Mit Microsoft unter Android authentifizieren

Sie können Ihre Nutzer über OAuth-Anbieter wie Microsoft Azure Active Directory mit Firebase authentifizieren. Dazu müssen Sie die webbasierte generische OAuth-Anmeldung mit dem Firebase SDK in Ihre App einbinden, um den End-to-End-Anmeldevorgang durchzuführen.

Hinweis

Wenn Sie Nutzer mit Microsoft-Konten (Azure Active Directory- und private Microsoft-Konten) anmelden möchten, müssen Sie Microsoft zuerst als Anmeldeanbieter für Ihr Firebase-Projekt aktivieren:

  1. Fügen Sie Ihrem Android-Projekt Firebase hinzu.

  2. Öffnen Sie in der Firebase Console den Bereich Auth.
  3. Aktivieren Sie auf dem Tab Anmeldemethode den Anbieter Microsoft.
  4. Fügen Sie die Client-ID und das Client-Secret aus der Entwicklerkonsole des Anbieters zur Anbieterkonfiguration hinzu:
    1. Folgen Sie der Anleitung unter Kurzanleitung: Anwendung mit dem Azure Active Directory v2.0-Endpunkt registrieren, um einen Microsoft OAuth-Client zu registrieren. Dieser Endpunkt unterstützt die Anmeldung mit privaten Microsoft-Konten sowie Azure Active Directory-Konten. Weitere Informationen zu Azure Active Directory v2.0
    2. Wenn Sie Apps bei diesen Anbietern registrieren, müssen Sie die *.firebaseapp.com-Domain für Ihr Projekt als Weiterleitungsdomain für Ihre App registrieren.
  5. Klicken Sie auf Speichern.

  6. Wenn Sie den SHA-1-Fingerabdruck Ihrer App noch nicht angegeben haben, tun Sie dies auf der Seite „Einstellungen“ der Firebase-Konsole. Weitere Informationen zum Abrufen des SHA-1-Fingerabdrucks Ihrer App finden Sie unter Client authentifizieren.

Anmeldevorgang mit dem Firebase SDK abwickeln

Wenn Sie eine Android-App entwickeln, ist die einfachste Möglichkeit, Ihre Nutzer mit Firebase über ihre Microsoft-Konten zu authentifizieren, die gesamte Anmeldeabfolge mit dem Firebase Android SDK zu verarbeiten.

So verwalten Sie den Anmeldevorgang mit dem Firebase Android SDK:

  1. Erstellen Sie eine Instanz eines OAuthProvider mit dem Builder und der Anbieter-ID microsoft.com.

    Kotlin 

    val provider = OAuthProvider.newBuilder("microsoft.com")
    GenericIdpActivity.kt

    Java 

    OAuthProvider.Builder provider = OAuthProvider.newBuilder("microsoft.com");
    GenericIdpActivity.java

  2. Optional: Geben Sie zusätzliche benutzerdefinierte OAuth-Parameter an, die mit der OAuth-Anfrage gesendet werden sollen.

    Kotlin 

    // Target specific email with login hint.
// Force re-consent.
provider.addCustomParameter("prompt", "consent")

// Target specific email with login hint.
provider.addCustomParameter("login_hint", "user@firstadd.onmicrosoft.com")
    GenericIdpActivity.kt

    Java 

    // Target specific email with login hint.
// Force re-consent.
provider.addCustomParameter("prompt", "consent");

// Target specific email with login hint.
provider.addCustomParameter("login_hint", "user@firstadd.onmicrosoft.com");
    GenericIdpActivity.java

    Eine Liste der von Microsoft unterstützten Parameter finden Sie in der Microsoft-OAuth-Dokumentation. Hinweis: Sie können keine für Firebase erforderlichen Parameter mit setCustomParameters() übergeben. Diese Parameter sind client_id, response_type, redirect_uri, state, scope und response_mode.

