Az egyszeri bejelentkezés és az alkalmazásvédelmi szabályzatok támogatása az Ön által fejlesztett mobilalkalmazásokban

Az egyszeri bejelentkezés (SSO) a Microsoft Identitásplatform és a Microsoft Entra-azonosító kulcsfontosságú ajánlata, amely egyszerű és biztonságos bejelentkezést biztosít az alkalmazás felhasználói számára. Emellett az alkalmazásvédelmi szabályzatok (APP) támogatják azokat a kulcsfontosságú biztonsági szabályzatokat, amelyek a felhasználó adatainak védelmét biztosítják. Ezek a funkciók együttesen lehetővé teszik a biztonságos felhasználói bejelentkezéseket és az alkalmazás adatainak kezelését.

Ez a cikk bemutatja, hogy miért fontosak az egyszeri bejelentkezés és az APP, és magas szintű útmutatást nyújt az ezeket a funkciókat támogató mobilalkalmazások létrehozásához. Ez a telefonos és a táblagépes alkalmazásokra is vonatkozik. Ha Ön rendszergazda, aki SSO-t szeretne üzembe helyezni a szervezet Microsoft Entra-bérlőjén, tekintse meg az egyetlen bejelentkezési üzembe helyezés megtervezéséhez szükséges útmutatót

Az egyszeri bejelentkezés és az alkalmazásvédelmi szabályzatok ismertetése

Az egyszeri bejelentkezés (SSO) lehetővé teszi, hogy a felhasználó egyszer jelentkezzen be, és a hitelesítő adatok újbóli megadása nélkül hozzáférjen más alkalmazásokhoz. Ez megkönnyíti az alkalmazások elérését, és szükségtelenné teszi, hogy a felhasználók hosszú felhasználóneveket és jelszavakat jegyezzenek fel. Az alkalmazás implementálása megkönnyíti az alkalmazás elérését és használatát.

Emellett az egyszeri bejelentkezés engedélyezése az alkalmazásban feloldja a modern hitelesítéssel rendelkező új hitelesítési mechanizmusokat, például a jelszó nélküli bejelentkezéseket. A felhasználónevek és jelszavak az alkalmazások elleni egyik legnépszerűbb támadási vektorok, és az egyszeri bejelentkezés engedélyezésével csökkentheti ezt a kockázatot a feltételes hozzáférés vagy a jelszó nélküli bejelentkezések kényszerítésével, amelyek extra biztonságot adnak, vagy biztonságosabb hitelesítési mechanizmusokra támaszkodnak. Végül az egyszeri bejelentkezés engedélyezése lehetővé teszi az egyszeri kijelentkezést is. Ez olyan helyzetekben hasznos, mint a megosztott eszközökön használt munkahelyi alkalmazások.

Alkalmazásvédelem szabályzatok (APP) biztosítják, hogy a szervezet adatai biztonságban és tárolva legyenek. Lehetővé teszik a vállalatok számára, hogy egy alkalmazáson belül kezeljék és védjék adataikat, és szabályozhatják, hogy ki férhet hozzá az alkalmazáshoz és az adataihoz. Az alkalmazásvédelmi szabályzatok implementálásával az alkalmazás összekapcsolhatja a felhasználókat a feltételes hozzáférési szabályzatokkal védett erőforrásokhoz, és biztonságosan továbbíthat adatokat más védett alkalmazásokba és alkalmazásokból. Az alkalmazásvédelmi szabályzatok által feloldott forgatókönyvek közé tartozik, hogy PIN-kód szükséges egy alkalmazás megnyitásához, az adatok alkalmazások közötti megosztásának szabályozásához, valamint a vállalati alkalmazásadatok személyes tárolóhelyekre való mentésének megakadályozásához.

Egyszeri bejelentkezés megvalósítása

Az alábbiakat javasoljuk, hogy az alkalmazás kihasználhassa az egyszeri bejelentkezés előnyeit.

A Microsoft Authentication Library (MSAL) használata

Az egyszeri bejelentkezés alkalmazásba való implementálásához a legjobb választás a Microsoft Authentication Library (MSAL) használata. Az MSAL használatával minimális kód- és API-hívásokkal adhat hozzá hitelesítést az alkalmazáshoz, lekérheti a Microsoft Identitásplatform teljes funkcióit, és lehetővé teheti, hogy a Microsoft kezelje a biztonságos hitelesítési megoldás karbantartását. Alapértelmezés szerint az MSAL SSO-támogatást ad az alkalmazáshoz. Emellett az MSAL használata követelmény, ha alkalmazásvédelmi szabályzatokat is tervez implementálni.

