Fase 2: MSAL-vereisten en -installatie
De Intune App SDK maakt gebruik van de Microsoft Authentication Library voor de scenario's voor verificatie en voorwaardelijk starten. Het is ook afhankelijk van MSAL om de gebruikersidentiteit te registreren bij de MAM-service voor beheer zonder apparaatinschrijvingsscenario's.
Opmerking
Deze handleiding is onderverdeeld in verschillende fasen. Bekijk eerst Fase 1: De integratie plannen.
Fasedoelen
- Registreer uw toepassing met Microsoft Entra ID.
- Integreer MSAL in uw iOS-toepassing.
- Controleer of uw toepassing een token kan verkrijgen dat toegang verleent tot beveiligde resources.
Registratie van een Microsoft Entra-app instellen en configureren
MSAL vereist dat apps worden geregistreerd bij Microsoft Entra ID en een unieke client-id en omleidings-URI maken om de beveiliging van de tokens te garanderen die aan de app zijn verleend. Als uw toepassing al GEBRUIKMAAKT van MSAL voor de eigen verificatie, moet er al een Microsoft Entra-app-registratie/client-id/omleidings-URI aan de app zijn gekoppeld.
Als uw app nog geen gebruikmaakt van MSAL, moet u een app-registratie configureren in Microsoft Entra ID en de client-id en omleidings-URI opgeven die de Intune SDK moet gebruiken.
Als uw app momenteel gebruikmaakt van ADAL om gebruikers te verifiëren, raadpleegt u Toepassingen migreren naar MSAL voor iOS en macOS voor meer informatie over het migreren van uw app van ADAL naar MSAL.
Het wordt aanbevolen om uw app te koppelen aan de nieuwste versie van MSAL.
MSAL koppelen aan uw project
Volg de installatiesectie om de binaire MSAL-bestanden in uw app te plaatsen.
MSAL configureren
Volg de configuratiesectie om MSAL te configureren. Zorg ervoor dat u alle stappen in de configuratiesectie volgt. Negeer stap één als uw app al is geregistreerd in Microsoft Entra ID.
De onderstaande punten bevatten aanvullende informatie om MSAL te configureren en er een koppeling naar te maken. Volg deze als ze van toepassing zijn op uw toepassing.
- Als voor uw app geen toegangsgroepen voor sleutelhangers zijn gedefinieerd, voegt u de bundel-id van de app toe als de eerste groep.
- Schakel MSAL-eenmalige aanmelding (SSO) in door toe te voegen aan
com.microsoft.adalcache
de sleutelhangertoegangsgroepen. - Als u de sleutelhangergroep voor de gedeelde MSAL-cache expliciet instelt, controleert u of deze is ingesteld op
<appidprefix>.com.microsoft.adalcache
. MSAL stelt dit voor u in, tenzij u dit overschrijft. Als u een aangepaste sleutelhangergroep wilt opgeven die moet worden vervangencom.microsoft.adalcache
, geeft u dat op in het bestand Info.plist onder IntuneMAMSettings, met behulp van de sleutelADALCacheKeychainGroupOverride
.
MSAL-instellingen configureren voor de Intune App SDK
Zodra een app-registratie is geconfigureerd voor uw toepassing in Microsoft Entra ID, kunt u de Intune App SDK configureren om de instellingen van uw app-registratie te gebruiken tijdens verificatie met Microsoft Entra ID. Zie Instellingen configureren voor de Intune App SDK voor informatie over het invullen van de volgende instellingen:
- ADALClientId
- ADALAuthority
- ADALRedirectUri
- ADALRedirectScheme
- ADALCacheKeychainGroupOverride
De volgende configuraties zijn vereist:
Geef in het bestand Info.plist van het project onder de woordenlijst IntuneMAMSettings met de sleutelnaam
ADALClientId
de client-id op die moet worden gebruikt voor MSAL-aanroepen.Als de registratie van de Microsoft Entra-app die is toegewezen aan de client-id die is geconfigureerd in stap 1, is geconfigureerd voor gebruik in slechts één Microsoft Entra-tenant, configureert u de
ADALAuthority
sleutel onder de intuneMAMSettings-woordenlijst in het bestand Info.plist van de toepassing. Geef de Microsoft Entra-instantie op die door MSAL moet worden gebruikt voor het verkrijgen van tokens voor de Intune Mobile Application Management-service.Geef ook onder de woordenlijst IntuneMAMSettings met de sleutelnaam
ADALRedirectUri
de omleidings-URI op die moet worden gebruikt voor MSAL-aanroepen. U kunt ook in plaats daarvan opgevenADALRedirectScheme
of de omleidings-URI van de toepassing de indelingscheme://bundle_id
heeft.Apps kunnen deze Microsoft Entra-instellingen ook tijdens runtime overschrijven. Hiervoor stelt u de
aadAuthorityUriOverride
eigenschappen ,aadClientIdOverride
en inaadRedirectUriOverride
voor deIntuneMAMSettings
klasse.Zorg ervoor dat de stappen voor het verlenen van machtigingen voor uw iOS-app aan de Intune Mam-service (Mobile App Management) zijn gevolgd. Gebruik de instructies in de handleiding Aan de slag met de Intune SDK onder Uw app toegang geven tot de Intune Mobile App Management-service.
