Uso de MSAL en un entorno de nube nacional

Las nubes nacionales, también conocidas como nubes soberanas, son instancias físicamente aisladas de Azure. Estas regiones de Azure ayudan a asegurarse de que los requisitos de residencia, soberanía y cumplimiento de datos se respetan dentro de los límites geográficos.

Además de la nube mundial de Microsoft, la Biblioteca de autenticación de Microsoft (MSAL) permite a los desarrolladores de aplicaciones en nubes nacionales adquirir tokens para autenticar y llamar a API web protegidas. Estas API web pueden ser Microsoft Graph u otras API de Microsoft.

Incluida la nube global de Azure, el identificador de Microsoft Entra se implementa en las siguientes nubes nacionales:

Azure Government (servicio de nube de Microsoft para el gobierno)
Microsoft Azure operado por 21Vianet
Azure Alemania (cierre el 29 de octubre de 2021)

En esta guía se muestra cómo iniciar sesión en cuentas profesionales y educativas, obtener un token de acceso y llamar a Microsoft Graph API en el entorno en la nube de Azure Government .

Azure Alemania (Microsoft Cloud Deutschland)

Advertencia

Azure Alemania (Microsoft Cloud Deutschland) se cerrará el 29 de octubre de 2021. Los servicios y las aplicaciones que elija no migrar a una región de Azure global antes de esa fecha serán inaccesibles.

Si no ha migrado la aplicación desde Azure Alemania, siga la información de Microsoft Entra para la migración desde Azure Alemania para empezar.

Prerrequisitos

Antes de empezar, asegúrese de cumplir estos requisitos previos.

Elección de las identidades adecuadas

Las aplicaciones de Azure Government pueden usar identidades de Microsoft Entra Government e identidades públicas de Microsoft Entra para autenticar a los usuarios. Dado que puede usar cualquiera de estas identidades, decida qué punto de conexión de autoridad debe elegir para su escenario:

Microsoft Entra Public: se usa normalmente si su organización ya tiene un inquilino público de Microsoft Entra para admitir Microsoft 365 (Público o GCC) u otra aplicación.
Microsoft Entra Government: se usa normalmente si su organización ya tiene un inquilino de Microsoft Entra Government para admitir Office 365 (GCC High o DoD) o está creando un nuevo inquilino en Microsoft Entra Government.

Después de decidir, una consideración especial es dónde se realiza el registro de la aplicación. Si elige Identidades públicas de Microsoft Entra para la aplicación de Azure Government, debe registrar la aplicación en el inquilino público de Microsoft Entra.

Obtención de una suscripción de Azure Government

Para obtener una suscripción de Azure Government, consulte Administración y conexión a la suscripción en Azure Government.

Si no tiene una suscripción a Azure Government, cree una cuenta gratuita antes de empezar.

Para obtener más información sobre el uso de una nube nacional con un lenguaje de programación determinado, elija la pestaña que coincida con el lenguaje:

Puede usar MSAL.NET para iniciar sesión de usuarios, adquirir tokens y llamar a Microsoft Graph API en nubes nacionales.

En los tutoriales siguientes se muestra cómo compilar una aplicación web ASP.NET Core. La aplicación usa OpenID Connect para iniciar sesión de usuarios con una cuenta profesional y educativa en una organización que pertenezca a una nube nacional.

Para iniciar sesión de usuarios y adquirir tokens, siga este tutorial: Creación de una aplicación web de ASP.NET Core que inicia sesión de usuarios en nubes soberanas con la plataforma de identidad de Microsoft.
Para llamar a Microsoft Graph API, siga este tutorial: Uso de la plataforma de identidad de Microsoft para llamar a Microsoft Graph API desde una aplicación web de ASP.NET Core, en nombre de un usuario que inicia sesión con su cuenta profesional y educativa en Microsoft National Cloud.

Para habilitar la aplicación MSAL.js para las nubes soberanas:

Registre la aplicación en un portal específico, en función de la nube. Para más información sobre cómo elegir el portal, consulte los puntos finales de registro de aplicaciones.
Use cualquiera de los ejemplos del repositorio con algunos cambios en la configuración, en función de la nube, que se menciona a continuación.
Use una autoridad específica, en función de la nube en la que registró la aplicación. Para obtener más información sobre las autoridades de distintas nubes, consulte Puntos de conexión de Autenticación de Microsoft Entra.
Llamar a Microsoft Graph API requiere una dirección URL de punto de conexión específica de la nube que usa. Para encontrar los puntos de conexión de Microsoft Graph para todas las nubes nacionales, consulte la sección titulada Puntos de conexión raíz del servicio Microsoft Graph y Graph Explorer.

