Migrieren von Anwendungen zur Microsoft Authentication Library (MSAL)

Wenn eine Ihrer Anwendungen die Azure Active Directory-Authentifizierungsbibliothek (Active Directory Authentication Library, ADAL) für Authentifizierungs- und Autorisierungsfunktionen verwendet, ist es an der Zeit, sie zur Microsoft Authentication Library (MSAL) zu migrieren.

  • Microsoft stellt Support und Entwicklung für die ADAL, einschließlich Sicherheitskorrekturen, im Dezember 2022 ein.
  • Vor Dezember 2022 sind keine Veröffentlichungen von ADAL-Features oder neuen Plattformversionen geplant.
  • Der ADAL wurden seit dem 30. Juni 2020 keine neuen Features mehr hinzugefügt.

Warnung

Wenn Sie sich dagegen entscheiden, zur MSAL zu migrieren, bevor der ADAL-Support im Dezember2022 endet, riskieren Sie die Sicherheit Ihrer Apps. Vorhandene Apps, die die ADAL verwenden, funktionieren nach dem Supportendedatum weiterhin, aber Microsoft veröffentlicht für die ADAL keine Sicherheitskorrekturen mehr.

Gründe für den Wechsel zur MSAL

Um die „Gründe für den Wechsel zur MSAL“ zu verstehen, ist es wichtig, zunächst die Unterschiede zwischen den Endpunkten von Microsoft Identity Platform (v2.0) und Azure Active Directory (v1.0) zu verstehen. Der v1.0-Endpunkt wird von der Azure AD-Authentifizierungsbibliothek (Azure AD Authentication Library, ADAL) verwendet, und der v2.0-Endpunkt wird von der Microsoft-Authentifizierungsbibliothek (Microsoft Authentication Library, MSAL) verwendet. Wenn Sie in der Vergangenheit Apps für den v1.0-Endpunkt entwickelt haben, verwenden Sie wahrscheinlich ADAL. Aufgrund der erheblichen Änderungen des v2.0-Endpunkts wurde die neue Bibliothek (MSAL) vollständig für den neuen Endpunkt erstellt.

Im folgenden Diagramm sind die Unterschiede zwischen den Endpunkten von v2.0 und v1.0 detailliert dargestellt, einschließlich der Umgebung für die App-Registrierung, SDKs, Endpunkte und unterstützten Identitäten.

Diagramm der Architektur von v1.0 und v2.0.

MSAL nutzt alle Vorteile des Endpunkts von Microsoft Identity Platform (v2.0).

MSAL ist konzeptionell für eine sichere Lösung ausgelegt, ohne dass Entwickler sich über die Implementierungsdetails Gedanken machen müssen. MSAL vereinfacht das Abrufen, Verwalten, Zwischenspeichern und Aktualisieren von Token und wendet bewährte Methoden für die Resilienz an. Wir empfehlen die Verwendung von MSAL zum Erhöhen der Resilienz bei der Authentifizierung und Autorisierung in von Ihnen entwickelten Clientanwendungen.

Die MSAL bietet gegenüber der ADAL mehrere Vorteile, einschließlich der folgenden Features:

