Использование MSAL в среде национального облака

Статья
10/24/2023

Национальные облака — это физически изолированные экземпляры Azure. Эти регионы Azure помогают обеспечить соблюдение требований к месту расположения и независимости данных, а также законодательных требований в пределах географических границ.

Помимо глобального облака Майкрософт, библиотека проверки подлинности Майкрософт (MSAL) позволяет разработчикам приложений в национальных облаках получать токены для проверки подлинности и вызова защищенных веб-API. Этими веб-API могут быть Microsoft Graph или другие интерфейсы API Майкрософт.

Включая глобальное облако Azure, идентификатор Microsoft Entra развертывается в следующих национальных облаках:

Azure для государственных организаций
Microsoft Azure под управлением 21Vianet
Azure для Германии (прекращает работу 29 октября 2021 г.)

В этом руководстве показано, как войти в рабочую или учебную учетную запись, получить маркер доступа и вызвать API Microsoft Graph в облачной среде Azure для государственных организаций.

Azure для Германии (Microsoft Cloud Deutschland)

Предупреждение

Национальное облако "Azure для Германии" (Microsoft Cloud Deutschland) прекращает работу 29 октября 2021 г. Службы и приложения, которые вы решили не переносить в новый регион в глобальном облаке Azure, станут недоступны после этой даты.

Если вы еще не выполнили миграцию приложения из Azure в Германии, следуйте сведениям Microsoft Entra о миграции из Германии в Azure, чтобы приступить к работе.

Необходимые компоненты

Прежде чем начать, убедитесь в том, что выполнены все необходимые условия.

Выбор соответствующих удостоверений

Azure для государственных организаций приложения могут использовать удостоверения Microsoft Entra для государственных организаций и общедоступные удостоверения Microsoft Entra для проверки подлинности пользователей. Так как вы можете использовать любые из этих удостоверений, решите, какую конечную точку следует выбрать для своего сценария.

Microsoft Entra Public: обычно используется, если у вашей организации уже есть общедоступный клиент Microsoft Entra для поддержки Microsoft 365 (общедоступная или GCC) или другого приложения.
Microsoft Entra для государственных организаций: обычно используется, если у вашей организации уже есть клиент Microsoft Entra для государственных организаций для поддержки Office 365 (GCC High или DoD) или создается новый клиент в Microsoft Entra Для государственных организаций.

После принятия решения обратите особое внимание на то, где регистрируется приложение. Если для приложения Azure для государственных организаций выбраны общедоступные удостоверения Microsoft Entra, необходимо зарегистрировать приложение в общедоступном клиенте Microsoft Entra.

Получение подписки на Azure для государственных организаций

Чтобы получить подписку на Azure для государственных организаций, см. статью Управление подпиской в Azure для государственных организаций и подключение к ней.

Если у вас еще нет подписки на Azure для государственных организаций, создайте бесплатную учетную запись, прежде чем начинать работу.

Чтобы получить сведения об использовании национального облака с определенным языком программирования, выберите вкладку, соответствующую вашему языку:

Вы можете использовать MSAL.NET для обеспечения входа пользователей, получения маркеров и вызова API Microsoft Graph в национальных облаках.

В следующих руководствах показано, как создать веб-приложение ASP.NET Core. Приложение использует OpenID Connect для обеспечения входа пользователей с рабочей или учебной учетной записью в организации, которая размещена в национальном облаке.

Чтобы войти в систему пользователей и получить маркеры, следуйте инструкциям из этого руководства. Создайте пользователей ASP.NET Core Web App для входа в независимые облака с помощью платформа удостоверений Майкрософт.
Чтобы вызвать API Microsoft Graph, следуйте инструкциям из этого руководства. Использование платформа удостоверений Майкрософт для вызова API Microsoft Graph из веб-приложения ASP.NET Core от имени входа пользователя с помощью рабочей и учебной учетной записи в Microsoft National Cloud.

Чтобы подготовить приложение MSAL.js для использования в национальных облаках, выполните указанные ниже действия.

Зарегистрируйте приложение на определенном портале в зависимости от облака. Дополнительные сведения о выборе портала см. в разделе Конечные точки регистрации приложений.
Используйте любой из примеров из репозитория, внеся в конфигурацию небольшие изменения, описанные далее, в зависимости от облака.
Используйте конкретный центр в зависимости от облака, в котором вы зарегистрировали приложение. Дополнительные сведения о центрах для различных облаков см. в конечных точках проверки подлинности Microsoft Entra.
Для вызова API Microsoft Graph требуется URL-адрес конечной точки, относящийся к используемому облаку. Чтобы найти конечные точки Microsoft Graph для всех национальных облаков, см. раздел Корневые конечные точки службы Microsoft Graph и Graph Explorer.

