Usar a MSAL em um ambiente de nuvem nacional

Nuvens nacionais, também conhecidas como nuvens soberanas, são instâncias fisicamente isoladas do Azure. Essas regiões do Azure ajudam a garantir que os requisitos de residência, soberania e conformidade de dados sejam respeitados dentro dos limites geográficos.

Além da nuvem mundial da Microsoft, a MSAL (Biblioteca de Autenticação da Microsoft) permite que os desenvolvedores de aplicativos em nuvens nacionais adquiram tokens para autenticar e chamar APIs Web protegidas. Essas APIs Web podem ser o Microsoft Graph ou outras APIs da Microsoft.

Incluindo a nuvem global do Azure, a ID do Microsoft Entra é implantada nas seguintes nuvens nacionais:

Azure Governamental
Microsoft Azure operado pela 21Vianet
Azure Alemanha (encerramento em 29 de outubro de 2021)

Este guia demonstra como entrar em contas corporativas e de estudante, obter um token de acesso e chamar a API do Microsoft Graph no ambiente de nuvem do Azure Governamental .

Azure Alemanha (Microsoft Cloud Deutschland)

Aviso

O Azure Alemanha (Microsoft Cloud Deutschland) será fechado em 29 de outubro de 2021. Serviços e aplicativos que você optar por não migrar para uma região no Azure global antes dessa data se tornarão inacessíveis.

Se você não migrou seu aplicativo do Azure Alemanha, siga as informações do Microsoft Entra para a migração do Azure Alemanha para começar.

Pré-requisitos

Antes de começar, certifique-se de atender a esses pré-requisitos.

Escolha as identidades apropriadas

Os aplicativos do Azure Governamental podem usar identidades do Microsoft Entra Government e identidades do Microsoft Entra Public para autenticar usuários. Como você pode usar qualquer uma dessas identidades, decida qual ponto de extremidade de autoridade você deve escolher para seu cenário:

Microsoft Entra Public: normalmente usado se sua organização já tiver um locatário do Microsoft Entra Public para dar suporte ao Microsoft 365 (Público ou GCC) ou a outro aplicativo.
Microsoft Entra Government: normalmente usado se sua organização já tiver um locatário do Microsoft Entra Government para dar suporte ao Office 365 (GCC High ou DoD) ou estiver criando um novo locatário no Microsoft Entra Government.

Depois de decidir, uma consideração especial é onde você realiza o registro de aplicativo. Se você escolher Microsoft Entra Public identities para seu aplicativo Azure Government, deverá registrar o aplicativo em seu locatário Microsoft Entra Public.

Obter uma assinatura do Azure Government

Para se inscrever no Azure Government, consulte Gerenciando e conectando-se à sua assinatura no Azure Government.

Se você não tiver uma assinatura do Azure Governamental, crie uma conta gratuita antes de começar.

Para obter detalhes sobre como usar uma nuvem nacional com uma linguagem de programação específica, escolha a guia correspondente ao seu idioma:

Você pode usar MSAL.NET para conectar usuários, adquirir tokens e chamar a API do Microsoft Graph em nuvens nacionais.

Os tutoriais a seguir demonstram como criar um aplicativo Web ASP.NET Core. O aplicativo usa o OpenID Connect para conectar usuários com uma conta corporativa e de estudante em uma organização que pertence a uma nuvem nacional.

Para autenticar usuários e adquirir tokens, siga este tutorial: Desenvolva um aplicativo Web ASP.NET Core para autenticação de usuários em nuvens soberanas com a plataforma de identidade da Microsoft.
Para chamar a API do Microsoft Graph, siga este tutorial: Usando a plataforma de identidade da Microsoft para chamar a API do Microsoft Graph de um aplicativo Web ASP.NET Core, em nome de um usuário que está entrando usando sua conta corporativa e de estudante no Microsoft National Cloud.

Para habilitar seu aplicativo MSAL.js para nuvens soberanas:

Registre seu aplicativo em um portal específico, dependendo da nuvem. Para obter mais informações sobre como escolher o portal, veja Pontos de extremidade de registro do aplicativo
Use qualquer um dos exemplos do repositório com algumas alterações na configuração, dependendo da nuvem, que é mencionada a seguir.
Use uma autoridade específica, dependendo da nuvem na qual você registrou o aplicativo. Para saber mais sobre autoridades para nuvens diferentes, confira Pontos de extremidade da Autenticação do Microsoft Entra.
Chamar a API do Microsoft Graph requer uma URL de ponto de extremidade específica para a nuvem que você está usando. Para encontrar endpoints do Microsoft Graph para todas as nuvens nacionais, consulte os endpoints de serviços raiz do Microsoft Graph e do Graph Explorer.

