Ofereça suporte ao logon único e políticas de proteção de aplicativos em aplicativos móveis que você desenvolve
O logon único (SSO) é uma oferta fundamental da plataforma de identidade da Microsoft e do Microsoft Entra ID, fornecendo logins fáceis e seguros para os usuários do seu aplicativo. Além disso, as políticas de proteção de aplicativos (APP) permitem o suporte às principais políticas de segurança que mantêm os dados do usuário seguros. Juntos, esses recursos permitem logins de usuários seguros e o gerenciamento dos dados do seu aplicativo.
Este artigo explica por que SSO e APP são importantes e fornece a orientação de alto nível para a criação de aplicativos móveis que suportam esses recursos. Isto aplica-se a aplicações para telemóveis e tablets. Se você for um administrador de TI que deseja implantar o SSO no locatário do Microsoft Entra da sua organização, confira nossas orientações para planejar uma implantação de logon único
Sobre as políticas de logon único e proteção de aplicativos
O logon único (SSO) permite que um usuário entre uma vez e obtenha acesso a outros aplicativos sem reinserir credenciais. Isso facilita o acesso aos aplicativos e elimina a necessidade de os usuários se lembrarem de longas listas de nomes de usuário e senhas. Implementá-lo em seu aplicativo facilita o acesso e o uso do aplicativo.
Além disso, habilitar o logon único em seu aplicativo desbloqueia novos mecanismos de autenticação que vêm com a autenticação moderna, como logins sem senha. Nomes de usuário e senhas são um dos vetores de ataque mais populares contra aplicativos, e habilitar o SSO permite que você reduza esse risco impondo acesso condicional ou logins sem senha que adicionam segurança extra ou dependem de mecanismos de autenticação mais seguros. Por fim, habilitar o logon único também permite o logon único. Isso é útil em situações como aplicativos de trabalho que serão usados em dispositivos compartilhados.
As políticas de proteção de aplicativos (APP) garantem que os dados de uma organização permaneçam seguros e contidos. Eles permitem que as empresas gerenciem e protejam seus dados dentro de um aplicativo e permitem o controle sobre quem pode acessar o aplicativo e seus dados. A implementação de políticas de proteção de aplicativos permite que seu aplicativo conecte usuários a recursos protegidos por políticas de Acesso Condicional e transfira dados com segurança de e para outros aplicativos protegidos. Os cenários desbloqueados pelas políticas de proteção de aplicativos incluem exigir um PIN para abrir um aplicativo, controlar o compartilhamento de dados entre aplicativos e impedir que os dados de aplicativos da empresa sejam salvos em locais de armazenamento pessoal.
Implementando o logon único
Recomendamos o seguinte para permitir que seu aplicativo aproveite o logon único.
Usar a Biblioteca de Autenticação da Microsoft (MSAL)
A melhor opção para implementar o logon único em seu aplicativo é usar a Biblioteca de Autenticação da Microsoft (MSAL). Usando o MSAL, você pode adicionar autenticação ao seu aplicativo com o mínimo de código e chamadas de API, obter todos os recursos da plataforma de identidade da Microsoft e permitir que a Microsoft lide com a manutenção de uma solução de autenticação segura. Por padrão, o MSAL adiciona suporte a SSO para seu aplicativo. Além disso, usar o MSAL é um requisito se você também planeja implementar políticas de proteção de aplicativos.
Nota
É possível configurar o MSAL para usar uma visualização da Web incorporada. Isso impedirá o logon único. Use o comportamento padrão (ou seja, o navegador da Web do sistema) para garantir que o SSO funcione.
Para aplicativos iOS, temos um início rápido que mostra como configurar entradas usando o MSAL e orientações para configurar o MSAL para vários cenários de SSO.
Para aplicativos Android, temos um início rápido que mostra como configurar logins usando o MSAL e orientações sobre como habilitar o SSO entre aplicativos no Android usando o MSAL.
Usar o navegador da Web do sistema
Um navegador da Web é necessário para autenticação interativa. Para aplicativos móveis que usam bibliotecas de autenticação modernas diferentes do MSAL (ou seja, outras bibliotecas OpenID Connect ou SAML), ou se você implementar seu próprio código de autenticação, use o navegador do sistema como superfície de autenticação para habilitar o SSO.
O Google tem orientações para fazer isso em aplicativos Android: Chrome Custom Tabs - Google Chrome.
A Apple tem orientações para fazer isso em aplicativos iOS: Autenticando um usuário por meio de um serviço Web | Documentação do desenvolvedor da Apple.
Gorjeta
O plug-in SSO para dispositivos Apple permite o SSO para aplicações iOS que utilizam vistas Web incorporadas em dispositivos geridos com o Intune. Recomendamos o MSAL e o navegador do sistema como a melhor opção para desenvolver aplicativos que habilitam o SSO para todos os usuários, mas isso permitirá o SSO em alguns cenários onde de outra forma não é possível.
Ativar políticas de proteção de aplicativos
Para habilitar as políticas de proteção de aplicativos, use a Biblioteca de Autenticação da Microsoft (MSAL). O MSAL é a biblioteca de autenticação e autorização da plataforma de identidade da Microsoft e o SDK do Intune é desenvolvido para funcionar em conjunto com ela.
Além disso, você deve usar um aplicativo de corretor para autenticação. O corretor exige que o aplicativo forneça informações do aplicativo e do dispositivo para garantir a conformidade do aplicativo. Os usuários do iOS usarão o aplicativo Microsoft Authenticator e os usuários do Android usarão o aplicativo Microsoft Authenticator ou o aplicativo Portal da Empresa para autenticação intermediada. Por padrão, o MSAL usa um broker como sua primeira opção para atender a uma solicitação de autenticação, portanto, usar o broker para autenticar será habilitado para seu aplicativo automaticamente ao usar o MSAL pronto para uso.
Por fim, adicione o SDK do Intune ao seu aplicativo para habilitar as políticas de proteção do aplicativo. O SDK, na maioria das vezes, segue um modelo de intercetação e aplicará automaticamente políticas de proteção do aplicativo para determinar se as ações que o aplicativo está tomando são permitidas ou não. Há também APIs que você pode chamar manualmente para informar ao aplicativo se há restrições em determinadas ações.