Kullanıcılarda oturum açma web uygulaması: Kod yapılandırması

Makale
10/24/2023

Web uygulamanızın kullanıcılarda oturum açma kodunu yapılandırmayı öğrenin.

Web uygulamalarını destekleyen Microsoft kitaplıkları

Aşağıdaki Microsoft kitaplıkları bir web uygulamasını (ve web API'sini) korumak için kullanılır:

Dil / çerçeve	Proje açık GitHub	Paket	Alma birini seçin	Oturum açma kullanıcıları	Web API'lerine erişme	Genel kullanıma açık (GA) veya Genel önizleme¹
.NET	MSAL.NET	Microsoft.Identity.Client	—			GA
.NET	Microsoft.IdentityModel	Microsoft.IdentityModel	—	²	²	GA
ASP.NET Core	ASP.NET Core	Microsoft.AspNetCore.Authentication	Hızlı Başlangıç			GA
ASP.NET Core	Microsoft.Identity.Web	Microsoft.Identity.Web	Hızlı Başlangıç			GA
Java	MSAL4J	msal4j	Hızlı Başlangıç			GA
Spring	spring-cloud-azure-starter-active-directory	spring-cloud-azure-starter-active-directory	Öğretici			GA
Node.js	MSAL Düğümü	msal-node	Hızlı Başlangıç			GA
Python	MSAL Python	msal				GA
Python	Kimlik	Kimlik	Hızlı Başlangıç			--

⁽¹⁾Çevrimiçi Hizmetler için Evrensel Lisans Koşulları, Genel önizlemedeki kitaplıklar için geçerlidir.

⁽²⁾Microsoft.IdentityModel kitaplığı yalnızca belirteçleri doğrular ; kimlik veya erişim belirteçleri isteyemez.

İlgilendiğiniz platforma karşılık gelen sekmeyi seçin:

Bu makaledeki kod parçacıkları ve aşağıdakiler ASP.NET Core web uygulaması artımlı öğreticisi 1. bölümden ayıklanır.

Tam uygulama ayrıntıları için bu öğreticiye başvurmak isteyebilirsiniz.

Yapılandırma dosyaları

Microsoft kimlik platformu kullanarak kullanıcılarda oturum açabilen web uygulamaları yapılandırma dosyaları aracılığıyla yapılandırılır. Bu dosyalar aşağıdaki değerleri belirtmelidir:

Örneğin uygulamanızın ulusal bulutlarda çalışmasını istiyorsanız bulut örneği . Farklı seçenekler şunlardır:
- https://login.microsoftonline.com/ Azure genel bulutu için
- https://login.microsoftonline.us/ Azure ABD kamu için
- https://login.microsoftonline.de/ Microsoft Entra Germany için
- https://login.partner.microsoftonline.cn/common 21Vianet tarafından işletilen Microsoft Entra China için
Kiracı kimliğindeki hedef kitle. Seçenekler, uygulamanızın tek kiracı mı yoksa çok kiracılı mı olduğuna bağlı olarak değişir.
- Kuruluşunuzdaki kullanıcılarda oturum açmak için Azure portalından alınan kiracı GUID'i. Etki alanı adı da kullanabilirsiniz.
- organizations herhangi bir iş veya okul hesabındaki kullanıcıları oturum açmak için
- common herhangi bir iş veya okul hesabıyla veya Microsoft kişisel hesabıyla kullanıcıları oturum açmak için
- consumers kullanıcıları yalnızca Microsoft kişisel hesabıyla oturum açmak için
Azure portalından kopyalanan uygulamanızın istemci kimliği

Ayrıca yetkiliye başvurular, örneğin ve kiracı kimliği değerlerinin birleştirilmiş olduğunu görebilirsiniz.

ASP.NET Core'da , bu ayarlar appsettings.json dosyasında, "Microsoft Entra Id" bölümünde bulunur.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "[Enter the tenantId here]",

    // Client ID (application ID) obtained from the Azure portal
    "ClientId": "[Enter the Client Id here]",
    "CallbackPath": "/signin-oidc",
    "SignedOutCallbackPath": "/signout-oidc"
  }
}

ASP.NET Core'da başka bir dosya (properties\launch Ayarlar.json), uygulamanız ve çeşitli profiller için URL'yi (applicationUrl) ve TLS/SSL bağlantı noktasını (sslPort) içerir.

