Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Konfigurasi dan praktik terbaik ini akan membantu Anda menghindari skenario umum yang memblokir autentikasi tanpa kata sandi FIDO2 agar tidak tersedia bagi pengguna aplikasi Anda.
Praktik terbaik umum
Petunjuk domain
Jangan gunakan petunjuk domain untuk melewati penemuan alam rumah. Fitur ini dimaksudkan untuk membuat login lebih efisien, tetapi penyedia identitas federasi mungkin tidak mendukung autentikasi tanpa kata sandi.
Memerlukan kredensial khusus
Jika Anda menggunakan SAML, jangan tentukan bahwa kata sandi diperlukan menggunakan elemen RequestedAuthnContext.
Elemen RequestedAuthnContext bersifat opsional, jadi untuk mengatasi masalah ini, Anda dapat menghapusnya dari permintaan autentikasi SAML Anda. Ini adalah praktik terbaik umum, karena menggunakan elemen ini juga dapat mencegah opsi autentikasi lain seperti autentikasi multifaktor berfungsi dengan benar.
Menggunakan metode autentikasi yang terakhir digunakan
Metode masuk yang terakhir digunakan oleh pengguna akan disajikan kepada mereka terlebih dahulu. Hal ini dapat menyebabkan kebingungan ketika pengguna yakin bahwa mereka harus menggunakan opsi pertama yang disajikan. Namun, mereka dapat memilih opsi lain dengan memilih "Cara lain untuk masuk" seperti yang ditunjukkan di bawah ini.
Praktik terbaik khusus platform
Windows
Opsi yang direkomendasikan untuk menerapkan autentikasi adalah, secara berurutan:
- Aplikasi desktop .NET yang menggunakan Microsoft Authentication Library (MSAL) harus menggunakan Windows Authentication Manager (WAM). Integrasi ini dan manfaatnya didokumentasikan di GitHub.
- Gunakan WebView2 untuk mendukung FIDO2 di browser yang disematkan.
- Gunakan browser sistem. Pustaka MSAL untuk platform desktop menggunakan metode ini secara default. Anda dapat berkonsultasi dengan halaman kami tentang kompatibilitas browser FIDO2 untuk memastikan browser yang Anda gunakan mendukung otentikasi FIDO2.
Android
FIDO2 didukung untuk aplikasi Android yang menggunakan MSAL dengan BROWSER sebagai agen pengguna otorisasi atau integrasi broker. Broker dikirimkan di Microsoft Authenticator, Portal Perusahaan, atau aplikasi Tautan ke Windows di Android.
Jika Anda tidak menggunakan MSAL, Anda masih harus menggunakan browser web sistem untuk autentikasi. Fitur seperti SSO dan Akses Bersyarat mengandalkan permukaan web bersama yang disediakan oleh browser web sistem.
iOS dan macOS
FIDO2 didukung untuk aplikasi iOS yang menggunakan MSAL dengan ASWebAuthenticationSession atau integrasi broker. Broker dikirimkan di Microsoft Authenticator di iOS, dan Microsoft Intune Company Portal di macOS.
Pastikan proxy jaringan Anda tidak memblokir validasi domain terkait oleh Apple. Autentikasi FIDO2 memerlukan validasi domain terkait Apple agar berhasil, yang mengharuskan domain Apple tertentu dikecualikan dari proxy jaringan. Untuk informasi selengkapnya, lihat Menggunakan produk Apple di jaringan perusahaan.
Jika Anda tidak menggunakan MSAL, Anda masih harus menggunakan browser web sistem untuk autentikasi. Fitur seperti SSO dan Akses Bersyarat mengandalkan permukaan web bersama yang disediakan oleh browser web sistem. Untuk informasi selengkapnya, lihat Mengautentikasi Pengguna Melalui Layanan Web | Dokumentasi Pengembang Apple.
Aplikasi web dan satu halaman
Ketersediaan otentikasi tanpa kata sandi FIDO2 untuk aplikasi yang berjalan di browser web akan tergantung pada kombinasi browser dan platform. Anda dapat berkonsultasi dengan matriks kompatibilitas FIDO2 kami untuk memeriksa apakah kombinasi yang akan ditemui pengguna Anda didukung.