    Wenn sich nur Nutzer aus einem bestimmten Azure AD-Mandanten in der Anwendung anmelden dürfen, kann entweder der Anzeigename des Azure AD-Mandanten oder seine GUID-Kennung verwendet werden. Geben Sie dazu das Feld „tenant“ im Objekt „custom_parameters“ an.

    Kotlin 

    // Optional "tenant" parameter in case you are using an Azure AD tenant.
// eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
// or "common" for tenant-independent tokens.
// The default value is "common".
provider.addCustomParameter("tenant", "TENANT_ID")
    GenericIdpActivity.kt

    Java 

    // Optional "tenant" parameter in case you are using an Azure AD tenant.
// eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
// or "common" for tenant-independent tokens.
// The default value is "common".
provider.addCustomParameter("tenant", "TENANT_ID");
    GenericIdpActivity.java

  3. Optional: Geben Sie zusätzliche OAuth 2.0-Bereiche an, die über das Basisprofil hinausgehen und die Sie vom Authentifizierungsanbieter anfordern möchten.

    Kotlin 

    // Request read access to a user's email addresses.
// This must be preconfigured in the app's API permissions.
provider.scopes = listOf("mail.read", "calendars.read")
    GenericIdpActivity.kt

    Java 

    // Request read access to a user's email addresses.
// This must be preconfigured in the app's API permissions.
List<String> scopes =
        new ArrayList<String>() {
            {
                add("mail.read");
                add("calendars.read");
            }
        };
provider.setScopes(scopes);
    GenericIdpActivity.java

    Weitere Informationen finden Sie in der Dokumentation zu Berechtigungen und Einwilligungen von Microsoft.

  4. Authentifizierung mit Firebase über das OAuth-Anbieterobjekt Im Gegensatz zu anderen FirebaseAuth-Vorgängen wird hier die Kontrolle über Ihre Benutzeroberfläche übernommen, indem ein benutzerdefinierter Chrome-Tab eingeblendet wird. Daher sollten Sie in den angehängten OnSuccessListener und OnFailureListener nicht auf Ihre Aktivität verweisen. Sie werden sofort getrennt, wenn der Vorgang die Benutzeroberfläche startet.

    Prüfen Sie zuerst, ob Sie bereits eine Antwort erhalten haben. Bei der Anmeldung über diese Methode wird Ihre Aktivität im Hintergrund ausgeführt, was bedeutet, dass sie während des Anmeldevorgangs vom System zurückgerufen werden kann. Damit der Nutzer nicht noch einmal versuchen muss, sollten Sie prüfen, ob ein Ergebnis bereits vorhanden ist.

    Wenn Sie prüfen möchten, ob ein ausstehendes Ergebnis vorliegt, rufen Sie getPendingAuthResult auf:

    Kotlin 

    val pendingResultTask = firebaseAuth.pendingAuthResult
if (pendingResultTask != null) {
    // There's something already here! Finish the sign-in for your user.
    pendingResultTask
        .addOnSuccessListener {
            // User is signed in.
            // IdP data available in
            // authResult.getAdditionalUserInfo().getProfile().
            // The OAuth access token can also be retrieved:
            // ((OAuthCredential)authResult.getCredential()).getAccessToken().
            // The OAuth secret can be retrieved by calling:
            // ((OAuthCredential)authResult.getCredential()).getSecret().
        }
        .addOnFailureListener {
            // Handle failure.
        }
} else {
    // There's no pending result so you need to start the sign-in flow.
    // See below.
}
    GenericIdpActivity.kt

    Java 

    Task<AuthResult> pendingResultTask = firebaseAuth.getPendingAuthResult();
if (pendingResultTask != null) {
    // There's something already here! Finish the sign-in for your user.
    pendingResultTask
            .addOnSuccessListener(
                    new OnSuccessListener<AuthResult>() {
                        @Override
                        public void onSuccess(AuthResult authResult) {
                            // User is signed in.
                            // IdP data available in
                            // authResult.getAdditionalUserInfo().getProfile().
                            // The OAuth access token can also be retrieved:
                            // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                            // The OAuth secret can be retrieved by calling:
                            // ((OAuthCredential)authResult.getCredential()).getSecret().
                        }
                    })
            .addOnFailureListener(
                    new OnFailureListener() {
                        @Override
                        public void onFailure(@NonNull Exception e) {
                            // Handle failure.
                        }
                    });
} else {
    // There's no pending result so you need to start the sign-in flow.
    // See below.
}
    GenericIdpActivity.java

