Usar o MSAL em um ambiente de nuvem nacional

Artigo
10/24/2023

As nuvens nacionais, também conhecidas como nuvens soberanas, são instâncias fisicamente isoladas do Azure. Essas regiões do Azure ajudam a garantir que os requisitos de residência, soberania e conformidade de dados sejam respeitados dentro dos limites geográficos.

Além da nuvem mundial da Microsoft, a Microsoft Authentication Library (MSAL) permite que desenvolvedores de aplicativos em nuvens nacionais adquiram tokens para autenticar e chamar APIs da Web seguras. Essas APIs da Web podem ser o Microsoft Graph ou outras APIs da Microsoft.

Incluindo a nuvem global do Azure, o Microsoft Entra ID é implantado nas seguintes nuvens nacionais:

Azure Government
Microsoft Azure operado pela 21Vianet
Azure Germany (Encerramento em 29 de outubro de 2021)

Este guia demonstra como entrar em contas corporativas e de estudante, obter um token de acesso e chamar a API do Microsoft Graph no ambiente de nuvem do Azure Government.

Azure Alemanha (Microsoft Cloud Deutschland)

Aviso

O Azure Germany (Microsoft Cloud Deutschland) será fechado em 29 de outubro de 2021. Os serviços e aplicativos que você optar por não migrar para uma região no Azure global antes dessa data ficarão inacessíveis.

Se você não migrou seu aplicativo do Azure Alemanha, siga as informações do Microsoft Entra para a migração do Azure Alemanha para começar.

Pré-requisitos

Antes de começar, certifique-se de que cumpre estes pré-requisitos.

Escolha as identidades apropriadas

Os aplicativos do Azure Government podem usar identidades do Microsoft Entra Government e identidades públicas do Microsoft Entra para autenticar usuários. Como você pode usar qualquer uma dessas identidades, decida qual ponto de extremidade de autoridade você deve escolher para seu cenário:

Microsoft Entra Public: Normalmente utilizado se a sua organização já tiver um inquilino do Microsoft Entra Public para suportar o Microsoft 365 (Public ou GCC) ou outra aplicação.
Microsoft Entra Government: Normalmente utilizado se a sua organização já tiver um inquilino do Microsoft Entra Government para suportar o Office 365 (GCC High ou DoD) ou estiver a criar um novo inquilino no Microsoft Entra Government.

Depois de decidir, uma consideração especial é onde você executa o registro do aplicativo. Se você escolher identidades públicas do Microsoft Entra para seu aplicativo do Azure Government, deverá registrar o aplicativo em seu locatário público do Microsoft Entra.

Obter uma subscrição do Azure Government

Para obter uma subscrição do Azure Governamental, consulte Gerir e ligar à sua subscrição no Azure Government.

Se você não tiver uma assinatura do Azure Government, crie uma conta gratuita antes de começar.

Para obter detalhes sobre como usar uma nuvem nacional com uma linguagem de programação específica, escolha a guia correspondente à sua linguagem:

Você pode usar MSAL.NET para entrar usuários, adquirir tokens e chamar a API do Microsoft Graph em nuvens nacionais.

Os tutoriais a seguir demonstram como criar um aplicativo Web ASP.NET Core. O aplicativo usa o OpenID Connect para fazer login de usuários com uma conta corporativa e de estudante em uma organização que pertence a uma nuvem nacional.

Para iniciar sessão de utilizadores e adquirir tokens, siga este tutorial: Crie uma aplicação Web ASP.NET Core que inicie sessão em utilizadores em nuvens soberanas com a plataforma de identidade da Microsoft.
Para chamar a API do Microsoft Graph, siga este tutorial: Usando a plataforma de identidade da Microsoft para chamar a API do Microsoft Graph de um aplicativo Web ASP.NET Core, em nome de um usuário que entra usando sua conta corporativa e de estudante no Microsoft National Cloud.

Para habilitar seu aplicativo MSAL.js para nuvens soberanas:

Registe a sua aplicação num portal específico, dependendo da nuvem. Para obter mais informações sobre como escolher o portal, consulte Pontos finais de registro do aplicativo
Use qualquer um dos exemplos do repositório com algumas alterações na configuração, dependendo da nuvem, que é mencionada a seguir.
Use uma autoridade específica, dependendo da nuvem em que você registrou o aplicativo. Para obter mais informações sobre autoridades para diferentes nuvens, consulte Pontos de extremidade de autenticação do Microsoft Entra.
Chamar a API do Microsoft Graph requer uma URL de ponto de extremidade específica para a nuvem que você está usando. Para encontrar pontos de extremidade do Microsoft Graph para todas as nuvens nacionais, consulte Pontos de extremidade raiz do serviço Microsoft Graph e Graph Explorer.

