Obsługa zasad logowania jednokrotnego i ochrony aplikacji w opracowywanych aplikacjach mobilnych
Logowanie jednokrotne to kluczowa oferta Platforma tożsamości Microsoft i identyfikatora Entra firmy Microsoft, która zapewnia łatwe i bezpieczne logowania dla użytkowników aplikacji. Ponadto zasady ochrony aplikacji (APP) umożliwiają obsługę kluczowych zasad zabezpieczeń, które zapewniają bezpieczeństwo danych użytkownika. Te funkcje umożliwiają bezpieczne logowanie użytkowników i zarządzanie danymi aplikacji.
W tym artykule wyjaśniono, dlaczego logowanie jednokrotne i aplikacja są ważne i zawiera ogólne wskazówki dotyczące tworzenia aplikacji mobilnych, które obsługują te funkcje. Dotyczy to zarówno aplikacji na telefon, jak i tablet. Jeśli jesteś administratorem IT, który chce wdrożyć logowanie jednokrotne w dzierżawie firmy Microsoft Entra w organizacji, zapoznaj się z naszymi wskazówkami dotyczącymi planowania wdrożenia logowania jednokrotnego
Informacje o zasadach logowania jednokrotnego i ochrony aplikacji
Logowanie jednokrotne (SSO) umożliwia użytkownikowi logowanie się raz i uzyskiwanie dostępu do innych aplikacji bez konieczności ponownego wprowadzania poświadczeń. Ułatwia to uzyskiwanie dostępu do aplikacji i eliminuje potrzebę zapamiętania długich list nazw użytkowników i haseł. Zaimplementowanie jej w aplikacji ułatwia uzyskiwanie dostępu do aplikacji i korzystanie z niej.
Ponadto włączenie logowania jednokrotnego w aplikacji umożliwia odblokowanie nowych mechanizmów uwierzytelniania, które są wyposażone w nowoczesne uwierzytelnianie, takie jak logowanie bez hasła. Nazwy użytkowników i hasła są jednym z najpopularniejszych wektorów ataków przeciwko aplikacjom, a włączenie logowania jednokrotnego pozwala ograniczyć to ryzyko, wymuszając dostęp warunkowy lub logowania bez hasła, które dodają dodatkowe zabezpieczenia lub polegają na bezpieczniejszych mechanizmach uwierzytelniania. Na koniec włączenie logowania jednokrotnego umożliwia również wylogowanie jednokrotne. Jest to przydatne w sytuacjach takich jak aplikacje służbowe, które będą używane na udostępnionych urządzeniach.
Ochrona aplikacji zasady (APP) zapewniają, że dane organizacji pozostają bezpieczne i zawarte. Umożliwiają firmom zarządzanie danymi w aplikacji i ich ochronę oraz kontrolowanie, kto może uzyskiwać dostęp do aplikacji i jej danych. Implementowanie zasad ochrony aplikacji umożliwia aplikacji łączenie użytkowników z zasobami chronionymi przez zasady dostępu warunkowego i bezpieczne przesyłanie danych do i z innych chronionych aplikacji. Scenariusze odblokowane przez zasady ochrony aplikacji obejmują wymaganie numeru PIN otwarcia aplikacji, kontrolowania udostępniania danych między aplikacjami oraz zapobiegania zapisywaniu danych aplikacji firmowych w osobistych lokalizacjach przechowywania.
Implementowanie logowania jednokrotnego
Zalecamy wykonanie poniższych czynności, aby umożliwić aplikacji korzystanie z logowania jednokrotnego.
Korzystanie z biblioteki Microsoft Authentication Library (MSAL)
Najlepszym wyborem do zaimplementowania logowania jednokrotnego w aplikacji jest użycie biblioteki Microsoft Authentication Library (MSAL). Korzystając z biblioteki MSAL, możesz dodać uwierzytelnianie do aplikacji z minimalnym kodem i wywołaniami interfejsu API, uzyskać pełne funkcje Platforma tożsamości Microsoft i umożliwić firmie Microsoft obsługę konserwacji bezpiecznego rozwiązania uwierzytelniania. Domyślnie biblioteka MSAL dodaje obsługę logowania jednokrotnego dla aplikacji. Ponadto użycie biblioteki MSAL jest wymagane, jeśli planujesz również zaimplementować zasady ochrony aplikacji.
