Supportare il Single Sign-On e i criteri di protezione delle app nelle app per dispositivi mobili sviluppate
Il Single Sign-On (SSO) è un'offerta chiave di Microsoft Identity Platform e Microsoft Entra ID, che garantisce accessi semplici e sicuri per gli utenti dell'app. Inoltre, i criteri di protezione delle app (APP) abilitano il supporto dei criteri di sicurezza chiave che mantengono al sicuro i dati dell'utente. Insieme, queste funzionalità proteggono gli accessi utente e la gestione dei dati dell'app.
Questo articolo spiega perché SSO e APP sono importanti e forniscono indicazioni di alto livello per la creazione di applicazioni per dispositivi mobili che supportano queste funzionalità. Ciò vale sia per le app per telefono sia per le app per tablet. Se si è un amministratore IT che vuole distribuire l'SSO nel tenant Microsoft Entra dell'organizzazione, vedere le nostre indicazioni per la pianificazione di una distribuzione di Single Sign-On
Informazioni sul Single Sign-On e i criteri di protezione delle app
Il Single Sign-On (SSO) consente a un utente di accedere una sola volta e di ottenere l'accesso ad altre applicazioni senza inserire di nuovo le credenziali. In questo modo, l'accesso alle app risulta più semplice e gli utenti non sono più costretti a ricordare lunghi elenchi di nomi utente e password. La distribuzione di un punto di accesso singolo semplifica l'accesso e l'uso dell'app.
Inoltre, sblocca nuovi meccanismi di autenticazione moderna, ad esempio gli accessi senza password. I nomi utente e le password sono uno dei vettori di attacco più diffusi delle applicazioni e l'abilitazione dell'SSO consente di attenuare questo rischio applicando l'accesso condizionale o gli accessi senza password, che garantiscono una maggiore sicurezza o si basano su meccanismi di autenticazione più sicuri. Infine, l'abilitazione del Single Sign-On abilita anche il Single Sign-Out. Questa opzione è utile in situazioni come le applicazioni di lavoro usate su dispositivi condivisi.
I criteri di protezione delle app (APP) assicurano che i dati di un'organizzazione rimangano sicuri e indipendenti. Consentono alle aziende di gestire e proteggere i dati all'interno di un'app e di controllare chi può accedere all'app e ai dati in essa contenuti. L'implementazione dei criteri di protezione delle app consente all'app di connettere gli utenti alle risorse protette dai criteri di accesso condizionale e di trasferire in modo sicuro i dati da e verso altre app protette. Gli scenari consentiti dai criteri di protezione delle app includono la possibilità di richiedere un PIN per aprire un'app, controllare la condivisione dei dati tra le app e impedire il salvataggio dei dati di app aziendali in percorsi di archiviazione personali.
Distribuzione del Single Sign-On
È consigliabile abilitare l'app per sfruttare il Single Sign-On.
Usare Microsoft Authentication Library (MSAL)
La scelta migliore per distribuire il Single Sign-On nell'applicazione è l'uso di Microsoft Authentication Library (MSAL). Tramite MSAL, è possibile aggiungere l'autenticazione all'app con codice e chiamate API minimi, ottenere le funzionalità complete di Microsoft Identity Platforme consentire a Microsoft di gestire la manutenzione di una soluzione di autenticazione sicura. Per impostazione predefinita, MSAL aggiunge il supporto SSO per l'applicazione. Inoltre, l'uso di MSAL è un requisito se si prevede di implementare anche i criteri di protezione delle app.
Nota
È possibile configurare MSAL per usare una visualizzazione Web incorporata. Ciò impedisce il Single Sign-On. Usare il comportamento predefinito (ovvero il Web browser di sistema) per assicurarsi che l'SSO funzioni.
Per le applicazioni iOS, è possibile consultare la nostra guida di avvio rapido, che spiega come configurare gli accessi con MSAL, e le nostre indicazioni per la configurazione di MSAL in vari scenari di SSO.
Per le applicazioni Android, è possibile consultare la nostra guida di avvio rapido, che spiega come configurare gli accessi con MSAL, e le nostre indicazioni per l'abilitazione dell'SSO in più app su Android tramite MSAL.
Usare il Web browser di sistema
Un Web browser è obbligatorio per l'autenticazione interattiva. Per le app per dispositivi mobili che usano librerie di autenticazione moderna diverse da MSAL (ovvero altre librerie OpenID Connect o SAML) o per le implementazioni di codici di autenticazione personali, è necessario usare il browser di sistema come superficie di autenticazione per l'abilitazione dell'SSO.
Google offre indicazioni per eseguire questa operazione nelle applicazioni Android: Schede personalizzate di Chrome - Google Chrome.
Apple offre indicazioni per eseguire questa operazione nelle applicazioni iOS: Autenticazione di un utente tramite un servizio Web | Documentazione per sviluppatori Apple.
Suggerimento
Il plug-in SSO per i dispositivi Apple consente l'SSO per le app iOS che usano visualizzazioni Web incorporate su dispositivi gestiti tramite Intune. MSAL e il browser di sistema sono consigliati come opzione migliore per lo sviluppo di app che abilitano l'SSO per tutti gli utenti, ma così facendo l'SSO sarà consentito in alcuni scenari in cui non sarebbe altrimenti possibile.
Abilitare i criteri di protezione dell'app
Per abilitare i criteri di protezione delle app, usare Microsoft Authentication Library (MSAL). MSAL è la libreria di autenticazione e autorizzazione di Microsoft Identity Platform e Intune SDK viene sviluppato per integrarne il funzionamento.
Inoltre, l'autenticazione richiede l'uso di un'app broker. Il broker richiede all'app di specificare le informazioni sull'applicazione e sul dispositivo per garantire la conformità dell'app. Gli utenti iOS useranno l'app Microsoft Authenticator e gli utenti Android useranno l'app Microsoft Authenticator o l'app Portale aziendale per l'autenticazione negoziata . Per impostazione predefinita, MSAL usa un broker come prima scelta per soddisfare una richiesta di autenticazione, quindi il broker sarà abilitato automaticamente per l'autenticazione dell'app quando si usa la soluzione MSAL pronta all'uso.
Infine, aggiungere Intune SDK all'app per abilitare i criteri di protezione delle app. Nella maggior parte dei casi, l'SDK segue un modello di intercettazione e applicherà automaticamente i criteri di protezione delle app per stabilire se le azioni eseguite dall'app sono consentite o meno. È anche possibile chiamare manualmente alcune API per comunicare all'app se sono presenti restrizioni per determinate azioni.