Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: 
Externe Mandanten (weitere Informationen)
Mit der nativen Authentifizierung von Microsoft Entra können Sie die volle Kontrolle über das Design Ihres Anmeldevorgangs für Mobile- und Desktopanwendungen haben. Im Gegensatz zu browserbasierten Lösungen können Sie mit der nativen Authentifizierung visuell ansprechende, pixelgenaue Authentifizierungsbildschirme erstellen, die nahtlos in die Benutzeroberfläche Ihrer App integriert werden. Mit diesem Ansatz können Sie die Benutzeroberfläche u. a. mit Designelementen, Logoplatzierung und Layout vollständig anpassen, um ein einheitliches Branding sicherzustellen.
Der standardmäßige Anmeldevorgang für Apps, der auf einer vom Browser delegierten Authentifizierung beruht, führt häufig zu einem unterbrechenden Übergang während der Authentifizierung. Benutzer werden zur Authentifizierung zunächst vorübergehend zu einem Systembrowser weitergeleitet und dann nach Abschluss des Anmeldeprozesses zurück zur App geleitet.
Während die browserdelegierte Authentifizierung Vorteile bietet, z. B. reduzierte Angriffsvektoren und Unterstützung für einmaliges Anmelden (Single Sign-On, SSO), bietet sie eingeschränkte Anpassungsoptionen für die Benutzeroberfläche.
Verfügbare Authentifizierungsmethoden
Derzeit unterstützt die native Authentifizierung den lokalen Kontoidentitätsanbieter für zwei Authentifizierungsmethoden:
- Anmeldung mit per Email gesendetem Einmal-Passcode (OTP)
- Anmeldung mit E-Mail und Kennwort mit Unterstützung für die Self-Service-Kennwortzurücksetzung (SSPR)
Die native Authentifizierung unterstützt noch keine Verbundidentitätsanbieter wie Social-Media- oder Unternehmensidentitäten.
Anwendungsszenarien für die native Authentifizierung
Wenn es um die Implementierung der Authentifizierung für mobile und Desktop-Apps auf External ID geht, haben Sie zwei Möglichkeiten:
- Microsoft gehostete browserdelegierte Authentifizierung.
- Vollständig benutzerdefinierte, SDK-basierte native Authentifizierung.
Der gewählte Ansatz hängt von den spezifischen Anforderungen Ihrer App ab. Obwohl jede App über eigene Authentifizierungsanforderungen verfügt, gibt es einige allgemeine Überlegungen, die Sie berücksichtigen sollten. Unabhängig davon, ob Sie systemeigene Authentifizierung oder browserdelegierte Authentifizierung auswählen, unterstützt Microsoft Entra External ID beide.
Einen parallelen Vergleich der beiden Ansätze, einschließlich Feature-Verfügbarkeit, unterstützter Sprachen und Frameworks, User Experience, Anpassungen und Sicherheitskompromisse, finden Sie im Abschnitt "Auswahl eines Authentifizierungsansatzes".
So aktivieren Sie die native Authentifizierung
Überprüfen Sie zunächst die Richtlinien für die Verwendung der systemeigenen Authentifizierung. Führen Sie dann eine interne Diskussion mit der unternehmensbesitzenden Person, dem Designer- und Entwicklungsteam Ihrer Anwendung, um festzustellen, ob eine native Authentifizierung erforderlich ist.
Wenn Ihr Team feststellt, dass die systemeigene Authentifizierung für Ihre Anwendung erforderlich ist, führen Sie die folgenden Schritte aus, um die systemeigene Authentifizierung im Microsoft Entra Admin Center zu aktivieren:
- Melden Sie sich beim Microsoft Entra Admin Center an.
- Navigieren Sie zu App-Registrierungen und wählen Sie die App-Registrierung aus, für die Sie öffentliche Client- und systemeigene Authentifizierungsflüsse aktivieren möchten.
- Wählen Sie unter Verwalten die Option Authentifizierung aus.
- Aktivieren Sie unter Erweiterte Einstellungen die Option zum Zulassen öffentlicher Clientflows:
- Wählen Sie für Folgende Mobilgerät- und Desktopflows aktivieren die Option Ja aus.
