Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Единый вход (SSO) — это ключевое предложение платформы удостоверений Майкрософт и идентификатора Microsoft Entra, предоставляющее простые и безопасные имена входа для пользователей вашего приложения. Кроме того, политики защиты приложений (APP) обеспечивают поддержку ключевых политик безопасности, которые обеспечивают безопасность данных пользователя. Вместе эти функции обеспечивают безопасные имена входа пользователей и управление данными приложения.
В этой статье объясняется, почему единый вход и приложение важны и предоставляет высокоуровневые рекомендации по созданию мобильных приложений, поддерживающих эти функции. Это относится как к приложениям для телефонов, так и для планшетов. Если вы ИТ-администратор, который хочет развернуть единый вход в клиенте Microsoft Entra вашей организации, ознакомьтесь с нашим руководством по планированию развертывания единого входа.
Сведения о политиках защиты приложений и единого входа
Единый вход позволяет пользователю войти один раз и получить доступ к другим приложениям без повторного ввода учетных данных. Это упрощает доступ к приложениям и устраняет необходимость запоминать длинные списки имен пользователей и паролей. Реализация в приложении упрощает доступ и использование приложения.
Кроме того, включение функции единого входа в вашем приложении открывает доступ к новым механизмам проверки подлинности, которые связаны с современной аутентификацией, например вход без пароля. Имена пользователей и пароли являются одним из самых популярных векторов атак против приложений, и включение единого входа позволяет снизить этот риск путем применения условного доступа или входа без пароля, которые добавляют дополнительную безопасность или используют более безопасные механизмы проверки подлинности. Наконец, включение единого входа также включает единый выход. Это полезно в таких ситуациях, как использование рабочих приложений на общих устройствах.
Политики защиты приложений (APP) гарантируют, что данные организации сохраняются в безопасности и находятся под контролем. Они позволяют компаниям управлять и защищать свои данные в приложении и разрешать контроль над тем, кто может получить доступ к приложению и его данным. Реализация политик защиты приложений позволяет приложению подключать пользователей к ресурсам, защищенным политиками условного доступа, и безопасно передавать данные в другие защищенные приложения. Сценарии, разблокированные политиками защиты приложений, включают требование ПИН-кода для открытия приложения, управления общим доступом к данным между приложениями и предотвращения сохранения данных приложения компании в личных расположениях хранилища.
Реализация единого входа
Мы рекомендуем следующее, чтобы ваше приложение могло воспользоваться преимуществами единого входа.
Использование библиотеки проверки подлинности Майкрософт (MSAL)
Лучший вариант реализации единого входа в приложение — использовать библиотеку проверки подлинности Майкрософт (MSAL). С помощью MSAL можно добавить проверку подлинности в приложение с минимальным кодом и вызовами API, получить полные возможности платформы удостоверений Майкрософт и разрешить Корпорации Майкрософт обрабатывать обслуживание безопасного решения проверки подлинности. По умолчанию MSAL добавляет поддержку единого входа для приложения. Кроме того, использование MSAL является обязательным требованием, если вы также планируете реализовать политики защиты приложений.
Замечание
Можно настроить MSAL для использования встроенного веб-представления. Это позволит предотвратить единый вход. Используйте поведение по умолчанию (то есть системный веб-браузер), чтобы убедиться, что единый вход будет работать.
Для приложений iOS у нас есть краткое руководство , в котором показано, как настроить входы с помощью MSAL и рекомендации по настройке MSAL для различных сценариев единого входа.
Для приложений Android у нас есть краткое руководство по настройке входов с помощью MSAL и руководство по включению единого входа между приложениями в Android с помощью MSAL.
Использование системного веб-браузера
Для интерактивной проверки подлинности требуется веб-браузер. Для мобильных приложений, использующих современные библиотеки проверки подлинности, отличные от MSAL (т. е. другие библиотеки OpenID Connect или SAML), или если вы реализуете собственный код проверки подлинности, следует использовать системный браузер в качестве области проверки подлинности, чтобы включить единый вход.
Google имеет рекомендации по выполнению этого в приложениях Android: пользовательские вкладки Chrome — Google Chrome.
Apple имеет рекомендации по выполнению этого в приложениях iOS: проверка подлинности пользователя через веб-службу | Документация разработчика Apple.
Подсказка
Подключаемый модуль единого входа в систему для устройств Apple позволяет единый вход для приложений iOS, использующих встроенные веб-обозреватели на управляемых устройствах с помощью Intune. Мы рекомендуем MSAL и системный браузер в качестве оптимального варианта для разработки приложений, которые обеспечивают единый вход для всех пользователей, но это позволит единый вход в некоторых сценариях, где в противном случае это невозможно.
Включение политик защиты приложений
Чтобы включить политики защиты приложений, используйте библиотеку проверки подлинности Майкрософт (MSAL). MSAL — это библиотека проверки подлинности и авторизации платформы удостоверений Майкрософт, а пакет SDK Intune разработан для работы с ним в тандеме.
Кроме того, необходимо использовать приложение брокера для проверки подлинности. Брокер требует, чтобы приложение предоставляло информацию о приложении и устройстве, чтобы обеспечить соответствие приложения. Пользователи iOS будут использовать приложение Microsoft Authenticator и пользователи Android будут использовать приложение Microsoft Authenticator или приложение корпоративного портала для проверки подлинности через брокер. По умолчанию MSAL использует брокер в качестве первого выбора для выполнения запроса аутентификации, поэтому аутентификация через брокер будет автоматически включена для вашего приложения при использовании MSAL «из коробки».
Наконец, добавьте пакет SDK Intune в приложение, чтобы включить политики защиты приложений. Пакет SDK в основном следует модели перехвата и автоматически применяет политики защиты приложений, чтобы определить, разрешены ли действия, предпринимаемые приложением. Существуют также API, которые можно вызывать вручную, чтобы сообщить приложению, есть ли ограничения на определенные действия.