Sdílet prostřednictvím

Fáze 2: Předpoklad a nastavení MSAL

  • Článek

Intune App SDK používá knihovnu Microsoft Authentication Library pro scénáře ověřování a podmíněného spuštění. Při správě bez registrace zařízení spoléhá také na MSAL, který zaregistruje identitu uživatele ve službě MAM.

Poznámka

Tato příručka je rozdělená do několika různých fází. Začněte tím, že si projděte fázi 1: Plánování integrace.

Cíle fáze

  • Zaregistrujte aplikaci pomocí Microsoft Entra ID.
  • Integrujte MSAL do aplikace pro iOS.
  • Ověřte, že vaše aplikace může získat token, který uděluje přístup k chráněným prostředkům.

Nastavení a konfigurace registrace aplikace Microsoft Entra

MSAL vyžaduje, aby se aplikace zaregistrovaly pomocí Microsoft Entra ID a vytvořily jedinečné ID klienta a identifikátor URI přesměrování, aby se zajistilo zabezpečení tokenů udělených aplikaci. Pokud vaše aplikace už používá MSAL pro vlastní ověřování, pak by už k aplikaci měla být přidružená registrace aplikace Microsoft Entra, ID klienta nebo identifikátor URI přesměrování.

Pokud vaše aplikace ještě nepoužívá MSAL, budete muset nakonfigurovat registraci aplikace v Microsoft Entra ID a zadat ID klienta a identifikátor URI přesměrování, který by měla sada Intune SDK používat.

Pokud vaše aplikace aktuálně používá K ověřování uživatelů ADAL, přečtěte si téma Migrace aplikací do MSAL pro iOS a macOS , kde najdete další informace o migraci aplikace z ADAL na MSAL.

Doporučuje se, aby vaše aplikace odkazy na nejnovější verzi MSAL.

Postupujte podle části instalace a vložte do aplikace binární soubory MSAL.

Konfigurace KNIHOVNY MSAL

Postupujte podle části konfigurace a nakonfigurujte KNIHOVNU MSAL. Ujistěte se, že postupujete podle všech kroků v části konfigurace. Pokud je vaše aplikace už zaregistrovaná v Microsoft Entra ID, ignorujte krok 1.

Následující body obsahují další informace ke konfiguraci knihovny MSAL a propojení s ním. Pokud platí pro vaši aplikaci, postupujte podle těchto pokynů.

  • Pokud vaše aplikace nemá definované žádné přístupové skupiny pro řetězce klíčů, přidejte ID sady prostředků aplikace jako první skupinu.
  • Povolte jednotné přihlašování (SSO) MSAL přidáním com.microsoft.adalcache do přístupových skupin řetězce klíčů.
  • V případě, že explicitně nastavujete skupinu řetězce klíčů sdílené mezipaměti MSAL, ujistěte se, že je nastavená na <appidprefix>.com.microsoft.adalcachehodnotu . MSAL to za vás nastaví, pokud ho nepřepíšete. Pokud chcete zadat vlastní skupinu řetězce klíčů, která se má nahradit com.microsoft.adalcache, zadejte ji v souboru Info.plist v části IntuneMAMSettings pomocí klíče ADALCacheKeychainGroupOverride.

Konfigurace nastavení MSAL pro sadu Intune App SDK

Jakmile je registrace aplikace nakonfigurovaná pro vaši aplikaci v Microsoft Entra ID, můžete sadu Intune App SDK nakonfigurovat tak, aby při ověřování proti ID Microsoft Entra používala nastavení z registrace aplikace. Informace o naplnění následujících nastavení najdete v tématu Konfigurace nastavení sady Intune App SDK :

  • ADALClientId
  • ADALAuthority
  • ADALRedirectUri
  • ADALRedirectScheme
  • ADALCacheKeychainGroupOverride

Vyžadují se následující konfigurace:

  1. V souboru Info.plist projektu zadejte ve slovníku IntuneMAMSettings s názvem ADALClientIdklíče ID klienta, které se má použít pro volání MSAL.

