Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Essas configurações e práticas recomendadas ajudarão você a evitar cenários comuns que impedem que a autenticação sem senha FIDO2 esteja disponível para os usuários de seus aplicativos.
Práticas recomendadas gerais
Dicas de domínio
Não use uma dica de domínio para ignorar a descoberta do realm inicial. Esse recurso destina-se a tornar as entradas mais simplificadas, mas o provedor de identidade federado pode não oferecer suporte à autenticação sem senha.
Exigindo credenciais específicas
Se você estiver usando SAML, não especifique que uma senha é necessária usando o elemento RequestedAuthnContext.
O elemento RequestedAuthnContext é opcional, portanto, para resolver esse problema, você pode removê-lo de suas solicitações de autenticação SAML. Essa é uma prática recomendada geral, pois o uso desse elemento também pode impedir que outras opções de autenticação, como a autenticação multifator, funcionem corretamente.
Usando o método de autenticação usado mais recentemente
O método de entrada usado mais recentemente por um usuário será apresentado a ele primeiro. Isso pode causar confusão quando os usuários acreditam que devem usar a primeira opção apresentada. No entanto, eles podem escolher outra opção selecionando "Outras maneiras de entrar", conforme mostrado abaixo.
Práticas recomendadas específicas da plataforma
Windows
As opções recomendadas para implementar a autenticação são, em ordem:
- Os aplicativos da área de trabalho .NET que estão usando a MSAL (Biblioteca de Autenticação da Microsoft) devem usar o WAM (Gerenciador de Autenticação do Windows). Essa integração e seus benefícios estão documentados no GitHub.
- Use o WebView2 para dar suporte ao FIDO2 em um navegador incorporado.
- Use o navegador do sistema. As bibliotecas MSAL para plataformas de área de trabalho usam esse método por padrão. Você pode consultar nossa página sobre compatibilidade do navegador FIDO2 para garantir que o navegador que você usa suporta a autenticação FIDO2.
Andróide
O FIDO2 tem suporte para aplicativos Android que usam MSAL com BROWSER como a integração de agente ou agente de usuário de autorização . O Broker é enviado no Microsoft Authenticator, Portal da Empresa ou Link para o aplicativo Windows no Android.
Se você não estiver usando a MSAL, ainda deverá usar o navegador da Web do sistema para autenticação. Recursos como SSO e Acesso Condicional dependem de uma superfície da Web compartilhada fornecida pelo navegador da Web do sistema.
iOS e macOS
O FIDO2 tem suporte para aplicativos iOS que usam MSAL com ASWebAuthenticationSession ou integração de agente. O Broker é enviado no Microsoft Authenticator no iOS e no Portal da Empresa do Microsoft Intune no macOS.
Certifique-se de que seu proxy de rede não bloqueie a validação de domínio associada pela Apple. A autenticação FIDO2 requer que a validação de domínio associada da Apple seja bem-sucedida, o que exige que determinados domínios da Apple sejam excluídos dos proxies de rede. Para obter mais informações, consulte Use produtos Apple em redes corporativas.
Se você não estiver usando a MSAL, ainda deverá usar o navegador da Web do sistema para autenticação. Recursos como SSO e Acesso Condicional dependem de uma superfície da Web compartilhada fornecida pelo navegador da Web do sistema. Para obter mais informações, consulte Autenticando um usuário por meio de um serviço Web | Documentação do desenvolvedor da Apple.
Aplicativos da Web e de página única
A disponibilidade da autenticação sem senha FIDO2 para aplicativos executados em um navegador da Web dependerá da combinação de navegador e plataforma. Você pode consultar nossa matriz de compatibilidade FIDO2 para verificar se a combinação que seus usuários encontrarão é compatível.