- Wählen Sie für Native Authentifizierung aktivieren die Option Ja aus.
- Klicken Sie auf die Schaltfläche Speichern.
Aktualisieren Ihres Konfigurationscodes
Nachdem Sie die systemeigenen Authentifizierungs-APIs im Admin Center aktiviert haben, müssen Sie den Konfigurationscode Ihrer Anwendung dennoch aktualisieren, um systemeigene Authentifizierungsflüsse für Android oder iOS/macOS zu unterstützen. Dazu müssen Sie das Feld „Aufforderungstyp“ zu Ihrer Konfiguration hinzufügen. Abfragetypen sind eine Liste der Werte, die die App verwendet, um Microsoft Entra über die von ihr unterstützte Authentifizierungsmethode zu benachrichtigen. Weitere Informationen zu systemeigenen Authentifizierungsabfragetypen finden Sie in systemeigenen Authentifizierungsabfragetypen. Wenn die Konfiguration nicht aktualisiert wird, um systemeigene Authentifizierungskomponenten zu integrieren, können die systemeigenen Authentifizierungs-SDKs und APIs nicht verwendet werden.
Sicherheitsüberlegungen für die systemeigene Authentifizierung
Die native Authentifizierung gibt Ihrem Entwicklungsteam die vollständige Kontrolle über die Authentifizierungserfahrung. Mit diesem Steuerelement liegt die Verantwortung, die bewährten Methoden der Sicherheit in der Implementierung Ihrer App zu befolgen, z. B. sichere Tokenverarbeitung und Transportsicherheit (HTTPS).
Einmaliges Anmelden (Single Sign-On, SSO)
Die native Authentifizierung unterstützt einmaliges Anmelden (Single Sign-On, SSO) für eingebettete Webansichten. Auf diese Weise können sich Benutzer einmal über die Benutzeroberfläche der nativen App anmelden und dann auf Webressourcen zugreifen, die in einer eingebetteten Webansicht (z. B. unter iOS oder WKWebView android) gehostet werden, WebView ohne dass eine zweite Anmeldeaufforderung auftritt.
Die App erreicht dies, indem ein Zugriffstoken mithilfe des Native Auth SDK oder der nativen Authentifizierungs-API abgerufen und über den Authorization Header in die HTTP-Anforderung der Webansicht eingefügt wird. Die Webressource überprüft das Token und richtet eine Sitzung ein und bietet einen nahtlosen Übergang von der nativen Benutzeroberfläche zu Webinhalten.
Implementierungsschritte finden Sie unter Implementieren des einmaligen Anmeldens von nativen Apps in eingebettete Webansichten.
Note
App-übergreifendes SSO über Systembrowser wird bei nativer Authentifizierung nicht unterstützt.
So verwenden Sie die native Authentifizierung
Sie können Apps erstellen, die native Authentifizierung verwenden, indem Sie unsere nativen Authentifizierungs-APIs oder das Microsoft Authentication Library (MSAL) (MSAL)-SDK für Android, iOS, macOS und Webanwendungen verwenden. Wir empfehlen, möglichst MSAL zum Hinzufügen der nativen Authentifizierung zu Ihren Apps zu verwenden.
Weitere Informationen zu systemeigenen Authentifizierungsbeispielen und Lernprogrammen finden Sie in der folgenden Tabelle:
| Sprache/ Plattform |
Schnellstart | Anleitung zur Implementierung und Integration |
|---|---|---|
| Android (Kotlin) | • Anmelden von Benutzern | • Anmelden von Benutzern |
| iOS (Swift) | • Anmelden von Benutzern | • Anmelden von Benutzern |
| macOS (Swift) | • Anmelden von Benutzern | • Anmelden von Benutzern |
| React (Next.js) | • Schnellstart | • Anleitungen |
| Angular | • Schnellstart | • Anleitungen |
Wenn Sie planen, eine mobile App in einem Framework zu erstellen, das derzeit von MSAL nicht unterstützt wird, können Sie unsere Authentifizierungs-API verwenden. Weitere Informationen finden Sie in der Referenz zur nativen Authentifizierungs-API.