Puedes dejar que los usuarios se autentiquen con Firebase usando proveedores de OAuth, como Microsoft Azure Active Directory, con solo integrar un acceso genérico de OAuth en tu app, usando el SDK de Firebase para llevar a cabo el flujo de acceso de extremo a extremo.
Antes de comenzar
Para que los usuarios accedan con cuentas de Microsoft (cuentas de Azure Active Directory o cuentas personales de Microsoft), primero debes habilitar Microsoft como un proveedor de acceso para tu proyecto de Firebase.
- Agrega Firebase a tu proyecto de JavaScript.
- En Firebase console, abre la sección Authentication.
- En la pestaña Método de acceso, habilita el proveedor de Microsoft.
- Agrega el ID y el secreto del cliente de la consola para desarrolladores de ese proveedor a la configuración correspondiente:
- Para registrar un cliente de OAuth de Microsoft, sigue las instrucciones en la Guía de inicio rápido: Registra una app con el extremo Azure Active Directory v2.0. Ten en cuenta que este extremo admite el acceso con cuentas personales de Microsoft, así como cuentas de Azure Active Directory. Obtén más información sobre Azure Active Directory v2.0.
- Cuando registres apps con estos proveedores, asegúrate de registrar el dominio
*.firebaseapp.com
para el proyecto como el dominio de redireccionamiento de la app.
- Haz clic en Guardar.
Maneja el flujo de acceso con el SDK de Firebase
Si estás compilando una app web, la manera más sencilla de autenticar a tus usuarios con Firebase utilizando sus cuentas de Microsoft es manejar el flujo de acceso completo con el SDK de Firebase JavaScript.
Para manejar el flujo de acceso con el SDK de Firebase JavaScript, sigue estos pasos:
Crea una instancia de un OAuthProvider con el ID de proveedor microsoft.com.
Web
import { OAuthProvider } from "firebase/auth"; const provider = new OAuthProvider('microsoft.com');
Web
var provider = new firebase.auth.OAuthProvider('microsoft.com');
Opcional: Especifica otros parámetros de OAuth personalizados que quieras enviar con la solicitud de OAuth.
Web
provider.setCustomParameters({ // Force re-consent. prompt: 'consent', // Target specific email with login hint. login_hint: 'user@firstadd.onmicrosoft.com' });
Web
provider.setCustomParameters({ // Force re-consent. prompt: 'consent', // Target specific email with login hint. login_hint: 'user@firstadd.onmicrosoft.com' });
Para conocer los parámetros que admite Microsoft, consulta la documentación de OAuth de Microsoft. Ten en cuenta que no puedes pasar los parámetros obligatorios de Firebase con
setCustomParameters()
. Estos parámetros son client_id, response_type, redirect_uri, state, scope y response_mode.Para permitir que solo los integrantes de un grupo de usuarios específico de Azure AD accedan a la aplicación, puedes usar el nombre descriptivo del dominio o el identificador GUID del usuario de Azure AD. Para ello, se puede especificar el campo “usuario” en el objeto de los parámetros personalizados.
Web
provider.setCustomParameters({ // Optional "tenant" parameter in case you are using an Azure AD tenant. // eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com' // or "common" for tenant-independent tokens. // The default value is "common". tenant: 'TENANT_ID' });
Web
provider.setCustomParameters({ // Optional "tenant" parameter in case you are using an Azure AD tenant. // eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com' // or "common" for tenant-independent tokens. // The default value is "common". tenant: 'TENANT_ID' });
Opcional: Especifica permisos de OAuth 2.0 adicionales aparte del perfil básico que quieres solicitar del proveedor de autenticación.
provider.addScope('mail.read'); provider.addScope('calendars.read');
Para obtener más información, consulta la documentación de permisos y consentimiento de Microsoft.
Autentica con Firebase usando el objeto del proveedor de OAuth. Puedes pedirles a los usuarios que accedan con sus cuentas de Microsoft a través de una ventana emergente o con un redireccionamiento a la página de acceso. En dispositivos móviles, se prefiere el método de redireccionamiento.
