Tutorial: Iniciar sessão de utilizadores numa aplicação Web Python Flask utilizando a plataforma de identidade da Microsoft

Aplica-se a: círculo verde com um símbolo de marca de seleção branco que indica que o conteúdo a seguir se aplica aos locatários da força de trabalho. Locatários da força de trabalho Inquilinos externos (saiba mais)

Este tutorial orienta você sobre como proteger um aplicativo Web Python Flask.

Neste tutorial, você:

Criar um projeto Python Flask
Instalar as dependências necessárias
Configure seu aplicativo Web Flask para usar a plataforma de identidade da Microsoft para autenticação
Teste a experiência de entrada e saída em seu aplicativo Web Flask

Um membro da força de trabalho. Você pode usar o seu diretório padrão ou configurar um novo inquilino.
Registre um novo aplicativo no centro de administração do Microsoft Entra, configurado para Contas somente neste diretório organizacional. Consulte Registar uma candidatura para obter mais detalhes. Registre os seguintes valores na página Visão geral do aplicativo para uso posterior:
- ID da aplicação (cliente)
- ID do diretório (inquilino)
Adicione um segredo de cliente ao registro do seu aplicativo. Não use segredos de cliente em aplicativos de produção. Em vez disso, use certificados ou credenciais federadas. Para obter mais informações, consulte Adicionar credenciais ao seu aplicativo.

Python 3+.
Visual Studio Code ou outro editor de código.

Criar um projeto Flask

Crie uma pasta para hospedar seu aplicativo Flask, como flask-web-app.
Abra uma janela da linha de comandos e navegue até ao diretório da pasta da sua aplicação Flask usando o comando
```
cd flask-web-app
```
Configurar ambiente virtual

Dependendo do seu sistema operacional, execute os seguintes comandos para configurar seu ambiente virtual e ativá-lo:

Para o sistema operacional Windows:
```
py -m venv .venv
.venv\scripts\activate
```
Para o sistema operacional macOS ou Linux:
```
python3 -m venv .venv
source .venv/bin/activate
```

Instalar dependências de aplicativos

Para instalar dependências de aplicativos, execute os seguintes comandos:

pip install flask
pip install python-dotenv
pip install requests
pip install "ms_identity_python[flask] @ git+https://github.com/azure-samples/ms-identity-python@0.9"

A biblioteca ms_identity_python que você instala instala automaticamente a Microsoft Authentication Library (MSAL) para Python como sua dependência. MSAL Python é a biblioteca que permite autenticar usuários e gerenciar seus tokens de acesso.

Depois de instalar as bibliotecas necessárias, atualize o arquivo de requisitos executando o seguinte comando:

pip freeze > requirements.txt

Configurar o aplicativo para autenticação

As aplicações web que iniciam sessão de utilizadores através da Microsoft identity platform são configuradas através de um ficheiro de configuração, .env. No Python Flask, deve especificar os seguintes valores:

inquilino do Workforce
Inquilino externo

Variável de ambiente	Description
`AUTHORITY`	O URL da instância na cloud onde a aplicação está registada. Formato: `https://{Instance}/{TenantId}`. Use um dos seguintes valores de Instância: - `https://login.microsoftonline.com/` (nuvem pública do Azure) - `https://login.microsoftonline.us/` (Azure governo dos EUA) - `https://login.microsoftonline.de/` (Microsoft Entra Alemanha) - `https://login.partner.microsoftonline.cn/` (Microsoft Entra China, operada pela 21Vianet)
`TENANT_ID`	O identificador do inquilino onde a aplicação está registada. Prefira o ID do inquilino do registo da aplicação, ou use um dos: - `organizations`: autenticar utilizadores em qualquer conta de trabalho ou escolar - `common`: iniciar sessão de utilizadores com qualquer conta profissional, de escola ou conta pessoal Microsoft - `consumers`: iniciar sessão apenas com uma conta pessoal Microsoft
`CLIENT_ID`	Identificador da aplicação (cliente) conforme obtido no registo da aplicação.
`CLIENT_SECRET`	O valor secreto obtido ao adicionar credenciais no centro de administração do Microsoft Entra.
`REDIRECT_URI`	O URI onde a plataforma de identidade Microsoft envia tokens de segurança após a autenticação.

Variável de ambiente	Description
`AUTHORITY`	A URL do tenant externo onde a aplicação está registada. Formato: `https://<tenant_subdomain>.ciamlogin.com/` (ou `https://<tenant_subdomain>.onmicrosoft.com/`). Veja Criar um inquilino externo para obter o seu subdomínio de inquilino.
`CLIENT_ID`	Identificador de aplicação (cliente) do registo da aplicação.
`CLIENT_SECRET`	O valor secreto do cliente obtido ao adicionar credenciais no Centro de Administração do Microsoft Entra.
`REDIRECT_URI`	O URI onde a plataforma de identidade Microsoft envia tokens de segurança após a autenticação.

