Использование MSAL в национальной облачной среде

Национальные облака, также известные как суверенные облака, это физически изолированные экземпляры Azure. Эти регионы Azure помогают убедиться, что требования к месту расположения данных, суверенитета и соответствия требованиям учитываются в географических границах.

Помимо облака Майкрософт по всему миру, библиотека проверки подлинности Майкрософт (MSAL) позволяет разработчикам приложений в национальных облаках получать маркеры для проверки подлинности и вызова защищенных веб-API. Эти веб-API могут быть Microsoft Graph или другими API Майкрософт.

Включая глобальное облако Azure, идентификатор Microsoft Entra развертывается в следующих национальных облаках:

Azure для государственных организаций
Microsoft Azure под управлением 21Vianet
Azure Германия (Закрывается 29 октября 2021 года)

В этом руководстве показано, как войти в рабочие и учебные учетные записи, получить маркер доступа и вызвать API Microsoft Graph в облачной среде Azure для государственных организаций .

Azure для Германии (Microsoft Cloud Deutschland)

Предупреждение

Azure Германия (Microsoft Cloud Deutschland) будет закрыта 29 октября 2021 г. Службы и приложения, которые вы решили не переносить в регион в глобальной среде Azure до этой даты, станут недоступными.

Если вы еще не выполнили миграцию приложения из Azure в Германии, следуйте сведениям Microsoft Entra о миграции из Германии в Azure , чтобы приступить к работе.

Предпосылки

Перед началом работы убедитесь, что выполнены эти предварительные требования.

Выберите соответствующие идентичности

Приложения Azure для государственных организаций могут использовать удостоверения Microsoft Entra для государственных организаций и общедоступные удостоверения Microsoft Entra для проверки подлинности пользователей. Поскольку вы можете использовать любой из этих идентификаторов, определите, какую конечную точку авторизации следует выбрать для вашего сценария.

Microsoft Entra Public: обычно используется, если у вашей организации уже есть общедоступный клиент Microsoft Entra для поддержки Microsoft 365 (общедоступная или GCC) или другого приложения.
Microsoft Entra для государственных организаций: обычно используется, если у вашей организации уже есть клиент Microsoft Entra для государственных организаций для поддержки Office 365 (GCC High или DoD) или создается новый клиент в Microsoft Entra Для государственных организаций.

После того, как вы примете решение, важно уделить особое внимание тому, где будет производиться регистрация приложения. Если вы выберете общедоступные удостоверения Microsoft Entra для приложения Azure для государственных организаций, необходимо зарегистрировать это приложение в общедоступном клиенте Microsoft Entra.

Получение подписки Azure для государственных организаций

Чтобы получить подписку Azure для государственных организаций, см. статью "Управление и подключение к подписке в Azure для государственных организаций".

Если у вас нет подписки Azure для государственных организаций, создайте бесплатную учетную запись перед началом работы.

Дополнительные сведения об использовании национального облака с определенным языком программирования выберите вкладку, соответствующую вашему языку:

Вы можете использовать MSAL.NET для входа пользователей, получения маркеров и вызова API Microsoft Graph в национальных облаках.

В следующих руководствах показано, как создать веб-приложение ASP.NET Core. Приложение использует OpenID Connect для входа пользователей с рабочей и учебной учетной записью в организации, которая принадлежит национальному облаку.

Чтобы авторизовать пользователей и получить токены, воспользуйтесь этим руководством: Создайте веб-приложение ASP.NET Core для входа пользователей в независимые облака с помощью платформы идентификации Microsoft.
Чтобы вызвать API Microsoft Graph, следуйте инструкциям из этого руководства. Использование платформы удостоверений Майкрософт для вызова API Microsoft Graph из веб-приложения ASP.NET Core от имени пользователя, выполнив вход с помощью рабочей и учебной учетной записи в Microsoft National Cloud.

Чтобы настроить приложение MSAL.js для суверенных облаков:

Зарегистрируйте приложение на определенном портале в зависимости от облака. Дополнительные сведения о выборе портала см. в конечных точках регистрации приложений
Используйте любой из примеров из репозитория с несколькими изменениями в конфигурации в зависимости от облака, который упоминается далее.
Используйте определенный авторизующий орган в зависимости от облака, в котором вы зарегистрировали приложение. Дополнительные сведения о центрах для различных облаков см. в конечных точках проверки подлинности Microsoft Entra.
Для вызова API Microsoft Graph требуется URL-адрес конечной точки, относящийся к используемому облаку. Чтобы найти конечные точки Microsoft Graph для всех национальных облаков, обратитесь к корневым конечным точкам службы Microsoft Graph и Graph Explorer.