Features MSAL ADAL
Security
Sicherheitskorrekturen über Dezember 2022 hinaus Sicherheitskorrekturen nach Dezember 2022: MSAL bietet das Feature Sicherheitskorrekturen nach Dezember 2022: ADAL bietet das Feature nicht
Proaktives Aktualisieren und Widerrufen von Token basierend auf Richtlinien- oder kritischen Ereignissen für Microsoft Graph und andere APIs, die fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) unterstützen. Proaktives Aktualisieren und Widerrufen von Token basierend auf Richtlinien- oder kritischen Ereignissen für Microsoft Graph und andere APIs, die fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) unterstützen: MSAL bietet das Feature Proaktives Aktualisieren und Widerrufen von Token basierend auf Richtlinien- oder kritischen Ereignissen für Microsoft Graph und andere APIs, die fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) unterstützen: ADAL bietet das Feature nicht
Standards, die mit OAuth v2.0 und OpenID Connect (OIDC) kompatibel sind Standards, die mit OAuth v2.0 und OpenID Connect (OIDC) kompatibel sind: MSAL bietet das Feature Standards, die mit OAuth v2.0 und OpenID Connect (OIDC) kompatibel sind: ADAL bietet das Feature nicht
Benutzerkonten und -erfahrungen
Azure AD-Konten (Azure Active Directory) Azure AD-Konten (Azure Active Directory): MSAL bietet das Feature Azure AD-Konten (Azure Active Directory): ADAL bietet das Feature nicht
Microsoft-Konto (MSA) Microsoft-Konto (MSA): MSAL bietet das Feature Microsoft-Konto (MSA): ADAL bietet das Feature nicht
Azure AD B2C-Konten Azure AD B2C-Konten: MSAL bietet das Feature Azure AD B2C-Konten: ADAL bietet das Feature nicht
Beste Erfahrung beim einmaligen Anmelden Beste Erfahrung beim einmaligen Anmelden: MSAL bietet das Feature Beste Erfahrung beim einmaligen Anmelden: ADAL bietet das Feature nicht
Resilienz
Proaktive Tokenverlängerung Proaktive Tokenverlängerung: MSAL bietet das Feature Proaktive Tokenverlängerung: ADAL bietet das Feature nicht
Drosselung Drosselung: MSAL bietet das Feature Drosselung: ADAL bietet das Feature nicht

Zusätzliche Funktionen von MSAL gegenüber ADAL

  • Unterstützung des Authentifizierungsbrokers, gerätebasierte Richtlinie für bedingten Zugriff
  • Besitznachweistoken
  • Zertifikatbasierte Azure AD-Authentifizierung (Certificate-Based Authentication, CBA) auf mobilen Geräten
  • Systembrowser auf mobilen Geräten
  • Während ADAL nur eine Authentifizierungskontextklasse umfasst, bietet MSAL das Konzept einer Sammlung von Client-Apps (öffentlicher Client und vertraulicher Client).

AD FS-Unterstützung in MSAL.NET

Sie können MSAL.NET, MSAL Java und MSAL Python verwenden, um Token von Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) 2019 oder höher zu erhalten. Frühere Versionen von AD FS, einschließlich AD FS 2016, werden von MSAL nicht unterstützt.

Wenn Sie die Verwendung von AD FS fortsetzen müssen, sollten Sie ein Upgrade auf AD FS 2019 oder höher durchführen, bevor Sie Ihre Anwendungen von ADAL zu MSAL aktualisieren.

Migrieren zu MSAL

Bevor Sie mit der Migration beginnen, müssen Sie ermitteln, welche Ihrer Apps ADAL für die Authentifizierung verwenden. Führen Sie die Schritte in diesem Artikel aus, um eine Liste im Azure-Portal abzurufen:

Nachdem Sie Ihre Apps, die die ADAL verwenden, identifiziert haben, migrieren Sie sie wie unten dargestellt je nach Anwendungstyp zur MSAL.

Single-Page-Webanwendung (Single-Page-App, SPA)

MSAL unterstützt viele verschiedene Anwendungstypen und Szenarien. Weitere Informationen finden Sie im Artikel über die Unterstützung der Microsoft-Authentifizierungsbibliotheken für verschiedene Anwendungstypen.

Anleitungen zur Migration von ADAL zu MSAL für verschiedene Plattformen finden Sie unter den folgenden Links.

Hilfe zur Migration

Wenn Sie Fragen zur Migration Ihrer App von ADAL zu MSAL haben, finden Sie hier einige Optionen:

  • Posten Sie Ihre Frage unter Verwendung des Tags [azure-ad-adal-deprecation] auf Microsoft Q&A.
  • Öffnen Sie ein Issue im GitHub-Repository der Bibliothek. Links zum Repository der einzelnen Bibliotheken finden Sie im Übersichtsartikel zu MSAL im Abschnitt Sprachen und Frameworks.

Wenn Sie Ihre Anwendung in Partnerschaft mit einem unabhängigen Softwarehersteller (Independent Software Vendor, ISV) entwickelt haben, sollten sich direkt mit ihm in Verbindung setzen, um sich über seine Migrationsjourney zu MSAL zu informieren.

Nächste Schritte

Weitere Informationen zur MSAL, einschließlich Nutzungsinformationen und für verschiedene Programmiersprachen und Anwendungstypen verfügbarer Bibliotheken, finden Sie unter: