
• Przetestuj doświadczenia logowania i wylogowania w swojej aplikacji internetowej Flask

Warunki wstępne

najemca zasobów ludzkich

• Najemca zasobów pracowniczych. Możesz użyć swojego katalogu domyślnego lub skonfigurować nowego najemcę.
• Zarejestruj nową aplikację w centrum administracyjnym usługi Microsoft Entra, skonfigurowaną tylko dla kont w tym katalogu organizacyjnym. Aby uzyskać więcej informacji, zobacz Rejestrowanie aplikacji . Zapisz następujące wartości na stronie Przegląd aplikacji do późniejszego użycia:
  • Identyfikator aplikacji (klienta)
  • Identyfikator katalogu (klienta)
• Dodaj wpis tajny klienta do rejestracji aplikacji. Nie używaj wpisów tajnych klienta w aplikacjach produkcyjnych. Zamiast tego użyj certyfikatów lub poświadczeń federacyjnych. Aby uzyskać więcej informacji, zobacz Dodawanie poświadczeń do aplikacji.

zewnętrzny najemca

• Upewnij się, że masz rejestrację aplikacji w swoim dzierżawcy. Upewnij się, że masz następujące informacje na temat szczegółów rejestracji aplikacji:
• Zarejestruj nową aplikację w centrum administracyjnym usługi Microsoft Entra, skonfigurowaną tylko dla kont w tym katalogu organizacyjnym. Aby uzyskać więcej informacji, zobacz Rejestrowanie aplikacji . Zapisz następujące wartości na stronie Przegląd aplikacji do późniejszego użycia:
  • Identyfikator aplikacji (klienta)
  • Identyfikator katalogu (klienta)
• Dodaj wpis tajny klienta do rejestracji aplikacji. Nie używaj wpisów tajnych klienta w aplikacjach produkcyjnych. Zamiast tego użyj certyfikatów lub poświadczeń federacyjnych. Aby uzyskać więcej informacji, zobacz Dodawanie poświadczeń do aplikacji.
• Wyodrębnij poddomenę Katalog (dzierżawa), w której zarejestrowano aplikację internetową. Jeśli nie masz nazwy najemcy, dowiedz się, jak sprawdzić szczegóły najemcy.
• Skojarz aplikację z przepływem użytkownika w centrum administracyjnym firmy Microsoft Entra. Ten przepływ użytkownika może być używany w wielu aplikacjach. Aby uzyskać więcej informacji, zobacz Tworzenie przepływów użytkowników rejestracji samoobsługowej dla aplikacji w dzierżawach zewnętrznych i Dodawanie aplikacji do przepływów użytkowników.

• python 3+.
• Visual Studio Code lub innego edytora kodu.

Tworzenie projektu platformy Flask

1. Utwórz folder do hostowania aplikacji Platformy Flask, na przykład flask-web-app.

2. Otwórz okno konsoli i przejdź do katalogu swojej aplikacji webowej Flask przy użyciu polecenia.

   cd flask-web-app
   

3. Konfigurowanie środowiska wirtualnego

   W zależności od systemu operacyjnego uruchom następujące polecenia, aby skonfigurować środowisko wirtualne i aktywować je:

   W przypadku systemu operacyjnego Windows:

   py -m venv .venv
   .venv\scripts\activate
   

   W przypadku systemu operacyjnego macOS lub Linux:

   python3 -m venv .venv
   source .venv/bin/activate
   

Instalowanie zależności aplikacji

Aby zainstalować zależności aplikacji, uruchom następujące polecenia:

pip install flask
pip install python-dotenv
pip install requests
pip install "ms_identity_python[flask] @ git+https://github.com/azure-samples/ms-identity-python@0.9"

Biblioteka ms_identity_python instalowana automatycznie instaluje bibliotekę Microsoft Authentication Library (MSAL) dla języka Python jako jej zależność. Biblioteka MSAL Python to narzędzie, które umożliwia uwierzytelnianie użytkowników i zarządzanie tokenami dostępu.

Po zainstalowaniu wymaganych bibliotek zaktualizuj plik wymagań, uruchamiając następujące polecenie:

pip freeze > requirements.txt

Konfigurowanie aplikacji pod kątem uwierzytelniania

Aplikacje internetowe, które logują użytkowników przy użyciu platformy tożsamości firmy Microsoft, są konfigurowane za pośrednictwem pliku konfiguracji env. Na platformie Python Flask musi określić następujące wartości:

najemca zasobów ludzkich

Zmienna środowiskowa	Description
AUTHORITY	Adres URL instancji chmury, pod którą zarejestrowano aplikację. Format: https://{Instance}/{TenantId}. Użyj jednej z następujących wartości wystąpienia: - https://login.microsoftonline.com/ (Chmura publiczna platformy Azure) - https://login.microsoftonline.us/ (Azure US Government) - https://login.microsoftonline.de/ (Microsoft Entra Germany) - https://login.partner.microsoftonline.cn/ (Microsoft Entra China, obsługiwany przez firmę 21Vianet)
TENANT_ID	Identyfikator dzierżawcy, w którym zarejestrowano aplikację. Wybierz identyfikator klienta z rejestracji aplikacji lub użyj jednego z następujących: - organizations: logowanie użytkowników na dowolnym koncie służbowym lub szkolnym - common: logowanie użytkowników przy użyciu dowolnego konta służbowego lub osobistego Microsoft - consumers: logowanie użytkowników tylko przy użyciu konta osobistego Microsoft
CLIENT_ID	Identyfikator aplikacji (klienta) uzyskanej z rejestracji aplikacji.
CLIENT_SECRET	Wartość tajna uzyskana z dodawania poświadczeń w centrum administracyjnym Microsoft Entra.
REDIRECT_URI	Identyfikator URI, w którym platforma tożsamości firmy Microsoft wysyła tokeny zabezpieczające po uwierzytelnieniu.

zewnętrzny najemca

Zmienna środowiskowa	Description
AUTHORITY	Adres URL zewnętrznej dzierżawy, w której aplikacja jest zarejestrowana. Format: https://<tenant_subdomain>.ciamlogin.com/ (lub https://<tenant_subdomain>.onmicrosoft.com/). Zobacz Utwórz dzierżawę zewnętrzną aby uzyskać poddomenę dzierżawy.
CLIENT_ID	Identyfikator aplikacji (klienta) z rejestracji aplikacji.
CLIENT_SECRET	Wartość tajnego klucza klienta uzyskana z dodaj poświadczenia w centrum administracyjnym Microsoft Entra.
REDIRECT_URI	Identyfikator URI, na który platforma tożsamości firmy Microsoft wysyła tokeny zabezpieczające po zakończeniu uwierzytelniania.

Aktualizowanie pliku konfiguracji

1. Utwórz plik env w folderze głównym, aby bezpiecznie przechowywać konfigurację aplikacji. Plik .env powinien zawierać następujące zmienne środowiskowe:

   najemca zasobów ludzkich

   CLIENT_ID="<Enter_your_client_id>"
   CLIENT_SECRET="<Enter_your_client_secret>"
   AUTHORITY="https://login.microsoftonline.com/<Enter_tenant_id>"
   REDIRECT_URI="<Enter_redirect_uri>"
   

   Zastąp symbole zastępcze następującymi wartościami:

   • Zastąp <Enter_your_client_id> identyfikatorem aplikacji (klienta) zarejestrowanej aplikacji internetowej klienta.
   • Zastąp <Enter_tenant_id> identyfikatorem katalogu (dzierżawcy) , gdzie zarejestrowałeś swoją aplikację internetową.
   • Zastąp <Enter_your_client_secret> wartością tajnego klucza klienta dla aplikacji internetowej, którą utworzyłeś. W tym samouczku używamy tajemnic do celów demonstracyjnych. W środowisku produkcyjnym należy użyć bezpieczniejszych metod, takich jak certyfikaty lub poświadczenia tożsamości federacyjnej.
   • Zastąp <Enter_redirect_uri> identyfikatorem URI przekierowania, który został wcześniej zarejestrowany. Samouczek ten ustawia ścieżkę identyfikatora URI przekierowania na http://localhost:3000/getAToken.

   zewnętrzny najemca

   CLIENT_ID="<Enter_your_client_id>"
   CLIENT_SECRET="<Enter_your_client_secret>"
   AUTHORITY=https://<Enter_your_subdomain>.ciamlogin.com/<Enter_your_subdomain>.onmicrosoft.com
   REDIRECT_URI="<Enter_redirect_uri>"
   

   Zastąp symbole zastępcze następującymi wartościami:

   • Zastąp <Enter_your_client_id> identyfikatorem aplikacji (klienta) zarejestrowanej aplikacji internetowej klienta.
   • Zastąp <Enter_your_subdomain> subdomeną Directory (najemca), w której zarejestrowano aplikację internetową.
   • Zastąp <Enter_your_client_secret> wartością tajnego klucza klienta dla aplikacji internetowej, którą utworzyłeś. W tym samouczku używamy tajemnic do celów demonstracyjnych. W środowisku produkcyjnym należy użyć bezpieczniejszych metod, takich jak certyfikaty lub poświadczenia tożsamości federacyjnej.
   • Zastąp <Enter_redirect_uri> identyfikatorem URI przekierowania, który został wcześniej zarejestrowany. Samouczek ten ustawia ścieżkę identyfikatora URI przekierowania na http://localhost:3000/getAToken.