  2. Pokud je registrace aplikace Microsoft Entra, která se mapuje na ID klienta nakonfigurovaného v kroku 1, nakonfigurovaná pro použití pouze v jednom tenantovi Microsoft Entra, nakonfigurujte ADALAuthority klíč ve slovníku IntuneMAMSettings v souboru Info.plist aplikace. Zadejte autoritu Microsoft Entra, kterou má msal používat k získání tokenů pro službu správy mobilních aplikací Intune.

  3. Ve slovníku IntuneMAMSettings s názvem ADALRedirectUriklíče také zadejte identifikátor URI přesměrování, který se má použít pro volání MSAL. Případně můžete místo toho zadat ADALRedirectScheme , pokud je identifikátor URI přesměrování aplikace ve formátu scheme://bundle_id.

    Případně můžou aplikace přepsat tato nastavení Microsoft Entra za běhu. Chcete-li to provést, jednoduše nastavte aadAuthorityUriOverridevlastnosti , aadClientIdOverridea aadRedirectUriOverride třídy IntuneMAMSettings .

  4. Ujistěte se, že jsou dodrženy kroky pro udělení oprávnění vaší aplikaci pro iOS ke službě Intune Mobile App Management (MAM). Postupujte podle pokynů v příručce Začínáme se sadou Intune SDK v části Poskytnutí přístupu aplikace ke službě Intune Mobile App Management Service.

    Poznámka

    Pokud zásady ochrany aplikací souvisejí se spravovanými zařízeními, je také nutné vytvořit konfigurační profil aplikace, která má integrovanou službu Intune.

    Přístup Info.plist se doporučuje pro všechna nastavení, která jsou statická a nemusí se určovat za běhu. Hodnoty přiřazené vlastnostem IntuneMAMSettings třídy za běhu mají přednost před všemi odpovídajícími hodnotami zadanými v souboru Info.plist a zachovají se i po restartování aplikace. Sada SDK je bude dál používat pro vracení se změnami zásad, dokud se registrace uživatele neblokuje nebo dokud se hodnoty nesmažou nebo nezmění.

Zvláštní aspekty při použití knihovny MSAL pro ověřování iniciované aplikací

Doporučuje se, aby aplikace jako webové zobrazení nepoužít SFSafariViewController, SFAuththenticationSession ani ASWebAuthenticationSession jako webové zobrazení pro všechny operace interaktivního ověřování MSAL iniciované aplikací. Ve výchozím nastavení používá MSAL ASWebAuthenticationSession, takže vývojáři aplikací by měli explicitně nastavit typ webového zobrazení na WKWebView. Pokud vaše aplikace z nějakého důvodu musí pro jakékoli interaktivní operace ověřování MSAL používat jiný typ webového zobrazení než WKWebView, musí být také nastavená SafariViewControllerBlockedOverride na true ve IntuneMAMSettings slovníku v souboru Info.plist aplikace.

Upozornění

Tím vypnete háčky SafariViewController v Intune, aby se povolila relace ověřování. To riskuje únik dat jinde v aplikaci, pokud aplikace používá SafariViewController k zobrazení podnikových dat, takže aplikace by neměla zobrazovat podniková data v žádném z těchto typů webových zobrazení.

Kritéria ukončení

  • Zaregistrovali jste aplikaci na registrační stránce aplikace Microsoft Entra?
  • Integrovali jste do své aplikace knihovnu MSAL?
  • Povolili jste ověřování zprostředkovatele vygenerováním identifikátoru URI přesměrování a jeho nastavením v konfiguračním souboru MSAL?
  • Ujistili jste se, že požadované konfigurační informace pro MSAL ve slovníku IntuneMAMSettings odpovídají informacím v registraci aplikací Microsoft Entra?

Časté otázky

A co ADAL?

Předchozí knihovna ověřování Microsoftu Azure Active Directory Authentication Library (ADAL) je zastaralá.

Pokud už vaše aplikace ADAL integrovala, přečtěte si téma Aktualizace aplikací tak, aby používaly knihovnu Microsoft Authentication Library (MSAL). Pokud chcete migrovat aplikaci z ADAL na MSAL, přečtěte si téma Migrace aplikací do MSAL pro iOS a macOS.

Před integrací sady Intune App SDK doporučujeme migrovat z ADAL na MSAL.

Další kroky

Po dokončení všech výše uvedených kritérií ukončenípokračujte fází 3: Integrace sady Intune SDK do aplikace pro iOS.