Freigeben über


Tutorial: Registrieren einer Python-Web-App mit Microsoft Identity Platform

In dieser Tutorialreihe wird veranschaulicht, wie Sie eine Python-Web-App erstellen, die Benutzer anmeldet und eine geschützte Web-API aufruft. Sie verwenden die Microsoft-Authentifizierungsbibliothek für Python, um Benutzer in Ihrem Microsoft Entra ID-Mandanten zu authentifizieren. Schließlich führen Sie die App zum Anmelden, zum Aufrufen einer geschützten API und zum Abmelden von Benutzern aus.

In diesem Tutorial führen Sie Folgendes durch:

  • Registrieren einer Web-App im Microsoft Entra Admin Center und Aufzeichnen ihrer Bezeichner
  • Definieren der Plattform und der URLs
  • Erstellen eines geheimen Clientschlüssels für die Web-App
  • Erteilen von Berechtigungen für den Zugriff auf die Microsoft Graph-API für die Web-App

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie ein kostenloses Konto, falls Sie keines besitzen.
  • Das von Ihnen verwendete Azure-Konto muss über die Berechtigung zum Verwalten von Anwendungen verfügen. Zu den folgenden Microsoft Entra-Rollen gehören die erforderlichen Berechtigungen:
    • Anwendungsadministrator
    • Anwendungsentwickler
    • Cloudanwendungsadministrator

Registrieren der Python-Web-App und Aufzeichnen der Bezeichner

Um Identitäts- und Zugriffsverwaltungsfunktionen in Ihre Anwendung zu integrieren, registrieren Sie zunächst Ihre App bei Microsoft Identity Platform. Führen Sie die folgenden Schritte aus, um Ihre Anwendung im Microsoft Entra Admin Center zu registrieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol für Einstellungen im oberen Menü, um zum Mandanten zu wechseln, in dem Sie die Anwendung über das Menü Verzeichnisse + Abonnements registrieren möchten.
  3. Wechseln Sie zu Identität>Anwendungen>App-Registrierungen, und wählen Sie Neue Registrierung aus.
  4. Geben Sie einen Namen für Ihre Anwendung ein, z. B. python-flask-webapp. Benutzer Ihrer Anwendung können den Anzeigenamen sehen, wenn sie die App verwenden, z. B. während der Anmeldung. Sie können den Anzeigenamen jederzeit ändern.
  5. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis aus.
  6. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.

Nach Abschluss der Registrierung wird im Microsoft Entra Admin Center der Bereich Übersicht für die App-Registrierung angezeigt. Notieren Sie sich die Verzeichnis-ID (Mandant) und die Anwendungs-ID (Client) aus dem Bereich Übersicht, die in späteren Schritten verwendet werden sollen.

Hinzufügen eines Umleitungs-URI

Um eine Umleitungs-URI für Ihre Python Flask-Web-App hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Wählen Sie im Microsoft Entra Admin Center unter App-Registrierungen Ihre Anwendung aus.
  2. Wählen Sie unter Verwalten die Option Authentifizierung aus.
  3. Wählen Sie unter Plattformkonfigurationen die Option Plattform hinzufügen und dann Web aus.
  4. Wenn Sie „Web“ als Plattform Ihrer App auswählen, werden Sie zur Eingabe eines Umleitungs-URI aufgefordert. Fügen Sie http://localhost:5000/getAToken als Umleitungs-URI für Ihre Web-App hinzu.
  5. Wählen Sie Konfigurierenaus.

Konfigurieren von Anmeldeinformationen

In diesem Tutorial verwenden Sie einen geheimen Clientschlüssel (auch als Anwendungskennwort bezeichnet), um die App als vertraulichen Client zu identifizieren. Führen Sie diese Schritte aus, um Ihrer App-Registrierung einen geheimen Clientschlüssel hinzuzufügen:

  1. Wählen Sie im Microsoft Entra Admin Center unter App-Registrierungen Ihre Anwendung aus.
  2. Wählen Sie unter Verwalten die Option Zertifikate und Geheimnisse aus.
  3. Wählen Sie im Abschnitt Geheime Clientschlüssel die Option Neuer geheimer Clientschlüssel aus.
  4. Geben Sie im Bereich Geheimen Clientschlüssel hinzufügen eine Beschreibung Ihres geheimen Clientschlüssels ein.
  5. Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an.
    • Die Lebensdauer eines geheimen Clientschlüssels ist auf maximal zwei Jahre (24 Monate) begrenzt. Das bedeutet, dass keine benutzerdefinierte Lebensdauer angegeben werden kann, die über die 24 Monate hinausgeht. Microsoft empfiehlt, den Wert für die Ablauffrist auf maximal 12 Monate festzulegen.
  6. Wählen Sie Hinzufügen.
  7. Notieren Sie den Wert des geheimen Clientschlüssels (nicht seine ID) zur Verwendung in einem späteren Schritt. Dieser Geheimniswert wird nur einmal bei der Erstellung und nach Verlassen dieser Seite nicht mehr angezeigt.

Obwohl Sie in diesem Tutorial einen geheimen Clientschlüssel verwendet haben, empfehlen wir die Verwendung eines Zertifikats, bevor Sie die Anwendung in eine Produktionsumgebung verschieben. Weitere Informationen zur Verwendung eines Zertifikats finden Sie in diesen Anweisungen.

Hinzufügen eines Bereichs

Da über diese App Benutzer angemeldet werden, müssen Sie delegierte Berechtigungen hinzufügen:

  1. Wählen Sie unter Verwalten die Optionen API-Berechtigungen>Berechtigung hinzufügen aus.
  2. Stellen Sie sicher, dass die Registerkarte Microsoft-APIs ausgewählt ist.
  3. Wählen Sie im Abschnitt Häufig verwendete Microsoft-APIs die Option Microsoft Graph aus.
  4. Stellen Sie im Abschnitt Delegierte Berechtigungen sicher, dass User.Read ausgewählt ist. Verwenden Sie bei Bedarf das Suchfeld.
  5. Wählen Sie Berechtigungen hinzufügen aus.

Nächste Schritte