Aqui está um exemplo de autoridade:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Aqui está um exemplo de um ponto de extremidade do Microsoft Graph, com escopo:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Aqui está o código mínimo para autenticar um usuário com uma nuvem soberana e chamar o Microsoft Graph:

const msalConfig = {
    auth: {
        clientId: "Enter_the_Application_Id_Here",
        authority: "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here",
        redirectUri: "/",
    }
};

// Initialize MSAL
const msalObj = new PublicClientApplication(msalConfig);

// Get token using popup experience
try {
    const graphToken = await msalObj.acquireTokenPopup({
        scopes: ["User.Read"]
    });
} catch(error) {
    console.log(error)
}

// Call the Graph API
const headers = new Headers();
const bearer = `Bearer ${graphToken}`;

headers.append("Authorization", bearer);

fetch("https://graph.microsoft.us/v1.0/me", {
    method: "GET",
    headers: headers
})

Para habilitar seu aplicativo MSAL Python para nuvens soberanas:

Registe a sua aplicação num portal específico, dependendo da nuvem. Para obter mais informações sobre como escolher o portal, consulte Pontos finais de registro do aplicativo
Use qualquer um dos exemplos do repositório com algumas alterações na configuração, dependendo da nuvem, que é mencionada a seguir.
Use uma autoridade específica, dependendo da nuvem em que você registrou o aplicativo. Para obter mais informações sobre autoridades para diferentes nuvens, consulte Pontos de extremidade de autenticação do Microsoft Entra.

Aqui está um exemplo de autoridade:
```
"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"
```
Chamar a API do Microsoft Graph requer uma URL de ponto de extremidade específica para a nuvem que você está usando. Para encontrar pontos de extremidade do Microsoft Graph para todas as nuvens nacionais, consulte Pontos de extremidade raiz do serviço Microsoft Graph e Graph Explorer.

Aqui está um exemplo de um ponto de extremidade do Microsoft Graph, com escopo:
```
"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"
```

Para habilitar seu aplicativo MSAL for Java para nuvens soberanas:

Registe a sua aplicação num portal específico, dependendo da nuvem. Para obter mais informações sobre como escolher o portal, consulte Pontos finais de registro do aplicativo
Use qualquer um dos exemplos do repositório com algumas alterações na configuração, dependendo da nuvem, que são mencionadas a seguir.
Use uma autoridade específica, dependendo da nuvem em que você registrou o aplicativo. Para obter mais informações sobre autoridades para diferentes nuvens, consulte Pontos de extremidade de autenticação do Microsoft Entra.

Aqui está um exemplo de autoridade:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Chamar a API do Microsoft Graph requer uma URL de ponto de extremidade específica para a nuvem que você está usando. Para encontrar pontos de extremidade do Microsoft Graph para todas as nuvens nacionais, consulte Pontos de extremidade raiz do serviço Microsoft Graph e Graph Explorer.

Aqui está um exemplo de um ponto de extremidade gráfico, com escopo:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

MSAL para iOS e macOS pode ser usado para adquirir tokens em nuvens nacionais, mas requer configuração adicional ao criar MSALPublicClientApplication.

Por exemplo, se você quiser que seu aplicativo seja um aplicativo multilocatário em uma nuvem nacional (aqui Governo dos EUA), você pode escrever:

MSALAADAuthority *aadAuthority =
                [[MSALAADAuthority alloc] initWithCloudInstance:MSALAzureUsGovernmentCloudInstance
                                                   audienceType:MSALAzureADMultipleOrgsAudience
                                                      rawTenant:nil
                                                          error:nil];

MSALPublicClientApplicationConfig *config =
                [[MSALPublicClientApplicationConfig alloc] initWithClientId:@"<your-client-id-here>"
                                                                redirectUri:@"<your-redirect-uri-here>"
                                                                  authority:aadAuthority];

NSError *applicationError = nil;
MSALPublicClientApplication *application =
                [[MSALPublicClientApplication alloc] initWithConfiguration:config error:&applicationError];

MSAL para iOS e macOS pode ser usado para adquirir tokens em nuvens nacionais, mas requer configuração adicional ao criar MSALPublicClientApplication.

Por exemplo, se você quiser que seu aplicativo seja um aplicativo multilocatário em uma nuvem nacional (aqui Governo dos EUA), você pode escrever:

let authority = try? MSALAADAuthority(cloudInstance: .usGovernmentCloudInstance, audienceType: .azureADMultipleOrgsAudience, rawTenant: nil)

let config = MSALPublicClientApplicationConfig(clientId: "<your-client-id-here>", redirectUri: "<your-redirect-uri-here>", authority: authority)
if let application = try? MSALPublicClientApplication(configuration: config) { /* Use application */}

Próximos passos

Consulte Pontos de extremidade de autenticação de nuvem nacional para obter uma lista das URLs do portal do Azure e pontos de extremidade de token para cada nuvem.

Documentação nacional na nuvem:

Partilhar via