Руководство: Настройка приложения Android для входа пользователей с помощью платформы удостоверений Майкрософт

• Арендатор рабочей силы. Вы можете использовать каталог по умолчанию или настроить нового арендатора.
• Зарегистрируйте новое приложение в Центре администрирования Microsoft Entra, настроенное только для учетных записей в этом каталоге организации. Дополнительные сведения см. в статье "Регистрация приложения ". Запишите следующие значения на странице обзора приложения для последующего использования:
  • Идентификатор приложения (клиента)
  • Идентификатор каталога (арендатора)
• Проект Android. Если у вас нет проекта Android, создайте его.

• Внешний арендатор. Чтобы создать его, выберите один из следующих методов:
  • Используйте расширение Microsoft Entra External ID, чтобы настроить внешний клиент непосредственно в Visual Studio Code. (Рекомендуется)
  • Создайте нового внешнего клиента в центре администрирования Microsoft Entra.
• Зарегистрируйте новое приложение в Центре администрирования Microsoft Entra, настроенное для учетных записей в любом каталоге организации и личных учетных записях Майкрософт. Дополнительные сведения см. в статье "Регистрация приложения ". Запишите следующие значения на странице обзора приложения для последующего использования:
  • Идентификатор приложения (клиента)
  • Идентификатор каталога (арендатора)

1. В разделе Управление выберите Проверка подлинности>Добавить платформу>Android.

2. Введите имя пакета проекта в зависимости от загруженного выше типа.

   • Пример Java — com.azuresamples.msalandroidapp
   • Пример Kotlin — com.azuresamples.msalandroidkotlinapp

3. В разделе Хэш подписи области настройки приложения Android выберите Создание хэша подписи для разработки и скопируйте команду KeyTool в вашу командную строку.

   • KeyTool. exe устанавливается как часть пакета средств разработки Java (JDK). Необходимо также установить средство OpenSSL для выполнения команды KeyTool. Для получения дополнительных сведений см. документацию Android по созданию ключа.

4. Введите хэш подписи, созданный с помощью KeyTool.

5. Выберите "Настроить и сохранить конфигурацию MSAL", которая отображается в области конфигурации Android, чтобы можно было ввести ее при последующей настройке приложения.

6. Нажмите кнопку Готово.

Чтобы указать тип приложения для регистрации приложения, выполните следующие действия.

1. В разделе Управление выберите Проверка подлинности.
2. На странице конфигураций платформы выберите "Добавить платформу" и выберите параметр iOS или macOS .
3. Введите идентификатор пакета проекта. Если вы скачали пример кода, это значение равно com.microsoft.identitysample.ciam.MSALiOS.
4. Выберите "Настроить и сохранить конфигурацию MSAL ", которая отображается в области конфигурации iOS или macOS , чтобы можно было ввести ее при настройке приложения позже.
5. Нажмите кнопку Готово.

Включение публичного клиентского потока

Чтобы определить приложение как общедоступный клиент, выполните следующие действия.

1. В разделе Управление выберите Проверка подлинности.

2. В разделе "Дополнительные параметры" для параметра "Разрешить общедоступные потоки клиентов" нажмите кнопку "Да".

3. Выберите Сохранить, чтобы сохранить изменения.

1. В области проектов Android Studio перейдите к app\src\main\res.

2. Щелкните правой кнопкой мыши на res и выберите "Создать директорию>". Введите raw в качестве имени нового каталога и нажмите ОК.

3. В приложении >src>main>res>rawсоздайте новый JSON-файл с именем auth_config_single_account.json и вставьте сохраненную ранее конфигурацию MSAL.

   Под URI перенаправления вставьте:

     "account_mode" : "SINGLE",
   

   Файл конфигурации должен выглядеть следующим образом:

   {
     "client_id": "00001111-aaaa-bbbb-3333-cccc4444",
     "authorization_user_agent": "WEBVIEW",
     "redirect_uri": "msauth://com.azuresamples.msalandroidapp/00001111%cccc4444%3D",
     "broker_redirect_uri_registered": true,
     "account_mode": "SINGLE",
     "authorities": [
       {
         "type": "AAD",
         "audience": {
           "type": "AzureADandPersonalMicrosoftAccount",
           "tenant_id": "common"
         }
       }
     ]
   }
   

   Это руководство демонстрирует, как настраивать приложение только в режиме одной учетной записи. Для получения дополнительной информации см. раздел о режиме одной и нескольких учетных записей и раздел о настройке вашего приложения.

4. Рекомендуется использовать WEBVIEW. Если вы хотите настроить "authorization_user_agent" в качестве браузера в приложении, вам потребуется внести следующие обновления. a) Обновите auth_config_single_account.json, заменив "authorization_user_agent" на "Браузер". b) Обновить AndroidManifest.xml. В приложении перейдите к приложению>src>main>AndroidManifest.xmlи добавьте активность BrowserTabActivity в качестве дочернего элемента <application>. Эта запись позволяет идентификатору Microsoft Entra вернуться к приложению после завершения проверки подлинности:

   <!--Intent filter to capture System Browser or Authenticator calling back to our app after sign-in-->
   <activity
       android:name="com.microsoft.identity.client.BrowserTabActivity"
       android:exported="true">
       <intent-filter>
           <action android:name="android.intent.action.VIEW" />
           <category android:name="android.intent.category.DEFAULT" />
           <category android:name="android.intent.category.BROWSABLE" />
           <data android:scheme="msauth"
               android:host="Enter_the_Package_Name"
               android:path="/Enter_the_Signature_Hash" />
       </intent-filter>
   </activity>
   

   • Используйте имя пакета для замены значения android:host=.. Он должен выглядеть как com.azuresamples.msalandroidapp.
   • Используйте хэш подписи для замены значения android:path=. Убедитесь, что в начале хэша подписи есть начальный /. Это должно выглядеть как /aB1cD2eF3gH4+iJ5kL6-mN7oP8q=.

