Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется: 
Внешние клиенты (дополнительные сведения)
Встроенная проверка подлинности Microsoft Entra позволяет полностью контролировать дизайн процесса входа в систему для вашего мобильного и настольного приложения. В отличие от решений на основе браузера, нативная проверка подлинности позволяет создавать визуально привлекательные, идеально точно выполненные экраны проверки подлинности, которые легко интегрируются в интерфейс вашего приложения. Благодаря этому подходу можно полностью настроить пользовательский интерфейс, включая элементы дизайна, размещение логотипа и макет, обеспечивая согласованный и фирменный вид.
Стандартный процесс входа в приложение, который зависит от браузерной проверки подлинности, часто приводит к сбою во время проверки подлинности. Пользователи временно перенаправляются в системный браузер для проверки подлинности, только чтобы вернуться в приложение после завершения входа.
Хотя делегированная браузером проверка подлинности обеспечивает такие преимущества, как сокращенные векторы атак и поддержка единого входа, он предлагает ограниченные параметры настройки пользовательского интерфейса.
Доступные методы проверки подлинности
В настоящее время поставщик удостоверения локальной учетной записи поддерживает два метода проверки подлинности: встроенную проверку подлинности.
- Электронная почта для входа с одноразовым паролем (ОТП).
- Вход с использованием адреса электронной почты и пароля с поддержкой сброса пароля в режиме самообслуживания (SSPR).
Встроенная проверка подлинности пока не поддерживает федеративные поставщики удостоверений, такие как социальные или корпоративные удостоверения.
Когда следует использовать собственную проверку подлинности
Когда речь заходит о внедрении аутентификации для мобильных и настольных приложений на External ID, у вас есть два варианта:
- Проверка подлинности, делегированная через браузер и размещенная Microsoft.
- Полностью настраиваемая проверка подлинности на основе собственного пакета SDK.
Выбранный подход зависит от конкретных требований вашего приложения. Хотя каждое приложение имеет уникальные требования к проверке подлинности, следует учитывать некоторые распространенные аспекты. Независимо от того, выбираете ли вы собственную проверку подлинности или делегированную браузером проверку подлинности, Microsoft Entra External ID поддерживает оба из них.
В следующей таблице сравниваются два метода проверки подлинности, которые помогут вам выбрать правильный вариант для приложения.
| Делегированная браузером проверка подлинности | Встроенная аутентификация | |
|---|---|---|
| Опыт проверки подлинности пользователей | Пользователи отправляются в системный браузер или внедренный браузер для проверки подлинности только для перенаправления обратно в приложение после завершения входа. Этот метод рекомендуется, если перенаправление не влияет на взаимодействие с конечным пользователем. | Пользователи имеют богатый, собственный путь регистрации и входа, не покидая приложение. |
| Опыт настройки | Управляемые параметры фирменной символики и настройки доступны в качестве встроенной функции. | Этот подход, ориентированный на API, обеспечивает высокий уровень настройки, обеспечивая обширную гибкость в проектировании и возможности создания специализированных взаимодействий и потоков. |
| Применимость | Подходит для рабочих ресурсов, приложений B2B и B2C, его можно использовать для собственных приложений, одностраничных приложений и веб-приложений. | Для клиентских приложений, когда одна и та же сущность управляет сервером авторизации и приложением, а пользователь воспринимает их как одну и ту же сущность. |
| Усилия по запуску | Низко. Используйте его прямо из коробки. | Высоко. Разработчик создает, владеет и поддерживает интерфейс проверки подлинности. |
| Усилия по обслуживанию | Низко. | Высоко. Для каждой возможности, которую Microsoft выпускает, необходимо обновить пакет SDK для их использования. |
| Безопасность | Самый безопасный вариант. | Ответственность за безопасность предоставляется разработчикам, и следует следовать рекомендациям. Это подвержено фишинговым атакам. |
| Поддерживаемые языки и платформы |
|
|
Доступность функций
В следующей таблице показано, какие функции доступны для делегированной браузером и родной проверки подлинности.
| Делегированная браузером проверка подлинности | Встроенная аутентификация | |
|---|---|---|
| Регистрация и вход с помощью одноразового секретного кода электронной почты (OTP) | ✔️ | ✔️ |
| Регистрация и вход с помощью электронной почты и пароля | ✔️ | ✔️ |
| Вход с помощью электронной почты и пароля может использовать имя пользователя (псевдоним) и пароль | ✔️ | ✔️ |
| Самостоятельный сброс пароля (SSPR) | ✔️ | ✔️ |
| Поставщик пользовательских требований | ✔️ | ✔️ |
| Многофакторная проверка подлинности с помощью однократного секретного кода электронной почты (OTP) | ✔️ | ✔️ |
| Многофакторная проверка подлинности с помощью однократного секретного кода SMS (OTP) | ✔️ | ✔️ |
| Вход через социальные аккаунты (Apple, Facebook и Google с использованием браузера) | ✔️ | ✔️ |
| Единый вход (SSO)1 | ✔️ | ✔️ |
1 Нативная аутентификация поддерживает только единый вход для встроенных веб-обозревателей. Единый вход между приложениями через системные браузеры недоступен с локальной аутентификацией. Дополнительные сведения см. в разделе SSO (единого входа).
