Freigeben über


Mehrstufige Authentifizierungsanforderung

Wir erfordern bereits die mehrstufige Authentifizierung in Microsoft Advertising online. Die mehrstufige Authentifizierung ist ein Sicherheitsprozess, bei dem Sie Ihre Identität auf zwei verschiedene Arten überprüfen müssen.

Wichtig

Ab dem 1. Juni 2022 wird die mehrstufige Authentifizierung für Kunden, die sich über Anwendungen von Drittanbietern anmelden, schrittweise für die Verwendung der Bing Ads-API, der Inhalts-API und der Hotel-API benötigt.

Sie müssen Ihre Anwendung aktualisieren, um die Benutzerzustimmung mithilfe des neuen msads.manage Bereichs zu erhalten. Alle Anwendungsentwickler müssen Maßnahmen ergreifen, um den neuen Bereich zu verwenden.

Der neue msads.manage Bereich erfordert eine erneuerte Zustimmung aller Benutzer Ihrer Anwendung. Sie müssen Benutzer unter Verwendung des neuen msads.manage Bereichs zur Zustimmung auffordern, unabhängig davon, ob sie die mehrstufige Authentifizierung aktiviert haben oder nicht. Dadurch wird sichergestellt, dass sie eine zweite Form der Identifizierung oder eines Nachweises bereitstellen, wenn Sie Ihre Einwilligung für Ihre Bewerbung erteilen.

Aktion erforderlich

Sie müssen Ihre Anwendung aktualisieren und Benutzer mithilfe des Bereichs msads.manage über den Microsoft Identity Platform-Endpunkt zur Zustimmung auffordern. Alle Microsoft Advertising-Entwickler müssen Maßnahmen ergreifen, um den neuen Bereich zu verwenden.

Bei jeder API-Anforderung überprüfen wir das Zugriffstoken, um sicherzustellen, dass der Benutzer die Zustimmung über den neuen msads.manage Bereich erteilt hat. Bei der Erzwingung der mehrstufigen Authentifizierung werden alle anderen bereitgestellten Zugriffstoken nicht akzeptiert.

Es wird empfohlen, die erforderlichen Änderungen so bald wie möglich vorzunehmen.

Es wird auch empfohlen, die Benutzer Ihrer Anwendung zu informieren und anzuweisen, MFA einzurichten , sodass ein zweiter Nachweis erforderlich ist, wenn sie Berechtigungen für eine Anwendung erteilen. Für die Microsoft Advertising-Anforderung reicht es nicht aus, die MFA zu aktivieren. In beiden Richtungen müssen Sie die Benutzereinwilligung einholen, indem Sie mit dem msads.manage Bereich dazu aufgefordert werden.

Nach der Erzwingung

Nach der Erzwingung der MFA authentifizieren wir Zugriffstoken nur im Namen eines Benutzers, der Ihrer Anwendung über den msads.manage Bereich auf dem Microsoft Identity Platform-Endpunkt zugestimmt hat.

  • Vor der MFA-Erzwingung unterstützt der Microsoft Identity Platform-Endpunkt den ads.manage Bereich. Zugriffstoken, die Sie für Benutzer über den Ads.manage-Bereich erwerben, werden nicht mehr akzeptiert.

  • Vor der MFA-Erzwingung unterstützt der Live Connect-Endpunkt den bingads.manage Bereich. Der Live Connect-Endpunkt ist bereits veraltet und wird nicht mehr unterstützt. Zugriffstoken, die Sie für Benutzer über den bingads.manage Bereich erwerben, werden nicht mehr akzeptiert.

SDK-Unterstützung

Unterstützung für den neuen msads.manage Bereich ist ab Version 13.0.10 von Bing Ads SDKs (.NET, Java, Python und PHP) verfügbar.

