Jelszó nélküli hitelesítés támogatása FIDO2-kulcsokkal a fejlesztett alkalmazásokban

Ezek a konfigurációk és ajánlott eljárások segítenek elkerülni azokat a gyakori forgatókönyveket, amelyek megakadályozzák, hogy a FIDO2 jelszó nélküli hitelesítés elérhető legyen az alkalmazások felhasználói számára.

Általános ajánlott eljárások

Tartománymutatók

Ne használjon tartománymutatót az otthoni tartományfelderítés megkerüléséhez. Ez a funkció leegyszerűsíti a bejelentkezéseket, de előfordulhat, hogy az összevont identitásszolgáltató nem támogatja a jelszó nélküli hitelesítést.

Adott hitelesítő adatok megkövetelése

Ha SAML-t használ, ne adja meg, hogy jelszóra van szükség a RequestedAuthnContext elem használatával.

A RequestedAuthnContext elem megadása nem kötelező, ezért a probléma megoldásához eltávolíthatja azt az SAML-hitelesítési kérelmekből. Ez egy általános ajánlott eljárás, mivel ennek az elemnek a használata megakadályozhatja más hitelesítési lehetőségek, például a többtényezős hitelesítés megfelelő működését.

A legutóbb használt hitelesítési módszer használata

A rendszer először a felhasználó által legutóbb használt bejelentkezési módszert jeleníti meg. Ez zavart okozhat, ha a felhasználók úgy vélik, hogy az első lehetőséget kell használniuk. Választhatnak azonban egy másik lehetőséget is, ha kiválasztják a "Bejelentkezés egyéb módjai" lehetőséget az alább látható módon.

Image of the user authentication experience highlighting the button that allows the user to change the authentication method.

Platformspecifikus ajánlott eljárások

Asztali

A hitelesítés implementálásának ajánlott lehetőségei a következők:

  • A Microsoft Authentication Libraryt (MSAL) használó .NET asztali alkalmazásoknak a Windows Authentication Managert (WAM) kell használniuk. Ezt az integrációt és annak előnyeit a GitHub dokumentáljuk.
  • A WebView2 használatával támogatja a FIDO2-t beágyazott böngészőben.
  • Használja a rendszerböngészőt. Az asztali platformok MSAL-kódtárai alapértelmezés szerint ezt a módszert használják. A FIDO2 böngészőkompatibilitásról szóló oldalunkon ellenőrizheti, hogy a használt böngésző támogatja-e a FIDO2-hitelesítést.

Mobil

2021 februárjától a FIDO2 jelenleg nem támogatott natív iOS és Android alkalmazásokhoz, de fejlesztés alatt áll.

Az alkalmazások rendelkezésre állásának előkészítéséhez és általános ajánlott eljárásként iOS és Android alkalmazásoknak az MSAL-t kell használniuk a rendszer webböngészőjének alapértelmezett konfigurációjával.

Ha nem MSAL-t használ, akkor is a rendszer webböngészőt kell használnia a hitelesítéshez. Az olyan funkciók, mint az egyszeri bejelentkezés és a feltételes hozzáférés, a rendszer webböngészője által biztosított megosztott webes felületre támaszkodnak. Ez azt jelenti, hogy a Chrome egyéni lapjait (Android) vagy egy felhasználó webszolgáltatáson keresztüli hitelesítését | Az Apple fejlesztői dokumentációja (iOS).

Webes és egyoldalas alkalmazások

A FIDO2 jelszó nélküli hitelesítés webböngészőben futó alkalmazásokhoz való rendelkezésre állása a böngésző és a platform kombinációjától függ. A FIDO2 kompatibilitási mátrixban ellenőrizheti, hogy a felhasználók által észlelt kombináció támogatott-e.

Következő lépések

Jelszó nélküli hitelesítési lehetőségek Azure Active Directory