Atualizar o arquivo de configuração

Cria um ficheiro .env na tua pasta raiz para guardar em segurança a configuração da tua app. Seu arquivo de .env do deve conter as seguintes variáveis de ambiente:
- inquilino do Workforce
- Inquilino externo
```
CLIENT_ID="<Enter_your_client_id>"
CLIENT_SECRET="<Enter_your_client_secret>"
AUTHORITY="https://login.microsoftonline.com/<Enter_tenant_id>"
REDIRECT_URI="<Enter_redirect_uri>"
```
Substitua os marcadores de posição pelos seguintes valores:
- Substitua <Enter_your_client_id> pelo ID de Aplicação (cliente) do aplicativo Web cliente que registou.
- Substitua <Enter_tenant_id> pelo ID do Diretório (Locatário) onde registou a sua aplicação Web.
- Substitua <Enter_your_client_secret> pelo valor segredo do cliente para o aplicativo Web que você criou. Neste tutorial, usamos segredos para fins de demonstração. Na produção, use abordagens mais seguras, como certificados ou credenciais de identidade federada.
- Substitua <Enter_redirect_uri> pelo URI de redirecionamento registrado anteriormente. Este tutorial define o caminho de URI de redirecionamento como http://localhost:3000/getAToken.
```
CLIENT_ID="<Enter_your_client_id>"
CLIENT_SECRET="<Enter_your_client_secret>"
AUTHORITY=https://<Enter_your_subdomain>.ciamlogin.com/<Enter_your_subdomain>.onmicrosoft.com
REDIRECT_URI="<Enter_redirect_uri>"
```
Substitua os marcadores de posição pelos seguintes valores:
- Substitua <Enter_your_client_id> pelo ID de Aplicação (cliente) do aplicativo Web cliente que registou.
- Substitua <Enter_your_subdomain> pelo subdomínio Directory (inquilino) onde registou a sua aplicação web.
- Substitua <Enter_your_client_secret> pelo valor segredo do cliente para o aplicativo Web que você criou. Neste tutorial, usamos segredos para fins de demonstração. Na produção, use abordagens mais seguras, como certificados ou credenciais de identidade federada.
- Substitua <Enter_redirect_uri> pelo URI de redirecionamento registrado anteriormente. Este tutorial define o caminho de URI de redirecionamento como http://localhost:3000/getAToken.

Crie um arquivo app_config.py para ler as variáveis de ambiente e adicionar outras configurações necessárias.

import os

AUTHORITY = os.getenv("AUTHORITY")
CLIENT_ID = os.getenv("CLIENT_ID")
CLIENT_SECRET = os.getenv("CLIENT_SECRET")
REDIRECT_URI = os.getenv("REDIRECT_URI")
SESSION_TYPE = "filesystem" # Tells the Flask-session extension to store sessions in the filesystem. Don't use in production apps.

Configurar pontos de extremidade do aplicativo

Nesta etapa, criam-se os endpoints da aplicação web e adiciona-se a lógica de negócios à aplicação.

Crie um arquivo chamado app.py em sua pasta raiz.

Importe as dependências necessárias na parte superior do arquivo app.py.

import os
import requests
from flask import Flask, render_template
from identity.flask import Auth
import app_config

Inicialize seu aplicativo Flask e configure-o para usar o tipo de armazenamento de sessão especificado no arquivo app_config.py.
```
app = Flask(__name__)
app.config.from_object(app_config)
```
Inicialize o cliente do aplicativo. Um aplicativo web Flask é um cliente confidencial. Passamos o segredo do cliente porque os clientes confidenciais podem armazená-lo com segurança. Internamente, a biblioteca de identidade chama a classe ConfidentialClientApplication da biblioteca MSAL.
```
auth = Auth(
    app,
    authority=app.config["AUTHORITY"],
    client_id=app.config["CLIENT_ID"],
    client_credential=app.config["CLIENT_SECRET"],
    redirect_uri=app.config["REDIRECT_URI"]
)
```
Adicione os endpoints necessários ao seu aplicativo Flask. A aplicação web usa o fluxo de código de autorização para autenticar o utilizador. A biblioteca de wrapper MSAL ms_identity_python ajuda a interagir com a biblioteca MSAL, facilitando assim a adição de login e logout ao seu aplicativo. Adicionamos uma página de índice e protegemo-la usando o decorador de login_required fornecido pela biblioteca ms_identity_python. O decorador de login_required garante que apenas usuários autenticados possam acessar a página de índice.
```
@app.route("/")
@auth.login_required
def index(*, context):
    return render_template(
        'index.html',
        user=context['user'],
        title="Flask Web App Sample",
    )
```
É garantido que o utilizador estará presente porque decorámos esta visualização com @login_required.

