Intégrer la connexion Microsoft 365 dans les applications Web Flask

Intégrer la connexion Microsoft 365 dans les applications Web Flask
Intégrer la connexion Microsoft 365 dans les applications Web Flask
Gerald Girard
Vendredi 10 mai 2024 à 00:03:11

Configuration de l'authentification Microsoft 365

Lors du développement d'applications Web à des fins éducatives, l'intégration de ressources institutionnelles telles que la messagerie Microsoft 365 peut améliorer l'expérience utilisateur et rationaliser les processus de connexion. Cette intégration est particulièrement utile lorsque les applications doivent s'aligner sur les politiques informatiques de l'université, ce qui peut restreindre la création d'applications sous diplôme universitaire.

Dans ce scénario, utiliser un compte personnel Microsoft Azure pour configurer l'application est une solution pratique. Cependant, des problèmes peuvent survenir, tels que des problèmes liés aux restrictions des locataires lorsque l'on tente de se connecter avec une adresse e-mail universitaire. Cela nécessite une stratégie pour gérer les comptes d'utilisateurs entre différents locataires sans compromettre la fonctionnalité ou la sécurité de l'application.

Commande Description
oauth.remote_app() Initialise une nouvelle instance d'application distante pour OAuth ; il est utilisé pour gérer la communication avec les fournisseurs OAuth.
flask_oauthlib.client.OAuth Une extension Flask pour intégrer les fournisseurs de services OAuth, facilitant l'authentification via les protocoles OAuth.
authorized_response() Faisant partie de Flask-OAuthlib, cette méthode récupère la réponse OAuth autorisée à partir de la fonction de rappel.
session['oauth_token'] Utilisé pour stocker le jeton OAuth dans la session pour un accès ultérieur, essentiel pour la gestion des sessions utilisateur et de l'état d'authentification.
microsoft.authorize() Méthode qui redirige vers l'URL d'autorisation du fournisseur OAuth où l'utilisateur peut autoriser l'application.
url_for() Une fonction d'assistance dans Flask qui génère un point de terminaison pour une fonction de vue donnée. Il est utile pour générer des URL pour les redirections.

Expliquer l'intégration de Flask avec l'authentification Microsoft 365

Les scripts frontend et backend facilitent ensemble l’intégration de la connexion Microsoft 365 dans une application Web Flask. Sur le frontend, une simple page HTML présente un bouton qui, lorsqu'on clique dessus, déclenche une fonction JavaScript pour rediriger l'utilisateur vers le backend pour s'authentifier. Ce processus commence par le loginWithMicrosoft() fonction, qui modifie l'emplacement de la fenêtre en fonction de la route backend gérée par Flask. Le script backend utilise Flask et Flask-OAuthlib pour gérer le flux OAuth avec la plateforme d'identité de Microsoft.

Dans le back-end, le oauth.remote_app() La commande établit une connexion avec les points de terminaison OAuth de Microsoft à l'aide des informations d'identification de l'application. Le microsoft.authorize() La fonction lance le processus d'authentification en redirigeant l'utilisateur vers la page d'autorisation de Microsoft. Une fois que l'utilisateur s'est connecté et a accordé les autorisations nécessaires, le fournisseur OAuth le renvoie à l'application à l'aide de l'URL de rappel spécifiée dans url_for('authorized'). Le authorized_response() La méthode traite ce rappel, récupérant le jeton d'accès nécessaire pour confirmer l'authentification et maintenir la session de l'utilisateur.

Interface d'authentification frontale Microsoft 365

HTML et JavaScript utilisés pour le frontend

<html>
<head>
<title>Login with Microsoft</title>
</head>
<body>
<button onclick="loginWithMicrosoft()">Sign In with Microsoft</button>
<script>
function loginWithMicrosoft() {
    window.location.href = '/auth/microsoft';
}
</script>
</body>
</html>

Flux d'authentification back-end avec Microsoft 365

Python et Flask utilisés pour le backend

from flask import Flask, redirect, url_for, session
from flask_oauthlib.client import OAuth
import os

app = Flask(__name__)
app.secret_key = 'development'
oauth = OAuth(app)

microsoft = oauth.remote_app(
    'microsoft',
    consumer_key='YOUR_APP_ID',
    consumer_secret='YOUR_APP_SECRET',
    request_token_params={'scope': 'User.Read'}
    base_url='https://graph.microsoft.com/v1.0/',
    request_token_url=None,
    access_token_method='POST',
    access_token_url='https://login.microsoftonline.com/common/oauth2/v2.0/token',
    authorize_url='https://login.microsoftonline.com/common/oauth2/v2.0/authorize'
)

