Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro: 
nájemci zaměstnaneckých prostor 
externí nájemci (další informace)
Jednotné přihlašování (SSO) je klíčovou nabídkou platformy Microsoft Identity Platform a Microsoft Entra ID, která uživatelům vaší aplikace poskytuje jednoduchá a zabezpečená přihlášení. Zásady ochrany aplikací (APP) navíc umožňují podporu klíčových zásad zabezpečení, které udržují data uživatele v bezpečí. Tyto funkce společně umožňují zabezpečená přihlášení uživatelů a správu dat vaší aplikace.
Tento článek vysvětluje, proč jsou jednotné přihlašování a aplikace důležité, a poskytuje základní pokyny pro vytváření mobilních aplikací, které tyto funkce podporují. To platí pro aplikace pro telefon i tablet. Pokud jste správce IT, který chce nasadit jednotné přihlašování napříč tenantem Microsoft Entra vaší organizace, projděte si naše doprovodné materiály k plánování nasazení jednotného přihlašování.
Informace o zásadách ochrany aplikací a jednotného přihlašování
Jednotné přihlašování (SSO) umožňuje uživateli přihlásit se jednou a získat přístup k jiným aplikacím bez opětovného zadávání přihlašovacích údajů. To usnadňuje přístup k aplikacím a eliminuje potřebu uživatelů pamatovat si dlouhé seznamy uživatelských jmen a hesel. Implementace v aplikaci usnadňuje přístup k aplikaci a jeho používání.
Kromě toho povolení jednotného přihlašování ve vaší aplikaci odemkne nové ověřovací mechanismy, které jsou součástí moderního ověřování, jako jsou přihlášení bez hesla. Uživatelská jména a hesla jsou jedním z nejoblíbenějších vektorů útoku proti aplikacím a povolení jednotného přihlašování umožňuje toto riziko zmírnit vynucením podmíněného přístupu nebo přihlášení bez hesla, která přidávají další zabezpečení nebo spoléhají na bezpečnější mechanismy ověřování. Nakonec povolení jednotného přihlašování také umožňuje jednotné přihlašování. To je užitečné v situacích, jako jsou pracovní aplikace, které se použijí na sdílených zařízeních.
Zásady ochrany aplikací (APP) zajišťují, že data organizace zůstanou v bezpečí a obsažená. Umožňují společnostem spravovat a chránit svá data v rámci aplikace a umožnit kontrolu nad tím, kdo má přístup k aplikaci a jejím datům. Implementace zásad ochrany aplikací umožňuje aplikaci připojit uživatele k prostředkům chráněným zásadami podmíněného přístupu a bezpečně přenášet data do a z jiných chráněných aplikací. Mezi scénáře odemknuté zásadami ochrany aplikací patří vyžadování kódu PIN k otevření aplikace, řízení sdílení dat mezi aplikacemi a zabránění ukládání firemních dat do osobních úložišť.
Implementace jednotného přihlašování
Doporučujeme, abyste aplikaci umožnili využívat jednotné přihlašování.
Použití knihovny Microsoft Authentication Library (MSAL)
Nejlepší volbou pro implementaci jednotného přihlašování ve vaší aplikaci je použití knihovny MSAL (Microsoft Authentication Library). Pomocí knihovny MSAL můžete do aplikace přidat ověřování s minimálním kódem a voláním rozhraní API, získat úplné funkce platformy Microsoft Identity Platform a nechat Microsoft zpracovat údržbu zabezpečeného řešení ověřování. Ve výchozím nastavení msAL přidává podporu jednotného přihlašování pro vaši aplikaci. Kromě toho je použití MSAL nutností, pokud plánujete také implementovat zásady ochrany aplikací.
Poznámka:
MsAL je možné nakonfigurovat tak, aby používal vložené webové zobrazení. Tím zabráníte jednotnému přihlašování. Pomocí výchozího chování (tj. systémového webového prohlížeče) se ujistěte, že jednotné přihlašování bude fungovat.
Pro aplikace pro iOS máme rychlý start , který ukazuje, jak nastavit přihlašování pomocí MSAL a pokyny ke konfiguraci MSAL pro různé scénáře jednotného přihlašování.
Pro aplikace pro Android máme rychlý start, který vám ukáže, jak nastavit přihlašování pomocí MSAL, a pokyny k povolení jednotného přihlašování mezi aplikacemi na Androidu pomocí MSAL.
Použití systémového webového prohlížeče
Pro interaktivní ověřování se vyžaduje webový prohlížeč. Pro mobilní aplikace, které používají moderní knihovny ověřování jiné než MSAL (tj. jiné knihovny OpenID Connect nebo SAML), nebo pokud implementujete vlastní ověřovací kód, měli byste jako ověřovací plochu použít systémový prohlížeč, abyste povolili jednotné přihlašování.
Google má pokyny pro to, jak to udělat v aplikacích pro Android: Vlastní karty Chrome – Google Chrome.
Apple obsahuje pokyny k tomuto chování v aplikacích pro iOS: Ověřování uživatele prostřednictvím webové služby | Dokumentace pro vývojáře Apple
Návod
SSO plug-in pro zařízení Apple umožňuje SSO pro aplikace pro iOS, které používají vložená webová zobrazení na spravovaných zařízeních pomocí Intune. Pro doporučení při vývoji aplikací, které umožňují jednotné přihlašování (SSO) pro všechny uživatele, považujeme MSAL a systémový prohlížeč za nejlepší volbu. Tímto však lze povolit SSO v některých scénářích, kde by jinak nebylo možné.
Povolení zásad ochrany aplikací
Pro povolení zásad ochrany aplikací použijte Microsoft Authentication Library (MSAL). MSAL je ověřovací a autorizační knihovna platformy Microsoft Identity Platform a sada Intune SDK je vyvinutá tak, aby fungovala společně s ní.
Kromě toho musíte k ověřování použít zprostředkovou aplikaci. Zprostředkovatel vyžaduje, aby aplikace poskytovala informace o aplikaci a zařízení, aby zajistila dodržování předpisů aplikací. Uživatelé iOS budou k zprostředkování ověřování používat aplikaci Microsoft Authenticator a uživatelé Androidu buď aplikaci Microsoft Authenticator, nebo aplikaci Portál společnosti. Ve výchozím nastavení používá MSAL zprostředkovatele jako svou první volbu k provedení autentizačního požadavku. To znamená, že možnost ověřit pomocí zprostředkovatele bude pro vaši aplikaci automaticky povolena, pokud používáte MSAL přímo.
Nakonec do aplikace přidejte sadu Intune SDK , abyste povolili zásady ochrany aplikací. Sada SDK pro většinu částí se řídí modelem průsečíku a automaticky použije zásady ochrany aplikací k určení, jestli akce, které aplikace provádí, jsou povolené nebo ne. K dispozici jsou také rozhraní API, která můžete ručně volat, abyste aplikaci informovali o existujících omezeních určitých akcí.