Criar os modelos de aplicativo

Crie uma pasta chamada modelos na sua pasta raiz. Na pasta templates, crie um arquivo chamado index.html. Esta é a página inicial do aplicativo. Adicione o seguinte código ao arquivo index.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>{{ title }}</title>
</head>
<body>
    <h1>{{ title }}</h1>
    <h2>Welcome {{ user.get("name") }}!</h2>

    <img src="https://github.com/Azure-Samples/ms-identity-python-webapp-django/raw/main/static/topology.png" alt="Topology">

    <ul>
    {% if api_endpoint %}
        <!-- If an API endpoint is declared and scopes defined, this link will show. We set this in the call an API tutorial. For this tutorial, we do not define this endpoint. -->
        <li><a href='/call_api'>Call an API</a></li>
    {% endif %}

    <li><a href="{{ url_for('identity.logout') }}">Logout</a></li>
    </ul>

    <hr>
    <footer style="text-align: right">{{ title }}</footer>
</body>
</html>

Executar e testar o aplicativo Web de exemplo

inquilino do Workforce
Inquilino externo

No seu terminal, execute o seguinte comando:
```
python3 -m flask run --debug --host=localhost --port=3000
```
Você pode usar a porta de sua escolha. Essa porta deve ser semelhante à porta do URI de redirecionamento que você registrou anteriormente.
Abra o navegador e vá para http://localhost:3000. Vê uma página de início de sessão.
Inicie sessão com a sua conta Microsoft seguindo os passos. É-lhe pedido que forneça um endereço de e-mail e uma palavra-passe para iniciar sessão.
Se houver algum escopo necessário para o aplicativo, uma tela de consentimento é apresentada. O aplicativo solicita permissão para manter o acesso aos dados aos quais você permite acessar e para fazer login. Selecione Aceitar. Esta tela não aparecerá se nenhum escopo estiver definido.

No seu terminal, execute o seguinte comando:
```
python3 -m flask run --debug --host=localhost --port=3000
```
Você pode usar a porta de sua escolha. Essa porta deve ser semelhante à porta do URI de redirecionamento que você registrou anteriormente.
Abra o navegador e vá para http://localhost:3000. Vê uma página de início de sessão.
Na página de início de sessão, escreva o seu endereço de e-mail , selecione Seguinte, escreva a sua palavra-passe e, em seguida, selecione Iniciar sessão. Se você não tiver uma conta, selecione Sem conta? Crie um link, que inicia o fluxo de inscrição.
Se você escolher a opção de inscrição, passará pelo fluxo de inscrição. Para completar todo o fluxo de inscrição, preencha seu e-mail, senha única, nova senha e mais detalhes da conta.
Se houver algum escopo necessário para o aplicativo, uma tela de consentimento é apresentada. O aplicativo solicita permissão para manter o acesso aos dados aos quais você permite acessar, fazer login e ler seu perfil, conforme mostrado na captura de tela. Selecione Aceitar.

Depois de iniciar sessão ou inscrever-se, é redirecionado de volta para a aplicação Web. Você verá uma página semelhante à seguinte captura de tela:

Screenshot do exemplo de aplicação web do Flask após a autenticação bem-sucedida.

Selecione Sair para sair da aplicação. Você será solicitado a escolher uma conta da qual sair. Selecione a conta que utilizou para iniciar sessão.

Usar domínio de URL personalizado (opcional)

inquilino do Workforce
Inquilino externo

Os inquilinos do Workforce não suportam domínios de URL personalizados.

Use um domínio de URL personalizado para marcar totalmente a URL de autenticação. Do ponto de vista do usuário, os usuários permanecem no seu domínio durante o processo de autenticação, em vez de serem redirecionados para ciamlogin.com nome de domínio.

Use as seguintes etapas para usar um domínio de URL personalizado:

Use as etapas em para habilitar domínios de URL personalizados para aplicativos em locatários externos e ative um domínio de URL personalizado para o seu locatário externo.
No arquivo .env do , adicione a variável OIDC_AUTHORITY e elimine a variável AUTHORITY. Defina seu valor como https://Enter_the_Custom_Domain_Here/Enter_the_Tenant_ID_Here/v2.0. Substitua Enter_the_Custom_Domain_Here pelo seu domínio de URL personalizado e Enter_the_Tenant_ID_Here pelo seu ID de inquilino. Se não tiver o seu ID de inquilino, saiba como ler os detalhes do seu inquilino.
No arquivo app_config.py, adicione o código a seguir para ler a variável de ambiente OIDC_AUTHORITY. Você pode excluir a variável AUTHORITY.
```
# other configs go here
OIDC_AUTHORITY = os.getenv("OIDC_AUTHORITY")
```

No arquivo app.py, atualize o objeto auth para usar o argumento oidc_authority em vez da autoridade.

auth = Auth(
    app,
    oidc_authority=app.config["OIDC_AUTHORITY"],
    client_id=app.config["CLIENT_ID"],
    client_credential=app.config["CLIENT_SECRET"],
    redirect_uri=app.config["REDIRECT_URI"]
)

Material de referência

O ms_identity_python abstrai os detalhes da biblioteca MSAL. Para obter mais informações, consulte documentação do MSAL Python. Este material de referência ajuda você a entender como inicializar um aplicativo e adquirir tokens usando o MSAL Python.

Próximo passo

Tutorial: Chame a API do Microsoft Graph a partir do seu aplicativo Web Python Flask.

Feedback

Esta página foi útil?

Last updated on 2025-12-01