Esta es una autoridad de ejemplo:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

A continuación, se muestra un ejemplo de un punto de conexión de Microsoft Graph con el ámbito:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Este es el código mínimo para autenticar a un usuario con una nube soberana y llamar a Microsoft Graph:

const msalConfig = {
    auth: {
        clientId: "Enter_the_Application_Id_Here",
        authority: "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here",
        redirectUri: "/",
    }
};

// Initialize MSAL
const msalObj = new PublicClientApplication(msalConfig);

// Get token using popup experience
try {
    const graphToken = await msalObj.acquireTokenPopup({
        scopes: ["User.Read"]
    });
} catch(error) {
    console.log(error)
}

// Call the Graph API
const headers = new Headers();
const bearer = `Bearer ${graphToken}`;

headers.append("Authorization", bearer);

fetch("https://graph.microsoft.us/v1.0/me", {
    method: "GET",
    headers: headers
})

Para habilitar su aplicación de MSAL en Python para nubes soberanas:

Registre la aplicación en un portal específico, en función de la nube. Para más información sobre cómo elegir el portal, consulte Puntos finales de registro de aplicaciones.
Use cualquiera de los ejemplos del repositorio con algunos cambios en la configuración, en función de la nube, que se menciona a continuación.
Use una autoridad específica, en función de la nube en la que registró la aplicación. Para obtener más información sobre las autoridades para diferentes nubes, consulte los Puntos de conexión de autenticación de Microsoft Entra.

Esta es una autoridad de ejemplo:
```
"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"
```
Llamar a Microsoft Graph API requiere una dirección URL de punto de conexión específica de la nube que usa. Para encontrar los puntos de conexión de Microsoft Graph para todas las nubes nacionales, consulte los puntos de conexión raíz del servicio de Microsoft Graph y de la Graph Explorer.

Este es un ejemplo de un endpoint de Microsoft Graph, con alcance:
```
"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"
```

Para habilitar la aplicación MSAL para Java para nubes soberanas:

Registre la aplicación en un portal específico, en función de la nube. Para más información sobre cómo elegir el portal, consulte los puntos finales de registro de aplicaciones.
Use cualquiera de los ejemplos del repositorio con algunos cambios en la configuración, en función de la nube, que se mencionan a continuación.
Use una autoridad específica, en función de la nube en la que registró la aplicación. Para obtener más información sobre las autoridades de distintas nubes, consulte Puntos de conexión de Autenticación de Microsoft Entra.

Esta es una autoridad de ejemplo:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Llamar a Microsoft Graph API requiere una dirección URL de punto de conexión específica de la nube que usa. Para obtener puntos de conexión de Microsoft Graph para todas las nubes nacionales, consulte los puntos de conexión raíz del servicio Microsoft Graph y Graph Explorer.

A continuación se muestra un ejemplo de un punto de conexión de Graph con el ámbito:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

MSAL para iOS y macOS se puede usar para adquirir tokens en nubes nacionales, pero requiere una configuración adicional al crear MSALPublicClientApplication.

Por ejemplo, si quiere que la aplicación sea una aplicación multiinquilino en una nube nacional (aquí gobierno de EE. UU.), puede escribir:

MSALAADAuthority *aadAuthority =
                [[MSALAADAuthority alloc] initWithCloudInstance:MSALAzureUsGovernmentCloudInstance
                                                   audienceType:MSALAzureADMultipleOrgsAudience
                                                      rawTenant:nil
                                                          error:nil];

MSALPublicClientApplicationConfig *config =
                [[MSALPublicClientApplicationConfig alloc] initWithClientId:@"<your-client-id-here>"
                                                                redirectUri:@"<your-redirect-uri-here>"
                                                                  authority:aadAuthority];

NSError *applicationError = nil;
MSALPublicClientApplication *application =
                [[MSALPublicClientApplication alloc] initWithConfiguration:config error:&applicationError];

MSAL para iOS y macOS se puede usar para adquirir tokens en nubes nacionales, pero requiere una configuración adicional al crear MSALPublicClientApplication.

Por ejemplo, si quiere que la aplicación sea una aplicación multiinquilino en una nube nacional (aquí gobierno de EE. UU.), puede escribir:

let authority = try? MSALAADAuthority(cloudInstance: .usGovernmentCloudInstance, audienceType: .azureADMultipleOrgsAudience, rawTenant: nil)

let config = MSALPublicClientApplicationConfig(clientId: "<your-client-id-here>", redirectUri: "<your-redirect-uri-here>", authority: authority)
if let application = try? MSALPublicClientApplication(configuration: config) { /* Use application */}

Pasos siguientes

Consulte Puntos de conexión de autenticación en la nube nacional para obtener una lista de las direcciones URL y los puntos de conexión de token de Azure Portal para cada nube.

Documentación de la nube nacional:

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-06-30