Der neue msads.manage Bereich wird standardmäßig verwendet. Aus Gründen der Abwärtskompatibilität können Sie bis zum Erzwingungsdatum die ads.manage Bereiche oder bingads.manage mit einer kurzen Problemumgehung verwenden.

var oAuthDesktopMobileAuthCodeGrant = new OAuthDesktopMobileAuthCodeGrant(
    Settings.Default["ClientId"].ToString(),
    apiEnvironment,
    OAuthScope.ADS_MANAGE // temporary workaround; remove or use MSADS_MANAGE instead
);
OAuthDesktopMobileAuthCodeGrant oAuthDesktopMobileAuthCodeGrant = new OAuthDesktopMobileAuthCodeGrant(
    ClientId, 
    ApiEnvironment,
    OAuthScope.ADS_MANAGE // temporary workaround; remove or use MSADS_MANAGE instead
);
$authentication = (new OAuthDesktopMobileAuthCodeGrant())
    ->withClientId(ClientId)
    ->withEnvironment(ApiEnvironment)
    ->withOAuthScope(OAuthScope::ADS_MANAGE); // temporary workaround; remove or use MSADS_MANAGE instead
oauth_web_auth_code_grant = OAuthDesktopMobileAuthCodeGrant(
    client_id=CLIENT_ID,
    env=ENVIRONMENT,
    oauth_scope="ads.manage" # temporary workaround; remove or use "msads.manage" instead
)

Beispielszenarien

Im Folgenden finden Sie Beispielszenarien, die für Ihr Unternehmen gelten können.

Beispiel: Abrufen eines neuen Zugriffstokens durch Aktualisieren mit einem anderen Bereich

Ein Zugriffstoken stellt die Berechtigungen eines Benutzers dar, um in dessen Namen mit eingeschränkten Berechtigungen basierend auf Bereichen zu handeln. Wenn Sie die Zustimmung zum Verwalten ihrer Konten anfordern, legen Sie den Bereichsparameter entweder auf ads.manage und msads.manage fest. Sie fragen tatsächlich nach einem Benutzerzugriffstoken, das über Berechtigungen für das verfügt, was durch den Bereich definiert wird.

Wichtig

Nach der Erzwingung der mehrstufigen Authentifizierung wird ein Zugriffstoken nur akzeptiert, wenn es über den Msads.manage-Bereich bereitgestellt oder aktualisiert wurde. Sie können die Token über ads.manage aktualisieren, aber die Bing Ads-API akzeptiert sie nicht.

Um zu bestätigen, dass ein Zugriffstoken bei der Erzwingung der mehrstufigen Authentifizierung akzeptiert wird, können Sie den Antwortbereich überprüfen. Wenn der Bereich msads.manage enthält, wird er akzeptiert.

Angenommen, ein Benutzer stimmt ihrer Anwendung derzeit zu, seine Konten sowohl über den Ads.manage - als auch über den msads.manage-Bereich zu verwalten. Möglicherweise haben sie im letzten Monat die Einwilligung über ads.manage erteilt und dann in diesem Monat über msads.manage ihre Zustimmung erteilt.

Wenn Sie das Token mit ads.manage aktualisieren, enthält die Tokenaktualisierungsantwort den Bereich ads.manage . Nach der Erzwingung der mehrstufigen Authentifizierung wird "MyAccessToken-1" nicht akzeptiert.

{
    "token_type":"Bearer",
    "scope":"https://ads.microsoft.com/ads.manage",
    "expires_in":3600,
    "ext_expires_in":3600,
    "access_token":"MyAccessToken-1",
    "refresh_token":"MyRefreshToken-1"
}

Wenn Sie das Token mit msads.manage aktualisieren, enthält die Tokenaktualisierungsantwort sowohl ads.manage - als auch msads.manage-Bereiche . Nach der Erzwingung der mehrstufigen Authentifizierung wird "MyAccessToken-2" akzeptiert.

{
    "token_type":"Bearer",
    "scope":"https://ads.microsoft.com/msads.manage https://ads.microsoft.com/ads.manage",
    "expires_in":3600,
    "ext_expires_in":3600,
    "access_token":"MyAccessToken-2",
    "refresh_token":"MyRefreshToken-2"
}

Ein invalid_grant Fehler wird zurückgegeben, wenn Sie versuchen, das Token mithilfe eines Bereichs zu aktualisieren, in dem der Benutzer derzeit keine Zustimmung erteilt.

{
    "error":"invalid_grant",
    "error_description":"AADSTS70000: The request was denied because one or more scopes requested are unauthorized or expired. The user must first sign in and grant the client application access to the requested scope."
}

Siehe auch

Häufig gestellte Fragen zu OAuthAnfordern der Benutzer einwilligung