{
  "iisSettings": {
    "windowsAuthentication": false,
    "anonymousAuthentication": true,
    "iisExpress": {
      "applicationUrl": "http://localhost:3110/",
      "sslPort": 44321
    }
  },
  "profiles": {
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development"
      }
    },
    "webApp": {
      "commandName": "Project",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development"
      },
      "applicationUrl": "http://localhost:3110/"
    }
  }
}

Azure portalında, uygulamanızın Kimlik Doğrulama sayfasına kaydettiğiniz yeniden yönlendirme URL'lerinin bu URL'ler ile eşleşmesi gerekir. Önceki iki yapılandırma dosyası için bunlar olacaktır https://localhost:44321/signin-oidc. Nedeni şudur: applicationUrlhttp://localhost:3110, ancak sslPort belirtildi (44321). CallbackPath , /signin-oidciçinde tanımlandığı gibi şeklindedir appsettings.json.

Aynı şekilde, oturumu kapatma URI'si olarak https://localhost:44321/signout-oidcayarlanır.

Not

Olayı işlerken çakışmayı önlemek için SignedOutCallbackPath portala veya uygulamaya ayarlanmalıdır.

ASP.NET'da uygulama, 12 ile 15 arasında satırlar olan appsettings.json dosyası aracılığıyla yapılandırılır.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "[Enter the tenantId here]",
    "ClientId": "[Enter the Client Id here]",
  }
}

Azure portalında, uygulamanızın Kimlik Doğrulaması sayfasına kaydettiğiniz yanıt URL'lerinin bu URL'ler ile eşleşmesi gerekir. Yani, onlar olmalıdır https://localhost:44326/.

Java'da yapılandırma, altında src/main/resourcesbulunan application.properties dosyasında bulunur.

aad.clientId=Enter_the_Application_Id_here
aad.authority=https://login.microsoftonline.com/Enter_the_Tenant_Info_Here/
aad.secretKey=Enter_the_Client_Secret_Here
aad.redirectUriSignin=http://localhost:8080/msal4jsample/secure/aad
aad.redirectUriGraph=http://localhost:8080/msal4jsample/graph/me

Azure portalında, uygulamanızın Kimlik Doğrulaması sayfasına kaydettiğiniz yanıt URI'lerinin uygulamanın tanımladığı örneklerle eşleşmesi redirectUri gerekir. Yani, ve http://localhost:8080/msal4jsample/graph/meolmalıdırlarhttp://localhost:8080/msal4jsample/secure/aad.

Burada yapılandırma parametreleri ortam değişkenleri olarak .env.dev bulunur:

CLOUD_INSTANCE="Enter_the_Cloud_Instance_Id_Here" # cloud instance string should end with a trailing slash
TENANT_ID="Enter_the_Tenant_Info_Here"
CLIENT_ID="Enter_the_Application_Id_Here"
CLIENT_SECRET="Enter_the_Client_Secret_Here"

REDIRECT_URI="http://localhost:3000/auth/redirect"
POST_LOGOUT_REDIRECT_URI="http://localhost:3000"

GRAPH_API_ENDPOINT="Enter_the_Graph_Endpoint_Here" # graph api endpoint string should end with a trailing slash

EXPRESS_SESSION_SECRET="Enter_the_Express_Session_Secret_Here"

Bu parametreler, authConfig.js dosyasında bir yapılandırma nesnesi oluşturmak için kullanılır ve sonunda MSAL Düğümünü başlatmak için kullanılacaktır:

/*
 * Copyright (c) Microsoft Corporation. All rights reserved.
 * Licensed under the MIT License.
 */

require('dotenv').config({ path: '.env.dev' });