   Эти значения также можно найти на панели аутентификации регистрации вашего приложения.

1. В области проектов Android Studio перейдите к app\src\main\res.

2. Щелкните правой кнопкой мыши res и выберите «Новый каталог>». Введите raw в качестве имени нового каталога и нажмите ОК.

3. В app\src\main\res\rawсоздайте новый JSON-файл с именем auth_config_ciam_auth.json.

4. В файле auth_config_ciam_auth.json добавьте следующие конфигурации MSAL:

   {
     "client_id" : "Enter_the_Application_Id_Here",
     "authorization_user_agent" : "DEFAULT",
     "redirect_uri" : "Enter_the_Redirect_Uri_Here",
     "account_mode" : "SINGLE",
     "authorities" : [
       {
         "type": "CIAM",
         "authority_url": "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/Enter_the_Tenant_Subdomain_Here.onmicrosoft.com/"
       }
     ]
   }
   

   Файл конфигурации JSON задает различные параметры для приложения Android. Он включает идентификатор клиента, агент пользователя авторизации, URI перенаправления и режим учетной записи. Кроме того, он определяет орган проверки подлинности, указывая тип и URL-адрес органа.

   Замените следующие заполнители значениями арендатора, полученными из Центра администрирования Microsoft Entra.

   • Enter_the_Application_Id_Here и замените его на идентификатор приложения (клиента), который вы зарегистрировали ранее.
   • Enter_the_Redirect_Uri_Here и замените его на значение redirect_uri в файле конфигурации библиотеки проверки подлинности Майкрософт (MSAL), который вы скачали ранее, когда вы добавляли URL-адрес перенаправления платформы.
   • Enter_the_Tenant_Subdomain_Here и замените его поддоменом каталога (клиента). Например, если основной домен клиента contoso.onmicrosoft.com, используйте contoso. Если вы не знаете поддомен клиента, узнайте, как прочитать сведения о клиенте.

5. Откройте файл /app/src/main/AndroidManifest.xml.

6. В AndroidManifest.xmlдобавьте следующую спецификацию данных в фильтр намерений:

   <data
       android:host="ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE"
       android:path="/ENTER_YOUR_SIGNATURE_HASH_HERE"
       android:scheme="msauth" />
   

   Найдите заполнитель:

   • ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE и замените его именем пакета проекта Android.
   • ENTER_YOUR_SIGNATURE_HASH_HERE и замените его хэшом подписи, созданным ранее при добавлении URL-адреса перенаправления платформы.

Использование личного домена URL-адреса (необязательно)

Используйте пользовательский домен для полного брендинга URL-адреса аутентификации. С точки зрения пользователя, во время процесса проверки подлинности они остаются на вашем домене, а не перенаправляются на домен ciamlogin.com.

Чтобы использовать личный домен, выполните следующие действия.

1. Используйте действия в Включение пользовательских доменов URL для приложений во внешних организациях, чтобы включить пользовательский домен URL для вашей внешней организации.

2. Откройте файл auth_config_ciam_auth.json:

   1. Обновите значение свойства authority_url до https://Enter_the_Custom_Domain_Here/Enter_the_Tenant_ID_Here. Замените Enter_the_Custom_Domain_Here доменом личного URL-адреса и Enter_the_Tenant_ID_Here идентификатором клиента. Если у вас нет идентификатора арендатора, узнайте, как прочитать сведения об арендаторе.
   2. Добавьте свойство knownAuthorities со значением [Enter_the_Custom_Domain_Here].

После внесения изменений в файл auth_config_ciam_auth.json, если ваш пользовательский URL-адрес домена login.contoso.com, и ваш идентификатор арендатора aaaabbbb-0000-cccc-1111-dddd2222eeee, то ваш файл должен выглядеть на подобие следующего фрагмента кода:

{
    "client_id" : "Enter_the_Application_Id_Here",
    "authorization_user_agent" : "DEFAULT",
    "redirect_uri" : "Enter_the_Redirect_Uri_Here",
    "account_mode" : "SINGLE",
    "authorities" : [
    {
        "type": "CIAM",
        "authority_url": "https://login.contoso.com/aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "knownAuthorities": ["login.contoso.com"]
    }
    ]
}

PublicClientApplication.createSingleAccountPublicClientApplication(
    getContext(),
    R.raw.auth_config_single_account,
    new IPublicClientApplication.ISingleAccountApplicationCreatedListener() {
        @Override
        public void onCreated(ISingleAccountPublicClientApplication application) {
            // Initialize the single account application instance
            mSingleAccountApp = application;
            loadAccount();
        }

        @Override
        public void onError(MsalException exception) {
            // Handle any errors that occur during initialization
            displayError(exception);
        }
    }
);

Этот код создает одно клиентское приложение общедоступной учетной записи с помощью файла конфигурации auth_config_single_account.json. После успешного создания приложения он назначает экземпляр mSingleAccountApp и вызывает метод loadAccount(). Если во время создания возникает ошибка, она обрабатывает ошибку путем вызова метода displayError(exception).

private suspend fun initClient(): ISingleAccountPublicClientApplication = withContext(Dispatchers.IO) {
    return@withContext PublicClientApplication.createSingleAccountPublicClientApplication(
        this@MainActivity,
        R.raw.auth_config_ciam_auth
    )
}

Код инициализирует одно клиентское приложение общедоступной учетной записи асинхронно. Он использует предоставленный файл конфигурации проверки подлинности и запускается в диспетчере ввода-вывода.