Веб-приложение, которое реализует вход пользователей: конфигурация кода

Выберите тип веб-платформы и используйте следующие URI для веб-приложения ASP.NET Core

• URI перенаправления : https://localhost:44321/signin-oidc
• Адрес выхода через фронтальный канал : https://localhost:44321/signout-oidc

Выберите тип веб-платформы и используйте следующие URI для веб-приложения ASP.NET

• URI перенаправления : https://localhost:44326/

• Выберите тип веб-платформы и используйте следующие URI, которые используются в примере приложения:

  • http://localhost:8080/msal4jsample/secure/aad
  • http://localhost:8080/msal4jsample/graph/me

• Добавьте секрет клиента в приложение. Дополнительные сведения см. в статье "Добавление учетных данных в приложение ". Запишите значение секрета клиента для последующего использования.

• Выберите тип веб-платформы и используйте следующий универсальный код ресурса (URI)

  • URI перенаправления : http://localhost:3000/auth/redirect

• Добавьте секрет клиента в приложение. Дополнительные сведения см. в статье "Добавление учетных данных в приложение ". Запишите значение секрета клиента для последующего использования.

• Выберите тип веб-платформы и используйте следующий универсальный код ресурса (URI)

  • URI перенаправления : http://localhost:5000/getAToken

• Добавьте секрет клиента в приложение. Дополнительные сведения см. в статье "Добавление учетных данных в приложение ". Запишите значение секрета клиента для последующего использования.

Фрагменты кода в этой и следующей статье извлекаются из пошагового руководства по веб-приложению ASP.NET Core, глава 1.

В этом руководстве представлены подробные сведения о реализации.

Фрагменты кода в этой и следующей статьях взяты из примера веб-приложения ASP.NET.

Этот пример можно просмотреть для получения подробной информации о его реализации.

Фрагменты кода в этой и следующей статье получены из примера веб-приложения Java, вызывающего Microsoft Graph в MSAL Java.

Этот пример можно просмотреть для получения подробной информации о его реализации.

Фрагменты кода в этой и следующей статье получены из примера веб-приложения Node.js для входа пользователей в MSAL Node.

Этот пример можно просмотреть для получения подробной информации о его реализации.

Фрагменты кода в этой статье и приведенные ниже взяты из примера веб-приложения Python, вызывающего Microsoft Graph, с использованием пакета идентификаций (оболочка вокруг MSAL Python).

Этот пример можно просмотреть для получения подробной информации о его реализации.

В ASP.NET Core эти параметры находятся в файле appsettings.json в разделе "Идентификатор Microsoft Entra".

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "[Enter the tenantId here]",

    // Client ID (application ID) obtained from the Azure portal
    "ClientId": "[Enter the Client Id here]",
    "CallbackPath": "/signin-oidc",
    "SignedOutCallbackPath": "/signout-oidc"
  }
}

В ASP.NET Core другой файл (properties\launchSettings.json) содержит URL (applicationUrl) и порт TLS/SSL (sslPort) для вашего приложения и различных профилей.

{
  "iisSettings": {
    "windowsAuthentication": false,
    "anonymousAuthentication": true,
    "iisExpress": {
      "applicationUrl": "http://localhost:3110/",
      "sslPort": 44321
    }
  },
  "profiles": {
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development"
      }
    },
    "webApp": {
      "commandName": "Project",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development"
      },
      "applicationUrl": "http://localhost:3110/"
    }
  }
}

На портале Azure URI перенаправления, регистрируемые на странице Аутентификация приложения, должны соответствовать этим URL-адресам. Для двух предыдущих файлов конфигурации это будет https://localhost:44321/signin-oidc. Причина заключается в том, что applicationUrlhttp://localhost:3110, это sslPort указано (44321). CallbackPath имеет значение /signin-oidc, как определено в appsettings.json.

Таким же образом для URI выхода будет задано значение https://localhost:44321/signout-oidc.

В ASP.NET приложение настраивается с помощью файла appsettings.json строк 12–15.