/**
 * Configuration object to be passed to MSAL instance on creation.
 * For a full list of MSAL Node configuration parameters, visit:
 * https://github.com/AzureAD/microsoft-authentication-library-for-js/blob/dev/lib/msal-node/docs/configuration.md
 */
const msalConfig = {
    auth: {
        clientId: process.env.CLIENT_ID, // 'Application (client) ID' of app registration in Azure portal - this value is a GUID
        authority: process.env.CLOUD_INSTANCE + process.env.TENANT_ID, // Full directory URL, in the form of https://login.microsoftonline.com/<tenant>
        clientSecret: process.env.CLIENT_SECRET // Client secret generated from the app registration in Azure portal
    },
    system: {
        loggerOptions: {
            loggerCallback(loglevel, message, containsPii) {
                console.log(message);
            },
            piiLoggingEnabled: false,
            logLevel: 3,
        }
    }
}

const REDIRECT_URI = process.env.REDIRECT_URI;
const POST_LOGOUT_REDIRECT_URI = process.env.POST_LOGOUT_REDIRECT_URI;
const GRAPH_ME_ENDPOINT = process.env.GRAPH_API_ENDPOINT + "v1.0/me";

module.exports = {
    msalConfig,
    REDIRECT_URI,
    POST_LOGOUT_REDIRECT_URI,
    GRAPH_ME_ENDPOINT
};

Azure portalında, uygulamanızın Kimlik Doğrulaması sayfasına kaydettiğiniz yanıt URI'lerinin, uygulamanın tanımladığı redirectUri örnekleriyle eşleşmesi gerekir (http://localhost:3000/auth/redirect .

Bu makaledeki kolaylık için istemci gizli dizisi yapılandırma dosyasında depolanır. Üretim uygulamasında bir anahtar kasası veya ortam değişkeni kullanmayı göz önünde bulundurun. Sertifika kullanmak daha da iyi bir seçenektir.

Yapılandırma parametreleri .env içinde ortam değişkenleri olarak ayarlanır:

# Note: If you are using Azure App Service, go to your app's Configuration,
# and then set the following values into your app's "Application settings".

CLIENT_ID=<client id>
CLIENT_SECRET=<client secret>

# Expects a full authority URL such as "https://login.microsoftonline.com/TENANT_GUID"
# or "https://login.microsoftonline.com/contoso.onmicrosoft.com".
# Alternatively, leave it undefined if you are building a multi-tenant app in world-wide cloud
#AUTHORITY=<authority url>

Bu ortam değişkenlerine app_config.py:

import os

# Application (client) ID of app registration
CLIENT_ID = os.getenv("CLIENT_ID")
# Application's generated client secret: never check this into source control!
CLIENT_SECRET = os.getenv("CLIENT_SECRET")

# You can configure your authority via environment variable
# Defaults to a multi-tenant app in world-wide cloud
AUTHORITY = os.getenv("AUTHORITY", "https://login.microsoftonline.com/common")

REDIRECT_PATH = "/getAToken"  # Used for forming an absolute URL to your redirect URI.
# The absolute URL must match the redirect URI you set
# in the app's registration in the Azure portal.

# You can find more Microsoft Graph API endpoints from Graph Explorer
# https://developer.microsoft.com/en-us/graph/graph-explorer
ENDPOINT = 'https://graph.microsoft.com/v1.0/users'  # This resource requires no admin consent

# You can find the proper permission names from this document
# https://docs.microsoft.com/en-us/graph/permissions-reference
SCOPE = ["User.ReadBasic.All"]

# Tells the Flask-session extension to store sessions in the filesystem
SESSION_TYPE = "filesystem"
# Using the file system will not work in most production systems,
# it's better to use a database-backed session store instead.

.env dosyası hiçbir zaman gizli diziler içerdiğinden kaynak denetimine iade edilmemelidir. Hızlı başlangıç örneği, .env dosyasının iade edilmesini engelleyen bir .gitignore dosyası içerir.

# Environments
.env

Başlatma kodu

Başlatma kodu farklılıkları platforma bağlıdır. ASP.NET Core ve ASP.NET için, kullanıcıların oturum açması OpenID Bağlan ara yazılımına devredilir. ASP.NET veya ASP.NET Core şablonu, Azure AD v1.0 uç noktası için web uygulamaları oluşturur. Bunları Microsoft kimlik platformu uyarlamak için bazı yapılandırmalar gereklidir.