2. Utwórz plik app_config.py, aby odczytać zmienne środowiskowe i dodać inne potrzebne konfiguracje.

   import os
   
   AUTHORITY = os.getenv("AUTHORITY")
   CLIENT_ID = os.getenv("CLIENT_ID")
   CLIENT_SECRET = os.getenv("CLIENT_SECRET")
   REDIRECT_URI = os.getenv("REDIRECT_URI")
   SESSION_TYPE = "filesystem" # Tells the Flask-session extension to store sessions in the filesystem. Don't use in production apps.
   

Konfigurowanie punktów końcowych aplikacji

Na tym etapie utworzysz punkty końcowe aplikacji internetowej i dodasz logikę biznesową do aplikacji.

1. Utwórz plik o nazwie app.py w folderze głównym.

2. Zaimportuj wymagane zależności w górnej części pliku app.py.

   import os
   import requests
   from flask import Flask, render_template
   from identity.flask import Auth
   import app_config
   

3. Zainicjuj aplikację Flask i skonfiguruj ją tak, aby korzystała z typu przechowywania sesji określonego w pliku app_config.py.

   app = Flask(__name__)
   app.config.from_object(app_config)
   

4. Zainicjuj klienta aplikacji. Aplikacja internetowa platformy Flask jest poufnym klientem. Przekazujemy tajny klucz klienta, ponieważ poufni klienci mogą bezpiecznie go przechowywać. Pod maską biblioteka tożsamości wywołuje klasę ConfidentialClientApplication biblioteki MSAL.

   auth = Auth(
       app,
       authority=app.config["AUTHORITY"],
       client_id=app.config["CLIENT_ID"],
       client_credential=app.config["CLIENT_SECRET"],
       redirect_uri=app.config["REDIRECT_URI"]
   )
   

5. Dodaj wymagane endpointy do aplikacji Flask. Aplikacja internetowa używa przepływu kodu autoryzacji do logowania użytkownika. Biblioteka nakładki ms_identity_python ułatwia interakcję z biblioteką MSAL, co ułatwia dodawanie logowania i wylogowywania w aplikacji. Dodajemy stronę indeksu i chronimy ją przy użyciu dekoratora login_required dostarczonego przez bibliotekę ms_identity_python. Dekorator login_required gwarantuje, że tylko uwierzytelnieni użytkownicy będą mogli uzyskać dostęp do strony indeksu.

   @app.route("/")
   @auth.login_required
   def index(*, context):
       return render_template(
           'index.html',
           user=context['user'],
           title="Flask Web App Sample",
       )
   

   Obecność użytkownika jest zagwarantowana, ponieważ oznaczyliśmy ten widok za pomocą @login_required.

Tworzenie szablonów aplikacji

Utwórz folder o nazwie templates w folderze głównym. W folderze templates utwórz plik o nazwie index.html. Jest to strona główna aplikacji. Dodaj następujący kod do pliku index.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>{{ title }}</title>
</head>
<body>
    <h1>{{ title }}</h1>
    <h2>Welcome {{ user.get("name") }}!</h2>

    <img src="https://github.com/Azure-Samples/ms-identity-python-webapp-django/raw/main/static/topology.png" alt="Topology">

    <ul>
    {% if api_endpoint %}
        <!-- If an API endpoint is declared and scopes defined, this link will show. We set this in the call an API tutorial. For this tutorial, we do not define this endpoint. -->
        <li><a href='/call_api'>Call an API</a></li>
    {% endif %}

    <li><a href="{{ url_for('identity.logout') }}">Logout</a></li>
    </ul>

    <hr>
    <footer style="text-align: right">{{ title }}</footer>
</body>
</html>

Uruchamianie i testowanie przykładowej aplikacji internetowej

najemca zasobów ludzkich

1. W terminalu uruchom następujące polecenie:

   python3 -m flask run --debug --host=localhost --port=3000
   

   Możesz użyć wybranego portu. Ten port powinien być podobny do portu URI przekierowania zarejestrowanego wcześniej.

2. Otwórz przeglądarkę, a następnie przejdź do http://localhost:3000. Zostanie wyświetlona strona logowania.

3. Zaloguj się przy użyciu konta Microsoft, wykonując kroki. Użytkownik jest proszony o podanie adresu e-mail i hasła w celu zalogowania się.