Uwaga
Istnieje możliwość skonfigurowania biblioteki MSAL do korzystania z osadzonego widoku internetowego. Uniemożliwi to logowanie jednokrotne. Użyj domyślnego zachowania (czyli systemowej przeglądarki internetowej), aby upewnić się, że logowanie jednokrotne będzie działać.
W przypadku aplikacji systemu iOS mamy przewodnik Szybki start pokazujący, jak skonfigurować logowania przy użyciu biblioteki MSAL oraz wskazówki dotyczące konfigurowania biblioteki MSAL dla różnych scenariuszy logowania jednokrotnego.
W przypadku aplikacji systemu Android mamy przewodnik Szybki start pokazujący, jak skonfigurować logowania przy użyciu biblioteki MSAL oraz wskazówki dotyczące włączania logowania jednokrotnego między aplikacjami w systemie Android przy użyciu biblioteki MSAL.
Korzystanie z systemowej przeglądarki internetowej
Przeglądarka internetowa jest wymagana do uwierzytelniania interakcyjnego. W przypadku aplikacji mobilnych korzystających z nowoczesnych bibliotek uwierzytelniania innych niż BIBLIOTEKA MSAL (czyli innych bibliotek OpenID Połączenie lub SAML) lub w przypadku implementowania własnego kodu uwierzytelniania należy użyć przeglądarki systemowej jako powierzchni uwierzytelniania w celu włączenia logowania jednokrotnego.
Google ma wskazówki dotyczące wykonywania tych czynności w aplikacjach dla systemu Android: karty niestandardowe dla programu Chrome — Google Chrome.
Firma Apple ma wskazówki dotyczące wykonywania tej czynności w aplikacjach systemu iOS: uwierzytelnianie użytkownika za pośrednictwem usługi internetowej | Dokumentacja dla deweloperów firmy Apple.
Napiwek
Wtyczka logowania jednokrotnego dla urządzeń firmy Apple umożliwia logowanie jednokrotne dla aplikacji systemu iOS korzystających z osadzonych widoków internetowych na urządzeniach zarządzanych przy użyciu usługi Intune. Zalecamy bibliotekę MSAL i przeglądarkę systemową jako najlepszą opcję tworzenia aplikacji, które umożliwiają logowanie jednokrotne dla wszystkich użytkowników, ale umożliwi to logowanie jednokrotne w niektórych scenariuszach, w których w przeciwnym razie nie jest to możliwe.
Włączanie zasad ochrony aplikacji
Aby włączyć zasady ochrony aplikacji, użyj biblioteki Microsoft Authentication Library (MSAL). Biblioteka MSAL to biblioteka uwierzytelniania i autoryzacji Platforma tożsamości Microsoft, a zestaw SDK usługi Intune jest opracowywany w celu współpracy z nią.
Ponadto do uwierzytelniania należy użyć aplikacji brokera. Broker wymaga od aplikacji podania informacji o aplikacji i urządzeniu w celu zapewnienia zgodności aplikacji. Użytkownicy systemu iOS będą używać aplikacji Microsoft Authenticator, a użytkownicy systemu Android będą używać aplikacji Microsoft Authenticator lub aplikacji Portal firmy do uwierzytelniania obsługiwanego przez brokera. Domyślnie biblioteka MSAL używa brokera jako pierwszego wyboru do spełnienia żądania uwierzytelniania, więc użycie brokera do uwierzytelniania zostanie automatycznie włączone dla aplikacji podczas korzystania z gotowego do użycia biblioteki MSAL.
Na koniec dodaj zestaw SDK usługi Intune do aplikacji, aby włączyć zasady ochrony aplikacji. Zestaw SDK w większości przypadków jest zgodny z modelem przechwytywania i automatycznie zastosuje zasady ochrony aplikacji, aby określić, czy działania wykonywane przez aplikację są dozwolone, czy nie. Istnieją również interfejsy API, które można wywołać ręcznie, aby poinformować aplikację, czy istnieją ograniczenia dotyczące niektórych akcji.