ASP.NET Core web uygulamalarında (ve web API'lerinde), denetleyiciler veya denetleyici eylemleri üzerinde bir Authorize özniteliğiniz olduğundan uygulama korunur. Bu öznitelik, kullanıcının kimliğinin doğrulandığını denetler. .NET 6'nın yayımlanmasından önce kod başlatma Startup.cs dosyasındaydı. .NET 6 içeren yeni ASP.NET Core projeleri artık Startup.cs dosyası içermiyor. Onun yerini almak Program.cs dosyasıdır. Bu öğreticinin geri kalanı .NET 5 veya daha düşük sürümlerle ilgili.

Not

Microsoft.Identity.Web'i kullanan Microsoft kimlik platformu için yeni ASP.NET Core şablonlarıyla doğrudan başlamak isterseniz.NET 5.0 için proje şablonlarını içeren bir önizleme NuGet paketi indirebilirsiniz. Ardından, yüklendikten sonra doğrudan ASP.NET Core web uygulamalarının (MVC veya Blazor) örneğini oluşturabilirsiniz. Ayrıntılar için bkz . Microsoft.Identity.Web web uygulaması proje şablonları . Bu, sizin için aşağıdaki adımların tümünü gerçekleştireceği için en basit yaklaşımdır.

Projenizi Visual Studio'da veya veya kullanarak dotnet new mvc --auth SingleOrgdotnet new webapp --auth SingleOrggeçerli varsayılan ASP.NET Core web projesiyle başlatmayı tercih ederseniz aşağıdaki gibi bir kod görürsünüz:

 services.AddAuthentication(AzureADDefaults.AuthenticationScheme)
         .AddAzureAD(options => Configuration.Bind("AzureAd", options));

Bu kod, Azure Active Directory v1.0 uygulaması oluşturmak için kullanılan eski Microsoft.AspNetCore.Authentication.AzureAD.UI NuGet paketini kullanır. Bu makalede, bu kodun yerini alan bir Microsoft kimlik platformu v2.0 uygulamasının nasıl oluşturulacağı açıklanmaktadır.

Projenize Microsoft.Identity.Web ve Microsoft.Identity.Web.UI NuGet paketlerini ekleyin. Microsoft.AspNetCore.Authentication.AzureAD.UI Varsa NuGet paketini kaldırın.

içindeki kodu ConfigureServices ve AddMicrosoftIdentityUI yöntemlerini kullanabilecek AddMicrosoftIdentityWebApp şekilde güncelleştirin.

public class Startup
{
 ...
 // This method gets called by the runtime. Use this method to add services to the container.
 public void ConfigureServices(IServiceCollection services)
 {
  services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
         .AddMicrosoftIdentityWebApp(Configuration, "AzureAd");

  services.AddRazorPages().AddMvcOptions(options =>
  {
   var policy = new AuthorizationPolicyBuilder()
                 .RequireAuthenticatedUser()
                 .Build();
   options.Filters.Add(new AuthorizeFilter(policy));
  }).AddMicrosoftIdentityUI();

Configure Startup.cs yönteminde ve app.MapControllers();çağrısıyla kimlik doğrulamasını app.UseAuthentication(); etkinleştirin.

// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
 // more code here
 app.UseAuthentication();
 app.UseAuthorization();

 app.MapRazorPages();
 app.MapControllers();
 // more code here
}

Bu kodda:

AddMicrosoftIdentityWebApp Uzantı yöntemi Microsoft.Identity.Web'de tanımlanır;
- Yapılandırma dosyasını okumak için seçenekleri yapılandırıyor (burada "Microsoft Entra Id" bölümünden)
- Yetkilinin Microsoft kimlik platformu olması için OpenID Bağlan seçeneklerini yapılandırılır.
- Belirtecin verenini doğrular.
- Ada karşılık gelen taleplerin kimlik belirtecindeki taleple preferred_username eşlendiğinden emin olun.
yapılandırma nesnesine ek olarak, çağırırken AddMicrosoftIdentityWebAppyapılandırma bölümünün adını belirtebilirsiniz. Varsayılan olarak değeridir AzureAd.
AddMicrosoftIdentityWebApp gelişmiş senaryolar için başka parametrelere sahiptir. Örneğin, OpenID Bağlan ara yazılım olaylarını izleme, kimlik doğrulaması işe yaramazsa web uygulamanızın sorunlarını gidermenize yardımcı olabilir. İsteğe bağlı parametresini subscribeToOpenIdConnectMiddlewareDiagnosticsEvents olarak true ayarlamak, HTTP yanıtından içindeki kullanıcının HttpContext.Userkimliğine ilerledikçe bilgilerin ASP.NET Core ara yazılımı kümesi tarafından nasıl işlendiğini gösterir.
AddMicrosoftIdentityUI Uzantı yöntemi Microsoft.Identity.Web.UI içinde tanımlanır. Oturum açma ve oturumu kapatma işlemlerini gerçekleştirmek için varsayılan bir denetleyici sağlar.