Вот пример авторитета:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Ниже приведен пример конечной точки Microsoft Graph с областью действия:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Ниже приведен минимальный код для проверки подлинности пользователя с помощью суверенного облака и вызова Microsoft Graph:

const msalConfig = {
    auth: {
        clientId: "Enter_the_Application_Id_Here",
        authority: "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here",
        redirectUri: "/",
    }
};

// Initialize MSAL
const msalObj = new PublicClientApplication(msalConfig);

// Get token using popup experience
try {
    const graphToken = await msalObj.acquireTokenPopup({
        scopes: ["User.Read"]
    });
} catch(error) {
    console.log(error)
}

// Call the Graph API
const headers = new Headers();
const bearer = `Bearer ${graphToken}`;

headers.append("Authorization", bearer);

fetch("https://graph.microsoft.us/v1.0/me", {
    method: "GET",
    headers: headers
})

Чтобы включить приложение MSAL Python для национальных облаков, выполните следующие действия.

Зарегистрируйте приложение на определенном портале в зависимости от облака. Дополнительные сведения о выборе портала см. в конечных точках регистрации приложений
Используйте любой из примеров из репозитория с несколькими изменениями в конфигурации в зависимости от облака, который упоминается далее.
Используйте определенный авторизующий орган в зависимости от облака, в котором вы зарегистрировали приложение. Дополнительную информацию об уполномоченных органах для различных облачных сервисов см. в конечных точках аутентификации Microsoft Entra.

Вот пример авторитета:
```
"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"
```
Для вызова API Microsoft Graph требуется URL-адрес конечной точки, относящийся к используемому облаку. Чтобы найти конечные точки Microsoft Graph для всех национальных облаков, обратитесь к корневым конечным точкам службы Microsoft Graph и Graph Explorer.

Ниже приведен пример конечной точки Microsoft Graph с областью действия:
```
"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"
```

Чтобы активировать приложение MSAL для Java для суверенных облаков:

Зарегистрируйте приложение на определенном портале в зависимости от облака. Дополнительные сведения о выборе портала см. в конечных точках регистрации приложений
Используйте любой из примеров из репозитория с несколькими изменениями в конфигурации в зависимости от облака, которые упоминаются далее.
Используйте определенный авторизующий орган в зависимости от облака, в котором вы зарегистрировали приложение. Дополнительную информацию об уполномоченных органах для различных облачных сервисов см. в конечных точках аутентификации Microsoft Entra.

Вот пример авторитета:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Для вызова API Microsoft Graph требуется URL-адрес конечной точки, относящийся к используемому облаку. Чтобы найти конечные точки Microsoft Graph для всех национальных облаков, обратитесь к корневым конечным точкам службы Microsoft Graph и Graph Explorer.

Ниже приведен пример конечной точки графа с областью действия:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

MSAL для iOS и macOS можно использовать для получения маркеров в национальных облаках, но при создании MSALPublicClientApplicationтребуется дополнительная конфигурация.

Например, если вы хотите, чтобы ваше приложение было мультитенантным приложением в национальном облаке (здесь US Government), вы могли бы написать:

MSALAADAuthority *aadAuthority =
                [[MSALAADAuthority alloc] initWithCloudInstance:MSALAzureUsGovernmentCloudInstance
                                                   audienceType:MSALAzureADMultipleOrgsAudience
                                                      rawTenant:nil
                                                          error:nil];

MSALPublicClientApplicationConfig *config =
                [[MSALPublicClientApplicationConfig alloc] initWithClientId:@"<your-client-id-here>"
                                                                redirectUri:@"<your-redirect-uri-here>"
                                                                  authority:aadAuthority];

NSError *applicationError = nil;
MSALPublicClientApplication *application =
                [[MSALPublicClientApplication alloc] initWithConfiguration:config error:&applicationError];

let authority = try? MSALAADAuthority(cloudInstance: .usGovernmentCloudInstance, audienceType: .azureADMultipleOrgsAudience, rawTenant: nil)

let config = MSALPublicClientApplicationConfig(clientId: "<your-client-id-here>", redirectUri: "<your-redirect-uri-here>", authority: authority)
if let application = try? MSALPublicClientApplication(configuration: config) { /* Use application */}

Дальнейшие шаги

Ознакомьтесь с национальными конечными точками для проверки подлинности в облаках, чтобы получить список URL-адресов портала Azure и конечных точек токенов для каждого облака.

Документация по национальным облакам

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-06-26