    Rufe startActivityForSignInWithProvider auf, um den Anmeldevorgang zu starten:

    Kotlin 

    firebaseAuth
    .startActivityForSignInWithProvider(activity, provider.build())
    .addOnSuccessListener {
        // User is signed in.
        // IdP data available in
        // authResult.getAdditionalUserInfo().getProfile().
        // The OAuth access token can also be retrieved:
        // ((OAuthCredential)authResult.getCredential()).getAccessToken().
        // The OAuth secret can be retrieved by calling:
        // ((OAuthCredential)authResult.getCredential()).getSecret().
    }
    .addOnFailureListener {
        // Handle failure.
    }
    GenericIdpActivity.kt

    Java 

    firebaseAuth
        .startActivityForSignInWithProvider(/* activity= */ this, provider.build())
        .addOnSuccessListener(
                new OnSuccessListener<AuthResult>() {
                    @Override
                    public void onSuccess(AuthResult authResult) {
                        // User is signed in.
                        // IdP data available in
                        // authResult.getAdditionalUserInfo().getProfile().
                        // The OAuth access token can also be retrieved:
                        // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                        // The OAuth secret can be retrieved by calling:
                        // ((OAuthCredential)authResult.getCredential()).getSecret().
                    }
                })
        .addOnFailureListener(
                new OnFailureListener() {
                    @Override
                    public void onFailure(@NonNull Exception e) {
                        // Handle failure.
                    }
                });
    GenericIdpActivity.java

    Nach erfolgreichem Abschluss kann das mit dem Anbieter verknüpfte OAuth-Zugriffstoken aus dem zurückgegebenen OAuthCredential-Objekt abgerufen werden.

    Mit dem OAuth-Zugriffstoken können Sie die Microsoft Graph API aufrufen.

    Anders als andere von Firebase Auth unterstützte Anbieter stellt Microsoft keine Foto-URL bereit. Stattdessen müssen die Binärdaten für ein Profilbild über die Microsoft Graph API angefordert werden.

    Neben dem OAuth-Zugriffstoken kann auch das OAuth-ID-Token des Nutzers aus dem OAuthCredential-Objekt abgerufen werden. Der Anspruch sub im ID-Token ist anwendungsspezifisch und stimmt nicht mit der föderierten Nutzer-ID überein, die von Firebase Auth verwendet und über user.getProviderData().get(0).getUid() zugänglich ist. Verwenden Sie stattdessen das Feld oid. Wenn Sie sich mit einem Azure AD-Mandanten anmelden, stimmt der oid-Anspruch genau überein. Bei nicht mietenden Kunden wird das Feld oid jedoch aufgefüllt. Bei einer föderierten ID 4b2eabcdefghijkl hat die oid das Format 00000000-0000-0000-4b2e-abcdefghijkl.

  5. In den obigen Beispielen liegt der Schwerpunkt auf den Anmeldeabläufen. Sie können mit startActivityForLinkWithProvider aber auch einen Microsoft-Anbieter mit einem vorhandenen Nutzer verknüpfen. Sie können beispielsweise mehrere Anbieter mit demselben Nutzer verknüpfen, damit er sich mit einem beliebigen davon anmelden kann.