- Para acceder con una ventana emergente, llama a
signInWithPopup
:
Web
import { getAuth, signInWithPopup, OAuthProvider } from "firebase/auth"; const auth = getAuth(); signInWithPopup(auth, provider) .then((result) => { // User is signed in. // IdP data available in result.additionalUserInfo.profile. // Get the OAuth access token and ID Token const credential = OAuthProvider.credentialFromResult(result); const accessToken = credential.accessToken; const idToken = credential.idToken; }) .catch((error) => { // Handle error. });
Web
firebase.auth().signInWithPopup(provider) .then((result) => { // IdP data available in result.additionalUserInfo.profile. // ... /** @type {firebase.auth.OAuthCredential} */ var credential = result.credential; // OAuth access and id tokens can also be retrieved: var accessToken = credential.accessToken; var idToken = credential.idToken; }) .catch((error) => { // Handle error. });
- Para acceder con el redireccionamiento a la página de acceso, llama a
signInWithRedirect
como se indica a continuación:
Sigue las prácticas recomendadas cuando uses
signInWithRedirect
,linkWithRedirect
oreauthenticateWithRedirect
.Web
import { getAuth, signInWithRedirect } from "firebase/auth"; const auth = getAuth(); signInWithRedirect(auth, provider);
Web
firebase.auth().signInWithRedirect(provider);
Después de que el usuario termine de acceder y vuelva a la página, puedes obtener el resultado de acceso con solo llamar a
getRedirectResult
.Web
import { getAuth, getRedirectResult, OAuthProvider } from "firebase/auth"; const auth = getAuth(); getRedirectResult(auth) .then((result) => { // User is signed in. // IdP data available in result.additionalUserInfo.profile. // Get the OAuth access token and ID Token const credential = OAuthProvider.credentialFromResult(result); const accessToken = credential.accessToken; const idToken = credential.idToken; }) .catch((error) => { // Handle error. });
Web
firebase.auth().getRedirectResult() .then((result) => { // IdP data available in result.additionalUserInfo.profile. // ... /** @type {firebase.auth.OAuthCredential} */ var credential = result.credential; // OAuth access and id tokens can also be retrieved: var accessToken = credential.accessToken; var idToken = credential.idToken; }) .catch((error) => { // Handle error. });
Si se completa correctamente, el token de acceso de OAuth asociado con el proveedor se puede recuperar a partir del objeto
firebase.auth.UserCredential
que se muestra.Con el token de acceso de OAuth, puedes llamar a la API de Microsoft Graph.
Por ejemplo, para obtener información básica de perfil, se puede llamar a la siguiente API de REST:
curl -i -H "Authorization: Bearer ACCESS_TOKEN" https://graph.microsoft.com/v1.0/me
A diferencia de otros proveedores admitidos por Firebase Auth, Microsoft no proporciona una URL de foto y, en su lugar, los datos binarios de una foto de perfil se deben solicitar a través de la API de Microsoft Graph.