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "[Enter the tenantId here]",
    "ClientId": "[Enter the Client Id here]",
  }
}

На портале Microsoft Azure URI ответа, регистрируемые на странице Аутентификация приложения, должны соответствовать этим URL-адресам. То есть, они должны иметь значение https://localhost:44326/.

Для Java конфигурация размещается в файле application.properties, расположенном в папке src/main/resources.

aad.clientId=Enter_the_Application_Id_here
aad.authority=https://login.microsoftonline.com/Enter_the_Tenant_Info_Here/
aad.secretKey=Enter_the_Client_Secret_Here
aad.redirectUriSignin=http://localhost:8080/msal4jsample/secure/aad
aad.redirectUriGraph=http://localhost:8080/msal4jsample/graph/me

На портале Microsoft Azure URI ответа, регистрируемые на странице Аутентификация для приложения, должны совпадать с экземплярами redirectUri, которые определяет приложение. То есть, они должны иметь значение http://localhost:8080/msal4jsample/secure/aad и http://localhost:8080/msal4jsample/graph/me.

Здесь параметры конфигурации находятся в .env.dev в виде переменных среды:

CLOUD_INSTANCE="Enter_the_Cloud_Instance_Id_Here" # cloud instance string should end with a trailing slash
TENANT_ID="Enter_the_Tenant_Info_Here"
CLIENT_ID="Enter_the_Application_Id_Here"
CLIENT_SECRET="Enter_the_Client_Secret_Here"

REDIRECT_URI="http://localhost:3000/auth/redirect"
POST_LOGOUT_REDIRECT_URI="http://localhost:3000"

GRAPH_API_ENDPOINT="Enter_the_Graph_Endpoint_Here" # graph api endpoint string should end with a trailing slash

EXPRESS_SESSION_SECRET="Enter_the_Express_Session_Secret_Here"

Эти параметры используются для создания объекта конфигурации в файле authConfig.js, который в конечном итоге будет использоваться для инициализации Узла MSAL:

/*
 * Copyright (c) Microsoft Corporation. All rights reserved.
 * Licensed under the MIT License.
 */

require('dotenv').config({ path: '.env.dev' });

/**
 * Configuration object to be passed to MSAL instance on creation.
 * For a full list of MSAL Node configuration parameters, visit:
 * https://github.com/AzureAD/microsoft-authentication-library-for-js/blob/dev/lib/msal-node/docs/configuration.md
 */
const msalConfig = {
    auth: {
        clientId: process.env.CLIENT_ID, // 'Application (client) ID' of app registration in Azure portal - this value is a GUID
        authority: process.env.CLOUD_INSTANCE + process.env.TENANT_ID, // Full directory URL, in the form of https://login.microsoftonline.com/<tenant>
        clientSecret: process.env.CLIENT_SECRET // Client secret generated from the app registration in Azure portal
    },
    system: {
        loggerOptions: {
            loggerCallback(loglevel, message, containsPii) {
                console.log(message);
            },
            piiLoggingEnabled: false,
            logLevel: 3,
        }
    }
}

const REDIRECT_URI = process.env.REDIRECT_URI;
const POST_LOGOUT_REDIRECT_URI = process.env.POST_LOGOUT_REDIRECT_URI;
const GRAPH_ME_ENDPOINT = process.env.GRAPH_API_ENDPOINT + "v1.0/me";

module.exports = {
    msalConfig,
    REDIRECT_URI,
    POST_LOGOUT_REDIRECT_URI,
    GRAPH_ME_ENDPOINT
};

На портале Microsoft Azure URI ответов, регистрируемые на странице "Аутентификация" для приложения, должны соответствовать экземплярам redirectUri, определяемым приложением (http://localhost:3000/auth/redirect).

Для простоты в этой статье секрет клиента хранится в файле конфигурации. В рабочем приложении рекомендуется использовать хранилище ключей или переменную среды. Еще лучше использовать сертификат.

Параметры конфигурации задаются в .env как переменные среды.