Opmerking
Als het app-beveiligingsbeleid betrekking heeft op beheerde apparaten, moet u ook een app-configuratieprofiel maken van de toepassing waarop Intune is geïntegreerd.
De Info.plist-benadering wordt aanbevolen voor alle instellingen die statisch zijn en niet tijdens runtime hoeven te worden bepaald. Waarden die tijdens runtime aan de
IntuneMAMSettings
klasse-eigenschappen zijn toegewezen, hebben voorrang op de bijbehorende waarden die zijn opgegeven in de Info.plist en blijven behouden, zelfs nadat de app opnieuw is opgestart. De SDK blijft deze gebruiken voor beleidscontroles totdat de gebruiker is uitgeschreven of de waarden zijn gewist of gewijzigd.
Speciale overwegingen bij het gebruik van MSAL voor door de app geïnitieerde verificatie
Het wordt aanbevolen dat toepassingen geen SFSafariViewController, SFAuththenticationSession of ASWebAuthenticationSession gebruiken als hun webweergave voor door apps geïnitieerde interactieve MSAL-verificatiebewerkingen. STANDAARD maakt MSAL gebruik van ASWebAuthenticationSession, dus app-ontwikkelaars moeten het webweergavetype expliciet instellen op WKWebView. Als uw app om een of andere reden een ander webweergavetype dan WKWebView moet gebruiken voor interactieve MSAL-verificatiebewerkingen, moet deze ook worden ingesteld SafariViewControllerBlockedOverride
op true
onder de IntuneMAMSettings
woordenlijst in de Info.plist van de toepassing.
Waarschuwing
Hiermee worden de SafariViewController-hooks van Intune uitgeschakeld om de verificatiesessie in te schakelen. Dit doet risicogegevenslekken elders in de app als de toepassing SafariViewController gebruikt om bedrijfsgegevens te bekijken, zodat de toepassing geen bedrijfsgegevens in een van deze webweergavetypen mag weergeven.
Afsluitcriteria
- Hebt u uw app geregistreerd op de registratiepagina van de Microsoft Entra-app?
- Hebt u MSAL geïntegreerd in uw toepassing?
- Hebt u brokerverificatie ingeschakeld door een omleidings-URI te genereren en deze in te stellen in het MSAL-configuratiebestand?
- Hebt u ervoor gezorgd dat de vereiste configuratie-informatie voor MSAL in uw IntuneMAMSettings-woordenlijst overeenkomt met die in uw Microsoft Entra App-registraties?
Veelgestelde vragen
Hoe zit het met ADAL?
De vorige verificatiebibliotheek van Microsoft, Azure Active Directory Authentication Library (ADAL), is afgeschaft.
Als uw toepassing ADAL al heeft geïntegreerd, raadpleegt u Uw toepassingen bijwerken om Microsoft Authentication Library (MSAL) te gebruiken. Zie Toepassingen migreren naar MSAL voor iOS en macOS om uw app te migreren van ADAL naar MSAL
Het wordt aanbevolen om te migreren van ADAL naar MSAL voordat u de Intune App SDK integreert.
Volgende stappen
Nadat u alle bovenstaande afsluitcriteria hebt voltooid, gaat u verder met Fase 3: Intune SDK-integratie in uw iOS-app.