    Kotlin 

    // The user is already signed-in.
val firebaseUser = firebaseAuth.currentUser!!
firebaseUser
    .startActivityForLinkWithProvider(activity, provider.build())
    .addOnSuccessListener {
        // Provider credential is linked to the current user.
        // IdP data available in
        // authResult.getAdditionalUserInfo().getProfile().
        // The OAuth access token can also be retrieved:
        // authResult.getCredential().getAccessToken().
        // The OAuth secret can be retrieved by calling:
        // authResult.getCredential().getSecret().
    }
    .addOnFailureListener {
        // Handle failure.
    }
    GenericIdpActivity.kt

    Java 

    // The user is already signed-in.
FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();

firebaseUser
        .startActivityForLinkWithProvider(/* activity= */ this, provider.build())
        .addOnSuccessListener(
                new OnSuccessListener<AuthResult>() {
                    @Override
                    public void onSuccess(AuthResult authResult) {
                        // Provider credential is linked to the current user.
                        // IdP data available in
                        // authResult.getAdditionalUserInfo().getProfile().
                        // The OAuth access token can also be retrieved:
                        // authResult.getCredential().getAccessToken().
                        // The OAuth secret can be retrieved by calling:
                        // authResult.getCredential().getSecret().
                    }
                })
        .addOnFailureListener(
                new OnFailureListener() {
                    @Override
                    public void onFailure(@NonNull Exception e) {
                        // Handle failure.
                    }
                });
    GenericIdpActivity.java

  6. Dasselbe Muster kann mit startActivityForReauthenticateWithProvider verwendet werden, um aktuelle Anmeldedaten für vertrauliche Vorgänge abzurufen, für die eine aktuelle Anmeldung erforderlich ist.

    Kotlin 

    // The user is already signed-in.
val firebaseUser = firebaseAuth.currentUser!!
firebaseUser
    .startActivityForReauthenticateWithProvider(activity, provider.build())
    .addOnSuccessListener {
        // User is re-authenticated with fresh tokens and
        // should be able to perform sensitive operations
        // like account deletion and email or password
        // update.
    }
    .addOnFailureListener {
        // Handle failure.
    }
    GenericIdpActivity.kt

    Java 

    // The user is already signed-in.
FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();

firebaseUser
        .startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
        .addOnSuccessListener(
                new OnSuccessListener<AuthResult>() {
                    @Override
                    public void onSuccess(AuthResult authResult) {
                        // User is re-authenticated with fresh tokens and
                        // should be able to perform sensitive operations
                        // like account deletion and email or password
                        // update.
                    }
                })
        .addOnFailureListener(
                new OnFailureListener() {
                    @Override
                    public void onFailure(@NonNull Exception e) {
                        // Handle failure.
                    }
                });
    GenericIdpActivity.java

Nächste Schritte

Nachdem sich ein Nutzer zum ersten Mal angemeldet hat, wird ein neues Nutzerkonto erstellt und mit den Anmeldedaten verknüpft, d. h. mit dem Nutzernamen und Passwort, der Telefonnummer oder den Informationen zum Authentifizierungsanbieter, mit denen sich der Nutzer angemeldet hat. Dieses neue Konto wird als Teil Ihres Firebase-Projekts gespeichert und kann verwendet werden, um einen Nutzer in allen Apps in Ihrem Projekt zu identifizieren, unabhängig davon, wie er sich anmeldet.

  • In Ihren Apps können Sie die grundlegenden Profilinformationen des Nutzers über das FirebaseUser-Objekt abrufen. Weitere Informationen finden Sie unter Nutzer verwalten.

  • In Ihren Firebase Realtime Database- und Cloud Storage-Sicherheitsregeln können Sie die eindeutige Nutzer-ID des angemeldeten Nutzers aus der Variablen auth abrufen und damit steuern, auf welche Daten ein Nutzer zugreifen kann.

Sie können Nutzern erlauben, sich über mehrere Authentifizierungsanbieter in Ihrer App anzumelden, indem Sie die Anmeldedaten des Authentifizierungsanbieters mit einem vorhandenen Nutzerkonto verknüpfen.

Wenn Sie einen Nutzer abmelden möchten, rufen Sie signOut auf:

Kotlin

Firebase.auth.signOut()
MainActivity.kt

Java

FirebaseAuth.getInstance().signOut();
MainActivity.java