# Note: If you are using Azure App Service, go to your app's Configuration,
# and then set the following values into your app's "Application settings".

CLIENT_ID=<client id>
CLIENT_SECRET=<client secret>

# Expects a full authority URL such as "https://login.microsoftonline.com/TENANT_GUID"
# or "https://login.microsoftonline.com/contoso.onmicrosoft.com".
# Alternatively, leave it undefined if you are building a multi-tenant app in world-wide cloud
#AUTHORITY=<authority url>

Эти переменные среды ссылаются на app_config.py:

import os

# Application (client) ID of app registration
CLIENT_ID = os.getenv("CLIENT_ID")
# Application's generated client secret: never check this into source control!
CLIENT_SECRET = os.getenv("CLIENT_SECRET")

# You can configure your authority via environment variable
# Defaults to a multi-tenant app in world-wide cloud
AUTHORITY = os.getenv("AUTHORITY", "https://login.microsoftonline.com/common")

REDIRECT_PATH = "/getAToken"  # Used for forming an absolute URL to your redirect URI.
# The absolute URL must match the redirect URI you set
# in the app's registration in the Azure portal.

# You can find more Microsoft Graph API endpoints from Graph Explorer
# https://developer.microsoft.com/en-us/graph/graph-explorer
ENDPOINT = 'https://graph.microsoft.com/v1.0/users'  # This resource requires no admin consent

# You can find the proper permission names from this document
# https://docs.microsoft.com/en-us/graph/permissions-reference
SCOPE = ["User.ReadBasic.All"]

# Tells the Flask-session extension to store sessions in the filesystem
SESSION_TYPE = "filesystem"
# Using the file system will not work in most production systems,
# it's better to use a database-backed session store instead.

Env-файл никогда не должен быть проверен в системе управления версиями, так как он содержит секреты. В примере краткого руководства содержится файл .gitignore , который предотвращает проверку env-файла .

# Environments
.env

В веб-приложениях (и веб-API) ASP.NET Core приложение защищено, поскольку у вас есть атрибут Authorize на контроллерах или в действиях контроллера. Этот атрибут проверяет, прошел ли пользователь проверку подлинности. До выпуска .NET 6 инициализация кода была в файле Startup.cs . В новых проектах ASP.NET Core с .NET 6 файла Startup.cs больше нет. Вместо него используется файл Program.cs. Остальная часть этого учебника относится к .NET 5 или более ранней версии.

 services.AddAuthentication(AzureADDefaults.AuthenticationScheme)
         .AddAzureAD(options => Configuration.Bind("AzureAd", options));

1. Добавьте в проект пакеты NuGet Microsoft.Identity.Web и Microsoft.Identity.Web.UI. Microsoft.AspNetCore.Authentication.AzureAD.UI Удалите пакет NuGet, если он присутствует.

2. Обновите код в ConfigureServices, чтобы он использовал методы AddMicrosoftIdentityWebApp и AddMicrosoftIdentityUI.

   public class Startup
   {
    ...
    // This method gets called by the runtime. Use this method to add services to the container.
    public void ConfigureServices(IServiceCollection services)
    {
     services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
            .AddMicrosoftIdentityWebApp(Configuration, "AzureAd");
   
     services.AddRazorPages().AddMvcOptions(options =>
     {
      var policy = new AuthorizationPolicyBuilder()
                    .RequireAuthenticatedUser()
                    .Build();
      options.Filters.Add(new AuthorizeFilter(policy));
     }).AddMicrosoftIdentityUI();
   

3. В методе Configure в Startup.cs включите проверку подлинности с помощью вызова к app.UseAuthentication(); и app.MapControllers();.

   // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
   public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
   {
    // more code here
    app.UseAuthentication();
    app.UseAuthorization();
   
    app.MapRazorPages();
    app.MapControllers();
    // more code here
   }
   

В этом коде:

• Метод AddMicrosoftIdentityWebApp расширения определен в Microsoft.Identity.Web, который;

  • Настраивает параметры для чтения конфигурационного файла (из раздела "Microsoft Entra ID")
  • Настраивает параметры OpenID Connect так, чтобы авторитетом была платформа идентификации Microsoft.
  • Проверяет издателя токена.
  • Гарантирует, что утверждения, соответствующие имени, сопоставлены с утверждением в preferred_username маркере идентификации.

• В дополнение к объекту конфигурации можно указать имя раздела конфигурации при вызове AddMicrosoftIdentityWebApp. По умолчанию это AzureAd.

• AddMicrosoftIdentityWebApp имеет другие параметры для расширенных сценариев. Например, трассировка событий программного обеспечения промежуточного слоя OpenID Connect позволяет устранить неполадки в веб-приложении, если проверка подлинности не работает. При установке необязательного параметра subscribeToOpenIdConnectMiddlewareDiagnosticsEvents в true будет показано, как обрабатывается информация набором программного обеспечения промежуточного слоя ASP.NET Core по мере перехода от HTTP-ответа к удостоверению пользователя в HttpContext.User.

• Метод расширения AddMicrosoftIdentityUI определен в Microsoft.Identity.Web.UI. Он предоставляет контроллер по умолчанию для управления входом и выходом.

Дополнительные сведения о том, как создавать веб-приложения с помощью Microsoft.Identity.Web, см. в разделе Веб-приложения в microsoft-identity-web.

Код, связанный с проверкой подлинности в веб-приложении ASP.NET и веб-API, находится в файле App_Start/Startup.Auth.cs.

 public void ConfigureAuth(IAppBuilder app)
 {
  app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);

  app.UseCookieAuthentication(new CookieAuthenticationOptions());

  OwinTokenAcquirerFactory factory = TokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>();
  factory.Build();
  app.AddMicrosoftIdentityWebApi(factory);
 }

В примере Java используется платформа Spring. Приложение защищено, поскольку вы реализуете фильтр, который перехватывает каждый HTTP-ответ. В кратком руководстве по веб-приложениям Java этот фильтр имеет значение AuthFilter в src/main/java/com/microsoft/azure/msalwebsample/AuthFilter.java.

Фильтр обрабатывает поток кода авторизации OAuth 2.0 и проверяет, прошел ли пользователь проверку подлинности (метод isAuthenticated()). Если пользователь не прошел проверку подлинности, он вычисляет URL-адрес конечных точек авторизации Microsoft Entra и перенаправляет браузер в этот URI.

Когда получен ответ с кодом авторизации, он получает маркер с помощью MSAL Java. Когда он, наконец, получает токен из конечной точки токенов по URI перенаправления, пользователь входит в систему.

Дополнительные сведения см. в описании метода doFilter() в AuthFilter.java.

Дополнительные сведения о потоке кода авторизации, который запускается этим методом, см. в статье Платформа Microsoft Identity и поток кода авторизации OAuth 2.0.

В примере Node используется фреймворк Express. MSAL инициализируется в обработчике маршрутов проверки подлинности:

var express = require('express');

const authProvider = require('../auth/AuthProvider');
const { REDIRECT_URI, POST_LOGOUT_REDIRECT_URI } = require('../authConfig');

const router = express.Router();

router.get('/signin', authProvider.login({
    scopes: [],
    redirectUri: REDIRECT_URI,
    successRedirect: '/'

Пример Python построен с помощью платформы Flask, хотя и другие платформы, такие как Django, также могут использоваться. Приложение Flask инициализировано с конфигурацией приложения в верхней части app.py:

import identity
import identity.web
import requests
from flask import Flask, redirect, render_template, request, session, url_for
from flask_session import Session

import app_config

app = Flask(__name__)
app.config.from_object(app_config)
Session(app)

Затем код создает объект auth с использованием пакета идентификации.

auth = identity.web.Auth(
    session=session,
    authority=app.config["AUTHORITY"],
    client_id=app.config["CLIENT_ID"],
    client_credential=app.config["CLIENT_SECRET"],
)