Встроенная проверка подлинности в Внешняя идентификация Microsoft Entra
Область применения: 
клиенты рабочей силы внешние
клиенты (дополнительные сведения)
Встроенная проверка подлинности Microsoft Entra позволяет полностью контролировать проектирование возможностей входа в мобильное и классическое приложение. В отличие от решений на основе браузера, собственная проверка подлинности позволяет создавать визуально привлекательные экраны проверки подлинности с идеальной пиксельной проверкой подлинности, которые легко смешиваются с интерфейсом приложения. Благодаря этому подходу можно полностью настроить пользовательский интерфейс, включая элементы дизайна, размещение логотипа и макет, обеспечивая согласованный и фирменный вид.
Стандартный процесс входа в приложение, который зависит от делегированной браузером проверки подлинности, часто приводит к нарушению перехода во время проверки подлинности. Пользователи временно перенаправляются в системный браузер для проверки подлинности, только чтобы вернуться в приложение после завершения входа.
Хотя делегированная браузером проверка подлинности обеспечивает такие преимущества, как сокращенные векторы атак и поддержка единого входа( единый вход), он предлагает ограниченные параметры настройки пользовательского интерфейса и плохое взаимодействие с пользователем.
Доступные методы проверки подлинности
В настоящее время собственная проверка подлинности поддерживает поставщик удостоверений локальной учетной записи для двух методов проверки подлинности:
- Электронная почта с одноразовым секретным кодом (OTP).
- Вход электронной почты и пароля с поддержкой самостоятельного сброса пароля (SSPR).
Встроенная проверка подлинности пока не поддерживает федеративные поставщики удостоверений, такие как социальные или корпоративные удостоверения.
Когда следует использовать собственную проверку подлинности
Когда речь идет о реализации проверки подлинности для мобильных и классических приложений на внешнем идентификаторе, у вас есть два варианта:
- Делегированная браузером проверка подлинности, размещенная корпорацией Майкрософт.
- Полностью настраиваемая проверка подлинности на основе собственного пакета SDK.
Выбранный подход зависит от конкретных требований вашего приложения. Хотя каждое приложение имеет уникальные требования к проверке подлинности, следует учитывать некоторые распространенные аспекты. Независимо от того, выбираете ли вы собственную проверку подлинности или делегированную браузером проверку подлинности, Внешняя идентификация Microsoft Entra поддерживает оба из них.
В следующей таблице сравниваются два метода проверки подлинности, которые помогут вам выбрать правильный вариант для приложения.
| Делегированная браузером проверка подлинности | Собственная проверка подлинности | |
|---|---|---|
| Взаимодействие с проверкой подлинности пользователей | Пользователи отправляются в системный браузер или внедренный браузер для проверки подлинности только для перенаправления обратно в приложение после завершения входа. Этот метод рекомендуется, если перенаправление не влияет на взаимодействие с конечным пользователем. | Пользователи имеют богатый, собственный путь регистрации и входа, не покидая приложение. |
| Настройка | Управляемые параметры фирменной символики и настройки доступны в качестве встроенной функции. | Этот подход, ориентированный на API, обеспечивает высокий уровень настройки, обеспечивая обширную гибкость в проектировании и возможности создания специализированных взаимодействий и потоков. |
| Применимость | Подходит для рабочих ресурсов, приложений B2B и B2C, его можно использовать для собственных приложений, одностраничных приложений и веб-приложений. | Для клиентских приложений, когда одна и та же сущность управляет сервером авторизации и приложением, а пользователь воспринимает их как одну и ту же сущность. |
| Динамическая работа | Низкая. Используйте его прямо из коробки. | Высокая. Разработчик создает, владеет и поддерживает интерфейс проверки подлинности. |
| Усилия по обслуживанию | Низкая. | Высокая. Для каждой функции, выпущенной корпорацией Майкрософт, необходимо обновить пакет SDK для его использования. |
| Безопасность | Самый безопасный вариант. | Ответственность за безопасность предоставляется разработчикам, и следует следовать рекомендациям. Это подвержено фишинговым атакам. |
| Поддерживаемые языки и платформы |
|
|
Доступность функций
В следующей таблице показана доступность функций для делегированной браузера и собственной проверки подлинности.
| Делегированная браузером проверка подлинности | Собственная проверка подлинности | |
|---|---|---|
| Регистрация и вход с помощью одноразового секретного кода электронной почты (OTP) | ✔️ | ✔️ |
| Регистрация и вход с помощью электронной почты и пароля | ✔️ | ✔️ |
| Самостоятельный сброс пароля (SSPR) | ✔️ | ✔️ |
| Поставщик пользовательских утверждений | ✔️ | ✔️ |
| Вход поставщика удостоверений социальных удостоверений | ✔️ | ❌ |
| Многофакторная проверка подлинности с помощью однократного секретного кода электронной почты (OTP) | ✔️ | ❌ |
| Многофакторная проверка подлинности с помощью SMS | ✔️ | ❌ |
| Единый вход (SSO) | ✔️ | ❌ |
Включение собственной проверки подлинности
Сначала ознакомьтесь с приведенными выше рекомендациями по использованию собственной проверки подлинности. Затем у вас есть внутренняя дискуссия с владельцем вашего приложения, дизайнером и командой разработки, чтобы определить, требуется ли собственная проверка подлинности.
Если ваша команда определила, что собственная проверка подлинности необходима для приложения, выполните следующие действия, чтобы включить собственную проверку подлинности в Центре администрирования Microsoft Entra:
- Войдите в центр администрирования Microsoft Entra.
- Перейдите к приложениям> Регистрация приложений и выберите свое приложение.
- Перейдите к проверке подлинности и выберите вкладку "Параметры".
- Выберите поле "Разрешить собственную проверку подлинности " и поле "Разрешить общедоступный поток клиента".
После включения встроенной проверки подлинности и разрешения общедоступного потока клиента обновите код конфигурации соответствующим образом.
Обновление кода конфигурации
После включения собственных API проверки подлинности в Центре администрирования вам по-прежнему необходимо обновить код конфигурации приложения для поддержки собственных потоков проверки подлинности для Android или iOS/macOS. Для этого необходимо добавить поле типа вызова в конфигурацию. Типы вызовов — это список значений, которые приложение использует для уведомления Microsoft Entra о методе проверки подлинности, который он поддерживает. Дополнительные сведения о типах вызовов для собственной проверки подлинности см. здесь. Если конфигурация не обновляется для интеграции компонентов собственной проверки подлинности, пакеты SDK и API для собственной проверки подлинности не будут использоваться.
Риск включения собственной проверки подлинности
Встроенная проверка подлинности Microsoft Entra не поддерживает единый вход (SSO), а ответственность за обеспечение безопасности приложения лежит в вашей команде разработчиков.
Использование собственной проверки подлинности
Вы можете создавать приложения, использующие собственную проверку подлинности, с помощью собственных API проверки подлинности или пакета SDK библиотеки проверки подлинности Майкрософт (MSAL) для Android и iOS/macOS. По возможности рекомендуется использовать MSAL для добавления собственной проверки подлинности в приложения.
Дополнительные сведения о примерах и руководствах по собственной проверке подлинности см. в следующей таблице.
| Язык/ Платформа |
Руководство по образцу кода | Руководство по сборке и интеграции |
|---|---|---|
| Android (Kotlin) | • Выполнение входа пользователей | • Выполнение входа пользователей |
| iOS (Swift) | • Выполнение входа пользователей | • Выполнение входа пользователей |
| macOS (Swift) | • Выполнение входа пользователей | • Выполнение входа пользователей |
Если вы планируете создать приложение на платформе, не поддерживаемой MSAL, вы можете использовать наш API проверки подлинности. Дополнительные сведения см. в этой справочной статье по API.
Связанный контент
- Руководства по собственной проверке подлинности Android.
- Руководства по собственной проверке подлинности iOS.
- Руководства по собственной проверке подлинности macOS.
- Документация по API собственной проверки подлинности.