Sdílet prostřednictvím


Podpora zásad jednotného přihlašování a ochrany aplikací v mobilních aplikacích, které vyvíjíte

Jednotné přihlašování (SSO) je klíčovou nabídkou platformy Microsoft Identity Platform a Microsoft Entra ID, která uživatelům vaší aplikace poskytuje jednoduchá a zabezpečená přihlášení. Zásady ochrany aplikací (APP) navíc umožňují podporu klíčových zásad zabezpečení, které udržují data uživatele v bezpečí. Tyto funkce společně umožňují zabezpečená přihlášení uživatelů a správu dat vaší aplikace.

Tento článek vysvětluje, proč jsou jednotné přihlašování a aplikace důležité, a poskytuje základní pokyny pro vytváření mobilních aplikací, které tyto funkce podporují. To platí pro aplikace pro telefon i tablet. Pokud jste správce IT, který chce nasadit jednotné přihlašování napříč tenantem Microsoft Entra vaší organizace, projděte si naše doprovodné materiály k plánování nasazení jednotného přihlašování.

Informace o zásadách ochrany aplikací a jednotného přihlašování

Jednotné přihlašování (SSO) umožňuje uživateli přihlásit se jednou a získat přístup k jiným aplikacím bez opětovného zadávání přihlašovacích údajů. To usnadňuje přístup k aplikacím a eliminuje potřebu uživatelů pamatovat si dlouhé seznamy uživatelských jmen a hesel. Implementace v aplikaci usnadňuje přístup k aplikaci a jeho používání.

Kromě toho povolení jednotného přihlašování ve vaší aplikaci odemkne nové ověřovací mechanismy, které jsou součástí moderního ověřování, jako jsou přihlášení bez hesla. Uživatelská jména a hesla jsou jedním z nejoblíbenějších vektorů útoku proti aplikacím a povolení jednotného přihlašování umožňuje toto riziko zmírnit vynucením podmíněného přístupu nebo přihlášení bez hesla, která přidávají další zabezpečení nebo spoléhají na bezpečnější mechanismy ověřování. Nakonec povolení jednotného přihlašování také umožňuje jednotné přihlašování. To je užitečné v situacích, jako jsou pracovní aplikace, které se použijí na sdílených zařízeních.

Ochrana aplikací zásady (APP) zajišťují, aby data organizace zůstala v bezpečí a byla obsažena. Umožňují společnostem spravovat a chránit svá data v rámci aplikace a umožnit kontrolu nad tím, kdo má přístup k aplikaci a jejím datům. Implementace zásad ochrany aplikací umožňuje aplikaci připojit uživatele k prostředkům chráněným zásadami podmíněného přístupu a bezpečně přenášet data do a z jiných chráněných aplikací. Mezi scénáře odemknuté zásadami ochrany aplikací patří vyžadování kódu PIN k otevření aplikace, řízení sdílení dat mezi aplikacemi a zabránění ukládání firemních dat do osobních úložišť.

Implementace jednotného přihlašování

Doporučujeme, abyste aplikaci umožnili využívat jednotné přihlašování.

Použití knihovny Microsoft Authentication Library (MSAL)

Nejlepší volbou pro implementaci jednotného přihlašování ve vaší aplikaci je použití knihovny MSAL (Microsoft Authentication Library). Pomocí knihovny MSAL můžete do aplikace přidat ověřování s minimálním kódem a voláním rozhraní API, získat úplné funkce platformy Microsoft Identity Platform a nechat Microsoft zpracovat údržbu zabezpečeného řešení ověřování. Ve výchozím nastavení msAL přidává podporu jednotného přihlašování pro vaši aplikaci. Kromě toho použití KNIHOVNY MSAL je požadavek, pokud plánujete také implementovat zásady ochrany aplikací.

Poznámka:

MsAL je možné nakonfigurovat tak, aby používal vložené webové zobrazení. Tím zabráníte jednotnému přihlašování. Pomocí výchozího chování (tj. systémového webového prohlížeče) se ujistěte, že jednotné přihlašování bude fungovat.

Pro aplikace pro iOS máme rychlý start , který ukazuje, jak nastavit přihlašování pomocí MSAL a pokyny ke konfiguraci MSAL pro různé scénáře jednotného přihlašování.

Pro aplikace pro Android máme rychlý start , který vám ukáže, jak nastavit přihlašování pomocí KNIHOVNY MSAL a pokyny k povolení jednotného přihlašování mezi aplikacemi v Androidu pomocí MSAL.

Použití systémového webového prohlížeče

Pro interaktivní ověřování se vyžaduje webový prohlížeč. Pro mobilní aplikace, které používají moderní knihovny ověřování jiné než MSAL (tj. jiné knihovny OpenID Připojení nebo SAML), nebo pokud implementujete vlastní ověřovací kód, měli byste jako ověřovací plochu použít systémový prohlížeč k povolení jednotného přihlašování.

Google obsahuje pokyny k tomu v aplikacích pro Android: Vlastní karty Pro Chrome – Google Chrome.

Apple obsahuje pokyny k tomuto chování v aplikacích pro iOS: Ověřování uživatele prostřednictvím webové služby | Dokumentace pro vývojáře Apple

Tip

Modul plug-in jednotného přihlašování pro zařízení Apple umožňuje jednotné přihlašování pro aplikace pro iOS, které používají vložená webová zobrazení na spravovaných zařízeních pomocí Intune. Jako nejlepší možnost pro vývoj aplikací, které umožňují jednotné přihlašování pro všechny uživatele, doporučujeme MSAL a systémový prohlížeč, ale v některých scénářích, kde jinak není možné, povolit jednotné přihlašování.

Povolení zásad ochrany aplikací

Pokud chcete povolit zásady ochrany aplikací, použijte knihovnu Microsoft Authentication Library (MSAL). MSAL je ověřovací a autorizační knihovna platformy Microsoft Identity Platform a sada Intune SDK je vyvinutá tak, aby fungovala společně s ní.

Kromě toho musíte k ověřování použít zprostředkovou aplikaci. Zprostředkovatel vyžaduje, aby aplikace poskytovala informace o aplikaci a zařízení, aby zajistila dodržování předpisů aplikací. Uživatelé iOSu budou používat aplikaci Microsoft Authenticator a uživatelé androidu budou používat buď aplikaci Microsoft Authenticator, nebo aplikaci Portál společnosti pro zprostředkované ověřování. Služba MSAL ve výchozím nastavení používá jako první volbu zprostředkovatele pro splnění žádosti o ověření, takže použití zprostředkovatele k ověření se pro vaši aplikaci povolí automaticky při použití knihovny MSAL.

Nakonec do aplikace přidejte sadu Intune SDK, abyste povolili zásady ochrany aplikací. Sada SDK pro většinu částí se řídí modelem průsečíku a automaticky použije zásady ochrany aplikací k určení, jestli akce, které aplikace provádí, jsou povolené nebo ne. K dispozici jsou také rozhraní API, která aplikaci můžou volat ručně, abyste aplikaci řekli, pokud existují omezení určitých akcí.