Bagikan melalui


Dukungan autentikasi tanpa kata sandi dengan kunci FIDO2 di aplikasi yang Anda kembangkan

Konfigurasi dan praktik terbaik ini akan membantu Anda menghindari skenario umum yang memblokir autentikasi tanpa kata sandi FIDO2 agar tidak tersedia bagi pengguna aplikasi Anda.

Praktik terbaik umum

Petunjuk domain

Jangan gunakan petunjuk domain untuk melewati home-realm discovery. Fitur ini dimaksudkan untuk menjadikan proses masuk yang lebih efisien, tetapi penyedia identitas federasi mungkin tidak mendukung autentikasi tanpa kata sandi.

Memerlukan kredensial tertentu

Jika Anda menggunakan SAML, jangan tentukan bahwa kata sandi diperlukan menggunakan elemen RequestedAuthnContext.

Elemen RequestedAuthnContext bersifat opsional, jadi untuk mengatasi masalah ini, Anda dapat menghapusnya dari permintaan autentikasi SAML Anda. Ini adalah praktik terbaik umum, karena menggunakan elemen ini juga dapat mencegah opsi autentikasi lain seperti autentikasi multifaktor bekerja dengan benar.

Menggunakan metode autentikasi yang terakhir digunakan

Metode masuk yang baru-baru ini digunakan oleh pengguna akan disajikan kepada mereka terlebih dahulu. Ini dapat menyebabkan kebingungan ketika pengguna merasa bahwa mereka harus menggunakan opsi pertama yang disajikan. Namun, mereka dapat memilih opsi lain dengan memilih "Cara lain untuk masuk" seperti yang ditunjukkan di bawah ini.

Image of the user authentication experience highlighting the button that allows the user to change the authentication method.

Praktik terbaik khusus platform

Desktop

Opsi yang disarankan untuk menerapkan autentikasi adalah, secara berurutan:

  • Aplikasi desktop .NET yang menggunakan Microsoft Authentication Library (MSAL) harus menggunakan Windows Authentication Manager (WAM). Integrasi ini dan manfaatnya didokumentasikan di GitHub.
  • Gunakan WebView2 untuk mendukung FIDO2 di browser tersemat.
  • Menggunakan browser sistem. Pustaka MSAL untuk platform desktop menggunakan metode ini secara default. Anda dapat berkonsultasi dengan halaman kami tentang kompatibilitas browser FIDO2, untuk memastikan browser yang Anda gunakan mendukung autentikasi FIDO2.

Seluler

FIDO2 didukung untuk aplikasi iOS asli yang menggunakan MSAL dengan INTEGRASI ASWebAuthenticationSession atau broker. Broker dikirim di Microsoft Authenticator di iOS, dan Microsoft Intune Company Portal di macOS.

Pastikan proksi jaringan Anda tidak memblokir validasi domain terkait oleh Apple. Autentikasi FIDO2 mengharuskan validasi domain terkait Apple berhasil, yang mengharuskan domain Apple tertentu dikecualikan dari proksi jaringan. Untuk informasi selengkapnya, lihat Menggunakan produk Apple di jaringan perusahaan.

Dukungan FIDO2 untuk aplikasi Android asli saat ini sedang dalam pengembangan.

Jika Anda tidak menggunakan MSAL, Anda masih harus menggunakan browser web sistem untuk autentikasi. Fitur seperti akses menyeluruh dan Akses Bersyarat mengandalkan permukaan web bersama yang disediakan oleh browser web sistem. Ini berarti menggunakan Tab Kustom Chrome (Android) atau Mengautentikasi Pengguna Melalui Layanan Web | Dokumentasi Pengembang Apple (iOS).

Aplikasi web dan satu halaman

Ketersediaan autentikasi tanpa kata sandi FIDO2 untuk aplikasi yang berjalan di browser web, akan tergantung pada kombinasi browser dan platform. Anda dapat berkonsultasi dengan matriks kompatibilitas FIDO2 kami, untuk memeriksa apakah kombinasi yang akan dihadapi pengguna Anda didukung.

Langkah berikutnya

Opsi autentikasi tanpa kata sandi untuk Microsoft Entra ID