4. Jeśli aplikacja potrzebuje jakichkolwiek zakresów, zostanie wyświetlony ekran zgody. Aplikacja żąda uprawnień do utrzymania dostępu do danych, do których zezwolisz na dostęp i do logowania. Wybierz pozycję Zaakceptuj. Ten ekran nie jest wyświetlany, jeśli nie zdefiniowano żadnych zakresów.

zewnętrzny najemca

1. W terminalu uruchom następujące polecenie:

   python3 -m flask run --debug --host=localhost --port=3000
   

   Możesz użyć wybranego portu. Ten port powinien być podobny do portu URI przekierowania zarejestrowanego wcześniej.

2. Otwórz przeglądarkę, a następnie przejdź do http://localhost:3000. Zostanie wyświetlona strona logowania.

3. Na stronie logowania wpisz adres e-mail , wybierz pozycję Dalej, wpisz hasło , a następnie wybierz pozycję Zaloguj się. Jeśli nie masz konta, wybierz pozycję Nie masz konta? Utwórz jeden link, który uruchamia przepływ rejestracji.

4. Jeśli wybierzesz opcję rejestracji, przejdziesz przez przepływ rejestracji. Aby ukończyć cały przepływ rejestracji, wypełnij swój adres e-mail, jednorazowy kod dostępu, nowe hasło i więcej szczegółów konta.

5. Jeśli aplikacja potrzebuje jakichkolwiek zakresów, zostanie wyświetlony ekran zgody. Aplikacja żąda uprawnień do utrzymania dostępu do danych, do których zezwolisz na dostęp, oraz do zalogowania się, a następnie odczytania profilu, jak pokazano na zrzucie ekranu. Wybierz pozycję Zaakceptuj.

Po zalogowaniu się lub utworzeniu konta nastąpi przekierowanie z powrotem do aplikacji internetowej. Zostanie wyświetlona strona podobna do poniższego zrzutu ekranu:

Wybierz pozycję Wyloguj, aby wylogować się z aplikacji. Zostanie wyświetlony monit o wybranie konta do wylogowania. Wybierz konto użyte do zalogowania się.

Użyj niestandardowej domeny adresu URL (opcjonalnie)

najemca zasobów ludzkich

Najemcy zasobów pracowniczych nie obsługują niestandardowych domen URL.

zewnętrzny najemca

Użyj niestandardowej domeny adresu URL, aby w pełni oznaczyć adres URL uwierzytelniania. Z perspektywy użytkownika użytkownicy pozostają na Twojej domenie podczas procesu uwierzytelniania, zamiast być przekierowywanymi do domeny ciamlogin.com.

Wykonaj następujące kroki, aby użyć niestandardowej domeny adresu URL:

1. Wykonaj kroki opisane w Włączanie niestandardowych domen adresów URL dla aplikacji w dzierżawach zewnętrznych, aby włączyć niestandardową domenę adresu URL dla dzierżawy zewnętrznej.

2. W pliku .env dodaj zmienną OIDC_AUTHORITY, a usuń zmienną AUTHORITY. Ustaw jej wartość na wartość https://Enter_the_Custom_Domain_Here/Enter_the_Tenant_ID_Here/v2.0. Zastąp Enter_the_Custom_Domain_Here swoją własną domeną URL i Enter_the_Tenant_ID_Here swoim identyfikatorem najemcy. Jeśli nie masz identyfikatora dzierżawy, dowiedz się, jak wyświetlić szczegóły dzierżawy.

3. W pliku app_config.py dodaj następujący kod, aby odczytać zmienną środowiskową OIDC_AUTHORITY. Możesz usunąć zmienną AUTHORITY.

   # other configs go here
   OIDC_AUTHORITY = os.getenv("OIDC_AUTHORITY")
   

4. W pliku app.py zaktualizuj obiekt auth, aby użyć argumentu oidc_authority zamiast authority.

   auth = Auth(
       app,
       oidc_authority=app.config["OIDC_AUTHORITY"],
       client_id=app.config["CLIENT_ID"],
       client_credential=app.config["CLIENT_SECRET"],
       redirect_uri=app.config["REDIRECT_URI"]
   )
   

Materiał referencyjny

ms_identity_python abstrakuje szczegóły biblioteki MSAL. Aby uzyskać więcej informacji, zobacz dokumentację MSAL dla języka Python. Ten materiał referencyjny ułatwia zrozumienie sposobu inicjowania aplikacji i uzyskiwania tokenów przy użyciu biblioteki MSAL Python.

Następny krok

Samouczek: wywoływanie interfejsu API programu Microsoft Graph z poziomu aplikacji internetowej platformy Python Flask.