Además del token de acceso de OAuth, el token de ID de OAuth del usuario también se puede recuperar a partir del objeto
firebase.auth.UserCredential
. La reclamaciónsub
en el token de ID es específica de la app y no coincidirá con el identificador de usuario federado utilizado por Firebase Auth, al que se puede acceder conuser.providerData[0].uid
. En su lugar, se debe usar el campo de reclamaciónoid
. Si se utiliza un usuario de Azure AD para acceder, la reclamaciónoid
será una coincidencia exacta. Sin embargo, si no se usa una instancia, se rellenerá el campooid
. Para un4b2eabcdefghijkl
con ID federado, eloid
tendrá un formulario00000000-0000-0000-4b2e-abcdefghijkl
.- Para acceder con una ventana emergente, llama a
Si bien los ejemplos anteriores se enfocan en los flujos de acceso, también puedes vincular un proveedor de Microsoft con un usuario existente usando
linkWithPopup
olinkWithRedirect
. Por ejemplo, puedes vincular varios proveedores con el mismo usuario para que este pueda acceder con cualquiera de ellos.Web
import { getAuth, linkWithPopup, OAuthProvider } from "firebase/auth"; const provider = new OAuthProvider('microsoft.com'); const auth = getAuth(); linkWithPopup(auth.currentUser, provider) .then((result) => { // Microsoft credential is linked to the current user. // IdP data available in result.additionalUserInfo.profile. // Get the OAuth access token and ID Token const credential = OAuthProvider.credentialFromResult(result); const accessToken = credential.accessToken; const idToken = credential.idToken; }) .catch((error) => { // Handle error. });
Web
var provider = new firebase.auth.OAuthProvider('microsoft.com'); firebase.auth().currentUser.linkWithPopup(provider) .then((result) => { // Microsoft credential is linked to the current user. // IdP data available in result.additionalUserInfo.profile. // OAuth access token can also be retrieved: // result.credential.accessToken // OAuth ID token can also be retrieved: // result.credential.idToken }) .catch((error) => { // Handle error. });
Se puede utilizar el mismo patrón con
reauthenticateWithPopup
oreauthenticateWithRedirect
, que se puede usar a fin de recuperar credenciales nuevas para operaciones sensibles que requieran un acceso reciente.Web
import { getAuth, reauthenticateWithPopup, OAuthProvider } from "firebase/auth"; const provider = new OAuthProvider('microsoft.com'); const auth = getAuth(); reauthenticateWithPopup(auth.currentUser, provider) .then((result) => { // User is re-authenticated with fresh tokens minted and // should be able to perform sensitive operations like account // deletion and email or password update. // IdP data available in result.additionalUserInfo.profile. // Get the OAuth access token and ID Token const credential = OAuthProvider.credentialFromResult(result); const accessToken = credential.accessToken; const idToken = credential.idToken; }) .catch((error) => { // Handle error. });
Web
var provider = new firebase.auth.OAuthProvider('microsoft.com'); firebase.auth().currentUser.reauthenticateWithPopup(provider) .then((result) => { // User is re-authenticated with fresh tokens minted and // should be able to perform sensitive operations like account // deletion and email or password update. // IdP data available in result.additionalUserInfo.profile. // OAuth access token can also be retrieved: // result.credential.accessToken // OAuth ID token can also be retrieved: // result.credential.idToken }) .catch((error) => { // Handle error. });
Autentica con Firebase en una extensión de Chrome
Si desarrollas una app de extensión de Chrome, consulta la guía de Documentos fuera de pantalla.
Próximos pasos
Cuando un usuario accede por primera vez, se crea una cuenta de usuario nueva y se la vincula con las credenciales (el nombre de usuario y la contraseña, el número de teléfono o la información del proveedor de autenticación) que el usuario utilizó para acceder. Esta cuenta nueva se almacena como parte de tu proyecto de Firebase y se puede usar para identificar a un usuario en todas las apps del proyecto, sin importar cómo acceda.
-
En tus apps, para conocer el estado de autenticación del usuario, te recomendamos configurar un observador en el objeto
Auth
. Luego podrás obtener la información de perfil básica del usuario a partir del objetoUser
. Consulta Administra usuarios en Firebase. En tus Reglas de seguridad de Firebase Realtime Database y Cloud Storage, puedes obtener el ID del usuario único que accedió a partir de la variable
auth
y usarlo para controlar a qué datos podrá acceder.
Para permitir que los usuarios accedan a tu app mediante varios proveedores de autenticación, puedes vincular las credenciales de estos proveedores con una cuenta de usuario existente.
Para salir de la sesión de un usuario, llama a signOut
de la siguiente manera:
Web
import { getAuth, signOut } from "firebase/auth"; const auth = getAuth(); signOut(auth).then(() => { // Sign-out successful. }).catch((error) => { // An error happened. });
Web
firebase.auth().signOut().then(() => { // Sign-out successful. }).catch((error) => { // An error happened. });