Ниже приведен пример центра.

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Вот пример конечной точки Microsoft Graph с областью действия:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Ниже приведен минимальный код для проверки подлинности пользователя в национальном облаке и вызова Microsoft Graph.

const msalConfig = {
    auth: {
        clientId: "Enter_the_Application_Id_Here",
        authority: "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here",
        redirectUri: "/",
    }
};

// Initialize MSAL
const msalObj = new PublicClientApplication(msalConfig);

// Get token using popup experience
try {
    const graphToken = await msalObj.acquireTokenPopup({
        scopes: ["User.Read"]
    });
} catch(error) {
    console.log(error)
}

// Call the Graph API
const headers = new Headers();
const bearer = `Bearer ${graphToken}`;

headers.append("Authorization", bearer);

fetch("https://graph.microsoft.us/v1.0/me", {
    method: "GET",
    headers: headers
})

Чтобы подготовить приложение MSAL на Python для использования в национальных облаках, выполните указанные ниже действия.

Зарегистрируйте приложение на определенном портале в зависимости от облака. Дополнительные сведения о выборе портала см. в разделе Конечные точки регистрации приложений.
Используйте любой из примеров из репозитория, внеся в конфигурацию небольшие изменения, описанные далее, в зависимости от облака.
Используйте конкретный центр в зависимости от облака, в котором вы зарегистрировали приложение. Дополнительные сведения о центрах для различных облаков см . в конечных точках проверки подлинности Microsoft Entra.

Ниже приведен пример центра.
```
"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"
```
Для вызова API Microsoft Graph требуется URL-адрес конечной точки, относящийся к используемому облаку. Чтобы найти конечные точки Microsoft Graph для всех национальных облаков, см. раздел Корневые конечные точки службы Microsoft Graph и Graph Explorer.

Вот пример конечной точки Microsoft Graph с областью действия:
```
"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"
```

Чтобы подготовить приложение MSAL на Java для использования в национальных облаках, выполните указанные ниже действия.

Зарегистрируйте приложение на определенном портале в зависимости от облака. Дополнительные сведения о выборе портала см. в разделе Конечные точки регистрации приложений.
Используйте любой из примеров из репозитория, внеся в конфигурацию небольшие изменения, описанные далее, в зависимости от облака.
Используйте конкретный центр в зависимости от облака, в котором вы зарегистрировали приложение. Дополнительные сведения о центрах для различных облаков см . в конечных точках проверки подлинности Microsoft Entra.

Ниже приведен пример центра.

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Для вызова API Microsoft Graph требуется URL-адрес конечной точки, относящийся к используемому облаку. Чтобы найти конечные точки Microsoft Graph для всех национальных облаков, см. раздел Корневые конечные точки службы Microsoft Graph и Graph Explorer.

Вот пример конечной точки графа с областью действия:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

MSAL для iOS и macOS можно использовать для получения маркеров в национальных облаках, но при создании MSALPublicClientApplication требуется дополнительная настройка.

Так, если вы хотите, чтобы приложение было мультитенантным и развертывалось в национальном облаке (в данном случае в облаке Правительства США), можно написать следующее:

MSALAADAuthority *aadAuthority =
                [[MSALAADAuthority alloc] initWithCloudInstance:MSALAzureUsGovernmentCloudInstance
                                                   audienceType:MSALAzureADMultipleOrgsAudience
                                                      rawTenant:nil
                                                          error:nil];

MSALPublicClientApplicationConfig *config =
                [[MSALPublicClientApplicationConfig alloc] initWithClientId:@"<your-client-id-here>"
                                                                redirectUri:@"<your-redirect-uri-here>"
                                                                  authority:aadAuthority];

NSError *applicationError = nil;
MSALPublicClientApplication *application =
                [[MSALPublicClientApplication alloc] initWithConfiguration:config error:&applicationError];

let authority = try? MSALAADAuthority(cloudInstance: .usGovernmentCloudInstance, audienceType: .azureADMultipleOrgsAudience, rawTenant: nil)

let config = MSALPublicClientApplicationConfig(clientId: "<your-client-id-here>", redirectUri: "<your-redirect-uri-here>", authority: authority)
if let application = try? MSALPublicClientApplication(configuration: config) { /* Use application */}

Следующие шаги

Список URL-адресов портала Azure и конечных точек маркеров для каждого облака см. в разделе Конечные точки проверки подлинности в национальных облаках.

Документация по национальным облакам

Поделиться через