Dar suporte a políticas de logon único e proteção de aplicativos ao desenvolver aplicativos
O SSO (logon único) é uma das principais ofertas da plataforma de identidade da Microsoft e do Microsoft Entra ID, fornecendo logons fáceis e seguros para os usuários de seu aplicativo. Além disso, as APPs (políticas de proteção de aplicativos) habilitam o suporte das principais políticas de segurança que mantêm os dados dos usuários seguros. Juntos, esses recursos trazem segurança aos logons dos usuários e ao gerenciamento de dados do aplicativo.
Este artigo explica por que o SSO e a APP são importantes e fornece as diretrizes gerais para a criação de aplicativos móveis com suporte para esses recursos. Isso se aplica a aplicativos para telefone e tablet. Se você é um administrador de TI que deseja implantar o SSO no locatário do Microsoft Entra da sua organização, confira as diretrizes para planejar uma implantação de logon único
Sobre políticas de proteção de aplicativos e de logon único
O SSO (logon único) permite que um usuário entre uma vez e tenha acesso a outros aplicativos sem inserir as credenciais novamente. Isso facilita o acesso a aplicativos e elimina a necessidade de os usuários se lembrarem de longas listas de nomes de usuário e senhas. Implementá-lo em seu aplicativo facilita o acesso e o uso dele.
Além disso, habilitar o logon único no aplicativo desbloqueia novos mecanismos de autenticação que vêm com autenticação moderna, como logons sem senha. Nomes de usuário e senhas são um dos vetores de ataque contra aplicativos mais populares, e habilitar o SSO permite reduzir esse risco impondo acesso condicional ou logons sem senha que adicionam segurança extra ou dependem de mecanismos de autenticação mais seguros. Por fim, habilitar o logon único também habilita a saída única, que é útil, por exemplo, no contexto de aplicativos de trabalho que serão usados em dispositivos compartilhados.
As APPs (políticas de proteção de aplicativos) garantem que os dados de uma organização permaneçam seguros e contidos. Elas permitem que as empresas gerenciem e protejam seus dados em um aplicativo e permitem controlar quem pode acessar o aplicativo os dados dele. A implementação das políticas de proteção de aplicativos permite que seu aplicativo conecte usuários a recursos protegidos por políticas de Acesso Condicional e transfira dados com segurança para e de outros aplicativos protegidos. Os cenários possibilitados pelas políticas de proteção de aplicativos incluem exigir um PIN para abrir um aplicativo, controlar o compartilhamento de dados entre aplicativos e impedir que dados dos aplicativos da empresa sejam salvos em locais de armazenamento pessoal.
Implementando o logon único
Recomendamos que você faça o seguinte para permitir que o aplicativo tire proveito do logon único.
Usar a MSAL (Biblioteca de Autenticação da Microsoft)
A melhor opção para implementar o logon único no aplicativo é usar a MSAL (Biblioteca de Autenticação da Microsoft). Usando a MSAL, você pode adicionar autenticação ao aplicativo com o mínimo de código e chamadas à API, obter todos os recursos da plataforma de identidade da Microsoft e deixar que a Microsoft cuide da manutenção de uma solução de autenticação segura. Por padrão, a MSAL adiciona suporte de SSO ao aplicativo. Além disso, o uso da MSAL é um requisito se você também planeja implementar políticas de proteção de aplicativos.
Observação
É possível configurar a MSAL para usar uma exibição da Web inserida. Isso impedirá o logon único. Use o comportamento padrão (ou seja, o navegador da Web do sistema) para garantir que o SSO funcione.
Para aplicativos iOS, temos um início rápido que mostra como configurar entradas usando a MSAL e diretrizes para configurar a MSAL para diversos cenários de SSO.
Para aplicativos Android, temos um guia de início rápido que mostra como configurar entradas usando a MSAL, bem como diretrizes de como habilitar o SSO entre aplicativos no Android usando a MSAL.
Usar o navegador da Web do sistema
É obrigatório o uso de um navegador da Web na autenticação interativa. Para aplicativos móveis que usam bibliotecas de autenticação modernas diferentes da MSAL (ou seja, outras bibliotecas do OpenID Connect ou de SAML), ou se você implementa seu código de autenticação, use o navegador do sistema como superfície de autenticação para habilitar o SSO.
O Google tem diretrizes de como fazer isso em Aplicativos Android: Guias Personalizadas do Chrome – Google Chrome.
A Apple tem diretrizes de como fazer isso em aplicativos iOS: Autenticando um Usuário em um Serviço Web Documentação do Desenvolvedor da Apple.
Dica
O plug-in de SSO para dispositivos Apple permite o SSO para aplicativos iOS que usam exibições da Web inseridas em dispositivos gerenciados usando o Intune. Recomendamos a MSAL e o navegador do sistema como a melhor opção para desenvolver aplicativos que habilitam o SSO para todos os usuários, mas isso permitirá o SSO em alguns cenários em que, caso contrário, ele não seria possível.
Habilitar políticas de proteção de aplicativos
Para habilitar as políticas de proteção de aplicativos, use a MSAL (Biblioteca de Autenticação da Microsoft). A MSAL é a biblioteca de autenticação e autorização da plataforma de identidade da Microsoft e o SDK do Intune foi desenvolvido para trabalhar em conjunto com ela.
Além disso, você deve precisa um aplicativo de agente para autenticação. O agente exige que o aplicativo forneça informações sobre o aplicativo e o dispositivo para garantir a conformidade do aplicativo. Usuários do iOS usarão o aplicativo Microsoft Authenticator e usuários do Android usarão o aplicativo Microsoft Authenticator ou o aplicativo Portal da Empresa para a autenticação agenciada. Por padrão, a MSAL usa um agente como a primeira opção para atender a uma solicitação de autenticação, portanto, o uso do agente para autenticação será habilitado automaticamente para seu aplicativo ao usar a MSAL pronta para uso.
Por fim, adicione o SDK do Intune ao aplicativo para habilitar as políticas de proteção de aplicativos. Na maior parte, o SDK segue um modelo de interceptação e aplicará automaticamente políticas de proteção de aplicativos para determinar se as ações que o aplicativo está executando são permitidas. Também há APIs que você pode chamar manualmente para informar ao aplicativo se há restrições para determinadas ações.