Aqui está uma autoridade de exemplo:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Veja aqui um exemplo de um ponto de extremidade do Microsoft Graph, com escopo:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

Aqui está o código mínimo para autenticar um usuário com uma nuvem soberana e chamar o Microsoft Graph:

const msalConfig = {
    auth: {
        clientId: "Enter_the_Application_Id_Here",
        authority: "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here",
        redirectUri: "/",
    }
};

// Initialize MSAL
const msalObj = new PublicClientApplication(msalConfig);

// Get token using popup experience
try {
    const graphToken = await msalObj.acquireTokenPopup({
        scopes: ["User.Read"]
    });
} catch(error) {
    console.log(error)
}

// Call the Graph API
const headers = new Headers();
const bearer = `Bearer ${graphToken}`;

headers.append("Authorization", bearer);

fetch("https://graph.microsoft.us/v1.0/me", {
    method: "GET",
    headers: headers
})

Para habilitar seu aplicativo PYTHON MSAL para nuvens soberanas:

Registre seu aplicativo em um portal específico, dependendo da nuvem. Para obter mais informações sobre como escolher o portal, veja Pontos de extremidade de registro do aplicativo
Use qualquer um dos exemplos do repositório com algumas alterações na configuração, dependendo da nuvem, que é mencionada a seguir.
Use uma autoridade específica, dependendo da nuvem na qual você registrou o aplicativo. Para saber mais sobre autoridades para nuvens diferentes, confira Pontos de extremidade da Autenticação do Microsoft Entra.

Aqui está uma autoridade de exemplo:
```
"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"
```
Chamar a API do Microsoft Graph requer uma URL de ponto de extremidade específica para a nuvem que você está usando. Para localizar os pontos de extremidade do Microsoft Graph para todas as nuvens nacionais, consulte os pontos de extremidade de serviço raiz do Microsoft Graph e do Graph Explorer.

Veja aqui um exemplo de um ponto de extremidade do Microsoft Graph, com escopo:
```
"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"
```

Para habilitar seu aplicativo MSAL para Java para nuvens soberanas:

Registre seu aplicativo em um portal específico, dependendo da nuvem. Para obter mais informações sobre como escolher o portal, veja Pontos de extremidade de registro do aplicativo
Use qualquer um dos exemplos do repositório com algumas alterações na configuração, dependendo da nuvem, que são mencionadas a seguir.
Use uma autoridade específica, dependendo da nuvem na qual você registrou o aplicativo. Para saber mais sobre autoridades para nuvens diferentes, confira Pontos de extremidade da Autenticação do Microsoft Entra.

Aqui está uma autoridade de exemplo:

"authority": "https://login.microsoftonline.us/Enter_the_Tenant_Info_Here"

Chamar a API do Microsoft Graph requer uma URL de ponto de extremidade específica para a nuvem que você está usando. Para localizar pontos de extremidade do Microsoft Graph para todas as nuvens nacionais, veja Pontos de extremidade raiz do serviço do Explorador do Graph e do Microsoft Graph.

Veja aqui um exemplo de um ponto de extremidade do Graph, com escopo:

"endpoint" : "https://graph.microsoft.us/v1.0/me"
"scope": "User.Read"

A MSAL para iOS e macOS pode ser usada para adquirir tokens em nuvens nacionais, mas requer configuração adicional ao criar MSALPublicClientApplication.

Por exemplo, se você quiser que seu aplicativo seja um aplicativo multilocatário em uma nuvem nacional (aqui governo dos EUA), você poderá escrever:

MSALAADAuthority *aadAuthority =
                [[MSALAADAuthority alloc] initWithCloudInstance:MSALAzureUsGovernmentCloudInstance
                                                   audienceType:MSALAzureADMultipleOrgsAudience
                                                      rawTenant:nil
                                                          error:nil];

MSALPublicClientApplicationConfig *config =
                [[MSALPublicClientApplicationConfig alloc] initWithClientId:@"<your-client-id-here>"
                                                                redirectUri:@"<your-redirect-uri-here>"
                                                                  authority:aadAuthority];

NSError *applicationError = nil;
MSALPublicClientApplication *application =
                [[MSALPublicClientApplication alloc] initWithConfiguration:config error:&applicationError];

A MSAL para iOS e macOS pode ser usada para adquirir tokens em nuvens nacionais, mas requer configuração adicional ao criar MSALPublicClientApplication.

Por exemplo, se você quiser que seu aplicativo seja um aplicativo multilocatário em uma nuvem nacional (aqui governo dos EUA), você poderá escrever:

let authority = try? MSALAADAuthority(cloudInstance: .usGovernmentCloudInstance, audienceType: .azureADMultipleOrgsAudience, rawTenant: nil)

let config = MSALPublicClientApplicationConfig(clientId: "<your-client-id-here>", redirectUri: "<your-redirect-uri-here>", authority: authority)
if let application = try? MSALPublicClientApplication(configuration: config) { /* Use application */}

Próximas etapas

Veja Pontos de extremidade de autenticação de nuvem nacional para obter uma lista de URLs do portal do Azure e de pontos de extremidade de token para cada nuvem.

Documentação da nuvem nacional:

Comentários

Esta página foi útil?

Last updated on 2025-07-01