Migrace aplikací na knihovnu Microsoft Authentication Library (MSAL)

  • Článek

Pokud některá z vašich aplikací používá knihovnu Azure Active Directory Authentication Library (ADAL) k ověřování a autorizaci, je čas je migrovat do knihovny Microsoft Authentication Library (MSAL).

  • Veškerá podpora Microsoftu a vývoj pro ADAL, včetně oprav zabezpečení, skončí v červnu 2023.
  • Do června 2023 se neplánují žádné vydání funkcí ADAL ani vydání nových verzí platformy.
  • Od 30. června 2020 nebyly do knihovny ADAL přidány žádné nové funkce.

Upozornění

Pokud se rozhodnete migrovat na MSAL před ukončením podpory ADAL v červnu 2023, ohrozíte zabezpečení aplikace. Stávající aplikace, které používají ADAL, budou fungovat i po datu ukončení podpory, ale Microsoft už nebude vydávat opravy zabezpečení pro ADAL. Další informace najdete v oficiálním oznámení.

Proč přejít na MSAL?

Pokud jste v minulosti vyvinuli aplikace proti koncovému bodu Azure Active Directory (v1.0), pravděpodobně používáte ADAL. Vzhledem k tomu, že se koncový bod Microsoft identity platform (v2.0) dostatečně výrazně změnil, byla pro nový koncový bod zcela vytvořena nová knihovna (MSAL).

Následující diagram znázorňuje prostředí koncových bodů v2.0 a v1.0 na vysoké úrovni, včetně prostředí registrace aplikací, sad SDK, koncových bodů a podporovaných identit.

Diagram znázorňující architekturu v1.0 a v2.0

Knihovna MSAL využívá všechny výhody koncového bodu Microsoft identity platform (v2.0).

Knihovna MSAL je navržená tak, aby umožňovala zabezpečené řešení, aniž by se vývojáři museli starat o podrobnosti implementace. Zjednodušuje a spravuje získávání, správu, ukládání do mezipaměti a aktualizaci tokenů a používá osvědčené postupy pro zajištění odolnosti. Ke zvýšení odolnosti ověřování a autorizace v klientských aplikacích, které vyvíjíte, doporučujeme použít KNIHOVNU MSAL.

Knihovna MSAL poskytuje oproti knihovně ADAL několik výhod, včetně následujících funkcí:

Funkce MSAL ADAL
Zabezpečení
Opravy zabezpečení po červnu 2023 Opravy zabezpečení po červnu 2023 – MSAL poskytuje tuto funkci Opravy zabezpečení po červnu 2023 – ADAL tuto funkci neposkytuje
Proaktivně aktualizovat a odvolat tokeny na základě zásad nebo kritických událostí pro Microsoft Graph a další rozhraní API, která podporují průběžné vyhodnocování přístupu (CAE) Proaktivně aktualizovat a odvolat tokeny na základě zásad nebo kritických událostí pro Microsoft Graph a další rozhraní API, která podporují průběžné vyhodnocování přístupu (CAE) – MSAL poskytuje tuto funkci Proaktivně aktualizovat a odvolat tokeny na základě zásad nebo kritických událostí pro Microsoft Graph a další rozhraní API, která podporují průběžné vyhodnocování přístupu (CAE) – ADAL tuto funkci neposkytuje
Standardy kompatibilní s OAuth v2.0 a OpenID Connect (OIDC) Standardy kompatibilní s OAuth v2.0 a OpenID Connect (OIDC) – MSAL poskytuje funkci Standardy kompatibilní s OAuth v2.0 a OpenID Connect (OIDC) – ADAL tuto funkci neposkytuje
Uživatelské účty a prostředí
Účty Azure Active Directory (Azure AD) Účty Azure Active Directory (Azure AD) – MSAL poskytuje funkci Účty Azure Active Directory (Azure AD) – ADAL poskytuje funkci
Účet Microsoft (MSA) Účet Microsoft (MSA) – MSAL poskytuje funkci Účet Microsoft (MSA) – ADAL tuto funkci neposkytuje
účty Azure AD B2C Azure AD účtů B2C – MSAL poskytuje funkci Azure AD účtů B2C – ADAL tuto funkci neposkytuje
Nejlepší jednotné přihlašování Nejlepší jednotné přihlašování – MSAL poskytuje funkci Nejlepší jednotné přihlašování – ADAL tuto funkci neposkytuje
Odolnost
Proaktivní prodlužování platnosti tokenu Proaktivní prodlužování platnosti tokenů – MSAL poskytuje funkci Proaktivní prodlužování platnosti tokenu – ADAL tuto funkci neposkytuje
Throttling Omezování – MSAL poskytuje funkci Omezování – ADAL tuto funkci neposkytuje.

Další možnosti knihovny MSAL přes ADAL

  • Podpora zprostředkovatele ověřování – zásady podmíněného přístupu na základě zařízení
  • Tokeny pro doklad o vlastnictví
  • Azure AD ověřování na základě certifikátů (CBA) na mobilních zařízeních
  • Systémové prohlížeče na mobilních zařízeních
  • Tam, kde ADAL obsahovala pouze třídu kontextu ověřování, knihovna MSAL zveřejňuje pojem kolekce klientských aplikací (veřejný klient a důvěrný klient).

Podpora služby AD FS v MSAL

K získání tokenů ze služby Active Directory Federation Services (AD FS) (AD FS) 2019 nebo novější můžete použít MSAL.NET, MSAL Java, MSAL.js a MSAL Python. Starší verze služby AD FS, včetně AD FS 2016, nejsou službou MSAL podporovány.

Pokud potřebujete službu AD FS dál používat, měli byste před aktualizací aplikací z ADAL na MSAL upgradovat na službu AD FS 2019 nebo novější.

Jak migrovat na MSAL

Před zahájením migrace musíte zjistit, které z vašich aplikací používají ADAL k ověřování. Pokud chcete získat seznam pomocí Azure Portal, postupujte podle kroků v tomto článku:

Po identifikaci aplikací, které používají ADAL, je v závislosti na typu aplikace migrujte do KNIHOVNY MSAL, jak je znázorněno níže.

Jednostránková aplikace (SPA)

Webová aplikace

Webové rozhraní API

Desktopová aplikace

Mobile app (Mobilní aplikace)

Aplikace služby nebo démona

MSAL podporuje širokou škálu typů aplikací a scénářů. Projděte si podporu knihovny Microsoft Authentication Library pro několik typů aplikací.

Průvodce migrací ADAL na MSAL pro různé platformy je k dispozici na následujícím odkazu.

Nápověda k migraci

Pokud máte dotazy k migraci aplikace z ADAL na MSAL, tady je několik možností:

  • Publikujte svůj dotaz na Webu Microsoft Q&A a označte ho pomocí [azure-ad-adal-deprecation].
  • Otevřete problém v úložišti GitHub knihovny. Odkazy na úložiště jednotlivých knihoven najdete v části Jazyky a architektury v článku s přehledem knihovny MSAL.

Pokud jste při vývoji vaší aplikace navázali partnerství s nezávislým dodavatelem softwaru, doporučujeme, abyste se s informacemi o migraci na MSAL obrátili přímo na tohoto výrobce.

Další kroky

Další informace o knihovně MSAL, včetně informací o využití a o tom, které knihovny jsou dostupné pro různé programovací jazyky a typy aplikací, najdete tady: