Mendukung kebijakan akses menyeluruh dan perlindungan aplikasi di aplikasi seluler yang Anda kembangkan
Akses menyeluruh (SSO) adalah penawaran utama platform identitas Microsoft dan ID Microsoft Entra, menyediakan login yang mudah dan aman untuk pengguna aplikasi Anda. Selain itu, kebijakan perlindungan aplikasi (APP) memungkinkan dukungan terhadap kebijakan keamanan utama yang menjaga keamanan data pengguna Anda. Bersama-sama, fitur ini memungkinkan proses masuk pengguna yang aman dan manajemen data aplikasi Anda.
Artikel ini menjelaskan mengapa SSO dan APP penting, dan memberikan panduan tingkat tinggi untuk membangun aplikasi seluler yang mendukung fitur-fitur ini. Ini berlaku untuk aplikasi ponsel dan tablet. Jika Anda adalah administrator TI yang ingin menyebarkan SSO di seluruh penyewa Microsoft Entra organisasi Anda, lihat panduan kami untuk merencanakan penyebaran akses menyeluruh
Tentang kebijakan akses menyeluruh dan perlindungan aplikasi
Akses menyeluruh (SSO) memungkinkan pengguna untuk masuk sekali dan mendapatkan akses ke aplikasi lain tanpa harus memasukkan ulang kredensial. Ini membuat akses aplikasi lebih mudah, dan pengguna tidak perlu mengingat daftar panjang nama pengguna dan kata sandi. Menerapkannya di aplikasi lebih memudahkan akses dan penggunaan aplikasi Anda.
Selain itu, mengaktifkan akses menyeluruh di aplikasi Anda membuka mekanisme autentikasi baru yang disertakan dengan autentikasi modern, seperti masuk tanpa kata sandi. Nama pengguna dan kata sandi adalah salah satu vektor serangan paling populer terhadap aplikasi, dan mengaktifkan SSO memungkinkan Anda mengurangi risiko ini dengan memberlakukan Akses Bersyariah atau masuk tanpa kata sandi yang menambahkan keamanan tambahan atau mengandalkan mekanisme autentikasi yang lebih aman. Terakhir, mengaktifkan akses menyeluruh juga memungkinkan keluar menyeluruh. Ini berguna dalam situasi seperti aplikasi kerja yang akan digunakan pada perangkat bersama.
Kebijakan perlindungan aplikasi (APP) memastikan bahwa data organisasi tetap aman dan dimuat. Ini memungkinkan perusahaan untuk mengelola dan melindungi data mereka dalam aplikasi dan memungkinkan kontrol atas siapa saja yang dapat mengakses aplikasi dan datanya. Menerapkan kebijakan perlindungan aplikasi memungkinkan aplikasi Anda untuk menghubungkan pengguna ke sumber daya yang dilindungi oleh kebijakan Akses Bersyarat, dan mentransfer data dengan aman ke dan dari aplikasi terlindungi lainnya. Skenario dibuka oleh kebijakan perlindungan aplikasi, termasuk mewajibkan PIN untuk membuka aplikasi, mengontrol berbagi data antar aplikasi, dan mencegah data aplikasi perusahaan disimpan ke lokasi penyimpanan pribadi.
Menerapkan akses menyeluruh
Kami sarankan langkah berikut ini agar aplikasi Anda dapat memanfaatkan akses menyeluruh.
Menggunakan Microsoft Authentication Library (MSAL)
Pilihan terbaik untuk menerapkan akses menyeluruh di aplikasi Anda adalah menggunakan Microsoft Authentication Library (MSAL). Dengan menggunakan MSAL Anda dapat menambahkan autentikasi ke aplikasi Anda dengan kode minimal dan panggilan API, mendapatkan fitur lengkap platform identitas Microsoft, dan biarkan Microsoft menangani pemeliharaan solusi autentikasi yang aman. Secara default, MSAL menambahkan dukungan SSO untuk aplikasi Anda. Selain itu, menggunakan MSAL adalah persyaratan jika Anda juga berencana untuk menerapkan kebijakan perlindungan aplikasi.
Catatan
Dimungkinkan untuk mengonfigurasi MSAL untuk menggunakan tampilan web yang disematkan. Ini akan mencegah akses menyeluruh. Menggunakan perilaku default (yaitu, browser web sistem) untuk memastikan bahwa SSO akan berfungsi.
Untuk aplikasi iOS, kami memiliki mulai cepat yang menunjukkan kepada Anda cara menyiapkan rincian masuk menggunakan MSAL, dan panduan untuk mengonfigurasi MSAL untuk berbagai skenario SSO.
Untuk aplikasi Android, kami memiliki mulai cepat yang menunjukkan kepada Anda cara menyiapkan masuk menggunakan MSAL, serta panduan tentang cara mengaktifkan SSO lintas aplikasi di Android menggunakan MSAL.
Menggunakan browser web sistem
Browser web diperlukan untuk autentikasi interaktif. Untuk aplikasi seluler yang menggunakan pustaka autentikasi modern selain MSAL (yaitu, pustaka OpenID Connect atau SAML lainnya), atau jika Anda menerapkan kode autentikasi sendiri, Anda harus menggunakan browser sistem sebagai permukaan autentikasi Anda untuk mengaktifkan SSO.
Google memiliki panduan untuk melakukan ini di Aplikasi Android: Tab Kustom Chrome - Google Chrome.
Apple memiliki panduan untuk melakukan ini di aplikasi iOS: Mengautentikasi Pengguna Melalui Layanan Web | Dokumentasi Pengembang Apple.
Tip
Plug-in SSO untuk perangkat Apple memungkinkan SSO untuk app iOS yang menggunakan tampilan web tersemat di perangkat terkelola menggunakan Intune. Kami merekomendasikan MSAL dan browser sistem sebagai opsi terbaik untuk mengembangkan aplikasi yang memungkinkan SSO untuk semua pengguna, tetapi ini akan mengizinkan SSO dalam beberapa skenario di mana sebaliknya tidak memungkinkan.
Aktifkan Kebijakan Perlindungan Aplikasi
Untuk mengaktifkan kebijakan perlindungan aplikasi, gunakan Microsoft Authentication Library (MSAL). MSAL adalah pustaka autentikasi dan otorisasi platform identitas Microsoft, dan SDK Intune dikembangkan untuk bekerja bersama dengan MSAL.
Selain itu, Anda harus menggunakan aplikasi broker untuk autentikasi. Broker mewajibkan aplikasi untuk memberikan informasi aplikasi dan perangkat untuk memastikan kepatuhan aplikasi. Pengguna iOS harus menggunakan aplikasi Microsoft Authenticator, dan pengguna Android harus menggunakan aplikasi Microsoft Authenticator atau aplikasi Intune Company Portal untuk autentikasi menggunakan broker. Secara default, MSAL menggunakan broker sebagai pilihan pertamanya untuk memenuhi permintaan autentikasi, jadi menggunakan broker untuk mengautentikasi akan diaktifkan untuk aplikasi Anda secara otomatis saat menggunakan MSAL secara default.
Terakhir, tambahkan SDK Intune ke aplikasi Anda untuk mengaktifkan kebijakan perlindungan aplikasi. SDK untuk sebagian besar mengikuti model intersepsi, dan akan secara otomatis menerapkan kebijakan perlindungan aplikasi, untuk menentukan apakah tindakan yang diambil aplikasi diizinkan atau tidak. Juga tersedia API yang dapat Anda hubungi secara manual untuk memberi tahu aplikasi jika ada pembatasan pada tindakan tertentu.