Microsoft.Identity.Web'in web uygulamaları oluşturmanıza nasıl olanak sağladığı hakkında daha fazla bilgi için bkz . microsoft-identity-web'de Web Apps.

ASP.NET web uygulamasında ve web API'lerinde kimlik doğrulamasıyla ilgili kod App_Start/Startup.Auth.cs dosyasında bulunur.

 public void ConfigureAuth(IAppBuilder app)
 {
  app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);

  app.UseCookieAuthentication(new CookieAuthenticationOptions());

  OwinTokenAcquirerFactory factory = TokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>();
  factory.Build();
  app.AddMicrosoftIdentityWebApi(factory);
 }

Java örneği Spring çerçevesini kullanır. Her HTTP yanıtını kesen bir filtre uyguladığınız için uygulama korunur. Java web uygulamaları için hızlı başlangıçta, bu filtre içindedir AuthFiltersrc/main/java/com/microsoft/azure/msalwebsample/AuthFilter.java.

Filtre, OAuth 2.0 yetkilendirme kodu akışını işler ve kullanıcının kimliğinin doğrulanıp doğrulanamadısını (isAuthenticated() yöntemi) denetler. Kullanıcının kimliği doğrulanmamışsa, Microsoft Entra yetkilendirme uç noktalarının URL'sini hesaplar ve tarayıcıyı bu URI'ye yönlendirir.

Yetkilendirme kodunu içeren yanıt geldiğinde, MSAL Java kullanarak belirteci alır. Sonunda belirteci belirteç uç noktasından aldığında (yeniden yönlendirme URI'sinde), kullanıcı oturum açmış olur.

Ayrıntılar için AuthFilter.java'daki yöntemine doFilter() bakın.

Not

kodu doFilter() biraz farklı bir sırayla yazılır, ancak akış açıklanandır.

Bu yöntemin tetiklediğini yetkilendirme kodu akışı hakkında ayrıntılı bilgi için Microsoft kimlik platformu ve OAuth 2.0 yetkilendirme kodu akışına bakın.

Node örneği Express çerçevesini kullanır. MSAL, kimlik doğrulama yol işleyicisinde başlatılır:

var express = require('express');

const authProvider = require('../auth/AuthProvider');
const { REDIRECT_URI, POST_LOGOUT_REDIRECT_URI } = require('../authConfig');

const router = express.Router();

router.get('/signin', authProvider.login({
    scopes: [],
    redirectUri: REDIRECT_URI,
    successRedirect: '/'

Python örneği Flask çerçevesiyle oluşturulmuş olsa da Django gibi diğer çerçeveler de kullanılabilir. Flask uygulaması, app.py en üstünde uygulama yapılandırmasıyla başlatılır:

import identity
import identity.web
import requests
from flask import Flask, redirect, render_template, request, session, url_for
from flask_session import Session

import app_config

app = Flask(__name__)
app.config.from_object(app_config)
Session(app)

Ardından kod, kimlik paketini kullanarak bir auth nesne oluşturur.

auth = identity.web.Auth(
    session=session,
    authority=app.config["AUTHORITY"],
    client_id=app.config["CLIENT_ID"],
    client_credential=app.config["CLIENT_SECRET"],
)

Sonraki adımlar

Sonraki makalede oturum açmayı ve oturumu kapatmayı tetiklemeyi öğreneceksiniz.

Bu senaryoda bir sonraki makale olan Oturum aç ve oturumu kapat'a geçin.

Kullanıcılarda oturum açma web uygulaması: Kod yapılandırması

Web uygulamalarını destekleyen Microsoft kitaplıkları

Yapılandırma dosyaları

Başlatma kodu

Sonraki adımlar

Ek kaynaklar