Включение собственной проверки подлинности
Сначала ознакомьтесь с рекомендациями по использованию встроенной аутентификации. Затем проведите внутреннее обсуждение с владельцем вашего приложения, дизайнером и командой разработки, чтобы определить, требуется ли нативная аутентификация.
Если команда определяет, что собственная проверка подлинности необходима для приложения, выполните следующие действия, чтобы включить собственную проверку подлинности в Microsoft Entra admin center:
- Войдите в Microsoft Entra admin center.
- Перейдите к App registrations и выберите регистрацию приложения, для которой требуется включить общедоступный клиент и собственные потоки проверки подлинности.
- В разделе "Управление" выберите "Проверка подлинности".
- В разделе Дополнительные параметрыразрешить общедоступные потоки клиентов:
- Включите следующие потоки для мобильных и десктопных устройств и выберите Да.
- Для включения функции собственной аутентификациивыберите Да.
- Выберите кнопку Сохранить.
Обновление кода конфигурации
После включения собственных API проверки подлинности в Центре администрирования вам по-прежнему необходимо обновить код конфигурации приложения для поддержки собственных потоков проверки подлинности для Android или iOS/macOS. Для этого необходимо добавить поле типа челленджа в вашу конфигурацию. Типы вызовов — это список значений, которые приложение использует для уведомления Microsoft Entra о методе проверки подлинности, который он поддерживает. Дополнительные сведения о типах вызовов собственной проверки подлинности можно найти в разделе Типы вызовов собственной проверки подлинности. Если конфигурация не обновляется для интеграции собственных компонентов проверки подлинности, пакеты SDK и API для собственной проверки подлинности недоступны.
Рекомендации по безопасности для встроенной аутентификации
Первичная аутентификация обеспечивает команде разработчиков полный контроль над процессом аутентификации. Когда у вас есть контроль, появляется ответственность за соблюдение рекомендаций по обеспечению безопасности в реализации вашего приложения, таких как безопасная обработка токенов и обеспечение безопасности передачи данных (HTTPS).
Единый вход (SSO)
Нативная аутентификация поддерживает единый вход (SSO) для веб-представлений. Это позволяет пользователям выполнять вход один раз через пользовательский интерфейс собственного приложения, а затем получать доступ к веб-ресурсам, размещенным в внедренном веб-представлении (например, WKWebView в iOS или WebView Android), без получения второго запроса на вход.
Приложение достигает этого путем получения маркера доступа с помощью Native Auth SDK или родного API проверки подлинности и его внедрения в HTTP-запрос веб-представления через заголовок. Веб-ресурс проверяет маркер и устанавливает сеанс, обеспечивая простой переход от собственного интерфейса к веб-содержимому.
Инструкции по реализации см. в статье "Реализация единого входа из собственных приложений в внедренные веб-представления".
Note
Единый вход между приложениями через системные браузеры не поддерживается при нативной проверке подлинности.
Использование родной проверки подлинности
Вы можете создавать приложения, использующие собственную проверку подлинности, с помощью собственных API проверки подлинности или пакета SDK Microsoft Authentication Library (MSAL) для Android, iOS, macOS и веб-приложений. По возможности рекомендуется использовать MSAL для добавления родной аутентификации в приложения.
Дополнительные сведения о примерах и руководствах по собственной проверке подлинности см. в следующей таблице:
| Язык/ Платформа |
Быстрый старт | Руководство по сборке и интеграции |
|---|---|---|
| Android (Kotlin) | • Вход пользователей | • Вход пользователей |
| iOS (Swift) | • Вход пользователей | • Вход пользователей |
| macOS (Swift) | • Вход пользователей | • Вход пользователей |
| React (Next.js) | • Краткое руководство | • Учебники |
| Угловой | • Краткое руководство | • Учебники |
Если вы планируете создать приложение на платформе, не поддерживаемой MSAL, вы можете использовать наш API проверки подлинности. Дополнительные сведения см. в справочнике по API собственной проверки подлинности.