Esercitazione: Registrare un'app Web Python con Microsoft Identity Platform
Questa serie di esercitazioni illustra come creare un'app Web Python che consente di accedere agli utenti e di chiamare un'API Web protetta. Si usa la libreria Microsoft Authentication Library per Python per autenticare gli utenti nel tenant di Microsoft Entra ID. Infine, si eseguirà l'app per accedere, chiamare un'API protetta e disconnettere gli utenti.
In questa esercitazione:
- Registrare un'app Web nell'interfaccia di amministrazione di Microsoft Entra e registrarne gli identificatori
- Definire la piattaforma e gli URL
- Creare un segreto client per l'app Web
- Concedere autorizzazioni all'app Web per accedere all'API Microsoft Graph
Prerequisiti
- Un account Azure con una sottoscrizione attiva. Se non si dispone di un account, crearne uno gratuitamente.
- L'account Azure usato deve avere le autorizzazioni per gestire le applicazioni. Uno dei seguenti ruoli di Microsoft Entra include le autorizzazioni necessarie:
- Amministratore di applicazioni
- Sviluppatore di applicazioni
- Amministratore applicazione cloud
Registrare l'app Web Python e gli identificatori di record
Per integrare le funzionalità di gestione delle identità e degli accessi nell'applicazione, iniziare registrando l'app con Microsoft Identity Platform. Seguire questi passaggi per registrare l'applicazione nell'interfaccia di amministrazione di Microsoft Entra:
- Accedi all'Interfaccia di amministrazione di Microsoft Entra.
- Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant in cui si vuole registrare l'applicazione dal menu Directory e sottoscrizioni.
- Passare a Identità>Applicazioni>Registrazioni app e selezionare Nuova registrazione.
- In Nome immettere un nome per l'applicazione, ad esempio python-flask-webapp. Gli utenti dell'applicazione potrebbero vedere il nome visualizzato quando usano l'app, ad esempio durante l'accesso. È possibile modificare il nome visualizzato in qualsiasi momento.
- In Tipi di account supportati selezionare Account solo in questa directory organizzativa.
- Selezionare Registra per completare la registrazione iniziale dell'app.
Al termine della registrazione, nell'interfaccia di amministrazione di Microsoft Entra viene visualizzato il riquadro Panoramica della registrazione dell'app. Nel riquadro Panoramica registrare l'ID directory (tenant) e l'ID applicazione (client) da usare in un passaggio successivo.
Aggiungere un URI di reindirizzamento
Per aggiungere un URI di reindirizzamento per l'app Web Python Flask, seguire questa procedura:
- Nell'interfaccia di amministrazione di Microsoft Entra, in Registrazioni app selezionare l'applicazione.
- In Gestisci selezionare Autenticazione.
- In Configurazioni della piattaforma selezionare Aggiungi una piattaforma e quindi Selezionare Web.
- Quando si seleziona web come piattaforma dell'app, viene richiesto di immettere un URI di reindirizzamento. Aggiungere
http://localhost:5000/getAToken
come URI di reindirizzamento per l'app Web. - Seleziona Configura.
Configurare le credenziali
Per questa esercitazione si userà un segreto client, noto anche come password dell'applicazione per identificare l'app come client riservato. Seguire questa procedura per aggiungere un segreto client alla registrazione app:
- Nell'interfaccia di amministrazione di Microsoft Entra, in Registrazioni app selezionare l'applicazione.
- In Gestisci, selezionare Certificati e segreti.
- Nella sezione Segreti client seleziona Nuovo segreto client.
- Nel riquadro Aggiungi un segreto client specificare una descrizione per il segreto client.
- Selezionare una scadenza per il segreto o specificare una durata personalizzata.
- La durata del segreto client è limitata a due anni (24 mesi) o meno. Non è possibile specificare una durata personalizzata di più di 24 mesi. Microsoft consiglia di impostare un valore di scadenza inferiore a 12 mesi.
- Seleziona Aggiungi.
- Prendere nota del valore del segreto client (non l'ID) che verrà usato in un passaggio successivo. Questo valore segreto viene visualizzato solo una volta al momento della creazione e non viene mai più mostrato dopo aver lasciato questa pagina.
Anche se in questa esercitazione è stato usato un segreto client, è consigliabile usare un certificato prima di spostare l'applicazione in un ambiente di produzione. Per altre informazioni sull'uso di un certificato, vedere queste istruzioni.
Aggiungere un ambito
Poiché questa app esegue l’accesso degli utenti, è necessario aggiungere le autorizzazioni delegate:
- In Gestisci selezionare Autorizzazioni API>Aggiungi un'autorizzazione.
- Verificare che la scheda API Microsoft sia selezionata.
- Nella sezione API Microsoft più usate selezionare Microsoft Graph.
- Nella sezione Autorizzazioni delegate verificare che User.Read sia selezionato. Se necessario, usare la casella di ricerca.
- Selezionare Aggiungi autorizzazioni.