@app.route('/')
def index():
    return '<h1>Welcome to the Flask App</h1>' + '<a href="/login">Login with Microsoft</a>'

@app.route('/login')
def login():
    return microsoft.authorize(callback=url_for('authorized', _external=True))

@app.route('/login/authorized')
def authorized():
    response = microsoft.authorized_response()
    if response is None or response.get('access_token') is None:
        return 'Access denied: reason={0} error={1}'.format(
            request.args['error'], request.args['error_description'])
    session['oauth_token'] = (response['access_token'], '')
    return 'Logged in as id={0}'.format(session['oauth_token'])

@microsoft.tokengetter
def get_microsoft_oauth_token():
    return session.get('oauth_token')

if __name__ == '__main__':
    app.run(debug=True)

Configuration avancée pour l'authentification Microsoft 365 dans Flask

Pour résoudre le problème de l'intégration de la connexion Microsoft 365 sans utiliser de messagerie gérée par l'université, il est essentiel de comprendre le concept d'applications multi-locataires dans Azure. Une application mutualisée permet aux utilisateurs de plusieurs locataires Azure AD d'accéder à l'application, ce qui est idéal pour les universités où les étudiants peuvent avoir des adresses e-mail de domaines différents. Cette configuration nécessite la configuration de l'application Azure pour accepter les connexions de n'importe quel locataire Azure AD, ce qui est effectué en définissant « signInAudience » dans le manifeste de l'application sur « AzureADMultipleOrgs ».

Ce changement de configuration permet aux étudiants d'utiliser leurs emails universitaires, même si l'application a été initialement créée avec une email personnelle. Cela simplifie également la gestion puisque le développeur n'a pas besoin d'ajouter individuellement chaque utilisateur au locataire. Cette approche exploite la flexibilité des services de gestion des identités d'Azure pour garantir une accessibilité plus large et une intégration transparente dans les applications éducatives.

Questions courantes sur l'intégration de Microsoft 365 dans les applications Flask

  1. Qu’est-ce que l’authentification multi-locataire Azure AD ?
  2. L'authentification mutualisée Azure AD permet aux applications de servir les utilisateurs de plusieurs locataires Azure AD, et pas seulement celui dans lequel l'application a été enregistrée.
  3. Comment configurer mon application Flask pour Azure multi-tenant ?
  4. Vous devez modifier l’inscription de l’application dans Azure pour accepter les connexions de n’importe quel locataire Azure AD en définissant « signInAudience » dans le manifeste.
  5. Quels sont les avantages de l'utilisation oauth.remote_app() dans un flacon ?
  6. Cette fonction simplifie la connexion aux fournisseurs OAuth en gérant le flux OAuth, y compris la récupération et le stockage des jetons.
  7. Pourquoi un utilisateur peut-il recevoir une erreur indiquant que son compte n'existe pas dans le locataire ?
  8. Cela se produit généralement si l'application n'est pas configurée pour un accès multi-tenant ou si l'utilisateur n'est pas enregistré en tant qu'utilisateur externe dans le locataire.
  9. Comment puis-je gérer les erreurs lors du processus d’authentification dans Flask ?
  10. Implémenter la gestion des erreurs dans le authorized_response() fonction pour détecter et répondre aux erreurs telles que les refus d’accès ou les jetons manquants.

Réflexions finales sur l'intégration de l'authentification Microsoft 365

En conclusion, l'intégration de la connexion Microsoft 365 dans les applications Flask sans utiliser de messagerie universitaire implique de configurer une application Azure avec des informations d'identification personnelles et de la configurer pour un accès multi-tenant. Cette approche contourne non seulement les restrictions que les universités pourraient imposer sur l'utilisation des e-mails officiels pour la création d'applications, mais simplifie également le processus de connexion pour les utilisateurs de différents locataires. En suivant les meilleures pratiques pour OAuth et en gérant efficacement les erreurs potentielles, les développeurs peuvent offrir une expérience utilisateur transparente et sécurisée.