Feljegyzés

Az MSAL konfigurálható beágyazott webes nézet használatára. Ez megakadályozza az egyszeri bejelentkezést. Az SSO működésének biztosításához használja az alapértelmezett viselkedést (azaz a rendszer webböngészőjét).

IOS-alkalmazások esetén egy rövid útmutatónk bemutatja, hogyan állíthat be bejelentkezéseket az MSAL használatával, és útmutatást nyújt az MSAL konfigurálásához különböző SSO-forgatókönyvekhez.

Android-alkalmazások esetén egy rövid útmutatónk bemutatja, hogyan állíthat be bejelentkezéseket az MSAL használatával, és útmutatást nyújt az alkalmazások közötti egyszeri bejelentkezés engedélyezéséhez Androidon az MSAL használatával.

A rendszer webböngészőjének használata

Az interaktív hitelesítéshez webböngésző szükséges. Az MSAL-tól eltérő modern hitelesítési kódtárakat (más OpenID-Csatlakozás vagy SAML-kódtárakat) használó mobilalkalmazások esetében, vagy ha saját hitelesítési kódot implementál, a rendszerböngészőt kell használnia hitelesítési felületként az egyszeri bejelentkezés engedélyezéséhez.

A Google útmutatást nyújt ehhez az Android-alkalmazásokban: Chrome Egyéni lapok – Google Chrome.

Az Apple útmutatást nyújt ehhez az iOS-alkalmazásokban: Felhasználó hitelesítése webszolgáltatáson keresztül | Az Apple fejlesztői dokumentációja.

Tipp.

Az Apple-eszközök SSO beépülő modulja lehetővé teszi az SSO használatát olyan iOS-alkalmazásokhoz, amelyek beágyazott webes nézeteket használnak felügyelt eszközökön az Intune-nal. Javasoljuk, hogy az MSAL és a rendszerböngésző legyen a legjobb megoldás olyan alkalmazások fejlesztéséhez, amelyek minden felhasználó számára engedélyezik az egyszeri bejelentkezést, de ez lehetővé teszi az egyszeri bejelentkezést olyan esetekben, ahol egyébként nem lehetséges.

Alkalmazásvédelmi szabályzatok engedélyezése

Az alkalmazásvédelmi szabályzatok engedélyezéséhez használja a Microsoft Authentication Library (MSAL) szolgáltatást. Az MSAL a Microsoft Identitásplatform hitelesítési és engedélyezési kódtára, és az Intune SDK-t úgy fejlesztették ki, hogy együttműködjön vele.

Emellett egy közvetítőalkalmazást is használnia kell a hitelesítéshez. A közvetítő megköveteli az alkalmazástól, hogy alkalmazás- és eszközinformációkat adjon meg az alkalmazás megfelelőségének biztosítása érdekében. Az iOS-felhasználók a Microsoft Authenticator alkalmazást fogják használni, az Android-felhasználók pedig a Microsoft Authenticator alkalmazást vagy a Céges portál alkalmazást használják a közvetítőalapú hitelesítéshez. Alapértelmezés szerint az MSAL egy közvetítőt használ elsőként egy hitelesítési kérés teljesítéséhez, így a közvetítő hitelesítésre való használata automatikusan engedélyezve lesz az alkalmazás számára az MSAL házon kívül történő használatakor.

Végül adja hozzá az Intune SDK-t az alkalmazáshoz az alkalmazásvédelmi szabályzatok engedélyezéséhez. A legtöbb esetben az SDK egy elfogó modellt követ, és automatikusan alkalmazásvédelmi szabályzatokat alkalmaz annak megállapítására, hogy az alkalmazás által végrehajtott műveletek engedélyezettek-e vagy sem. Vannak olyan API-k is, amelyeket manuálisan hívhat meg, hogy jelezhesse az alkalmazásnak, ha bizonyos műveletekre korlátozások vonatkoznak.

Kapcsolódó tartalom

• A Microsoft Entra egyszeri bejelentkezési üzembe helyezésének megtervezése
• Útmutató: Egyszeri bejelentkezés konfigurálása macOS és iOS rendszeren
• Bevezetés a Microsoft Intune App SDK használatába