Stöd för principer för enkel inloggning och appskydd i mobilappar som du utvecklar
Enkel inloggning (SSO) är ett viktigt erbjudande för Microsofts identitetsplattform- och Microsoft Entra-ID:t, vilket ger enkla och säkra inloggningar för användare av din app. Dessutom ger appskyddsprinciper (APP) stöd för viktiga säkerhetsprinciper som skyddar användarens data. Tillsammans möjliggör dessa funktioner säkra användarinloggningar och hantering av appens data.
Den här artikeln förklarar varför enkel inloggning och APP är viktiga och ger vägledning på hög nivå för att skapa mobila program som stöder dessa funktioner. Detta gäller för både telefon- och surfplatta-appar. Om du är IT-administratör som vill distribuera enkel inloggning i organisationens Microsoft Entra-klientorganisation kan du läsa vår vägledning för att planera en distribution med enkel inloggning
Om principer för enkel inloggning och appskydd
Med enkel inloggning (SSO) kan en användare logga in en gång och få åtkomst till andra program utan att ange autentiseringsuppgifter igen. Detta gör det enklare att komma åt appar och eliminerar behovet av att användare kommer ihåg långa listor med användarnamn och lösenord. Om du implementerar det i din app blir det enklare att komma åt och använda din app.
Dessutom låser aktivering av enkel inloggning i din app upp nya autentiseringsmekanismer som levereras med modern autentisering, till exempel lösenordslösa inloggningar. Användarnamn och lösenord är en av de mest populära angreppsvektorerna mot program, och om du aktiverar enkel inloggning kan du minska risken genom att framtvinga villkorlig åtkomst eller lösenordslösa inloggningar som lägger till extra säkerhet eller förlitar dig på säkrare autentiseringsmekanismer. Slutligen möjliggör aktivering av enkel inloggning även enkel utloggning. Detta är användbart i situationer som arbetsprogram som ska användas på delade enheter.
Appskydd principer (APP) ser till att en organisations data förblir säkra och inneslutna. De gör det möjligt för företag att hantera och skydda sina data i en app och ge kontroll över vem som kan komma åt appen och dess data. Genom att implementera appskyddsprinciper kan din app ansluta användare till resurser som skyddas av principer för villkorsstyrd åtkomst och på ett säkert sätt överföra data till och från andra skyddade appar. Scenarier som låss upp av appskyddsprinciper är att kräva en PIN-kod för att öppna en app, kontrollera delning av data mellan appar och förhindra att företagets appdata sparas på personliga lagringsplatser.
Implementera enkel inloggning
Vi rekommenderar följande för att göra det möjligt för din app att dra nytta av enkel inloggning.
Använda Microsoft Authentication Library (MSAL)
Det bästa valet för att implementera enkel inloggning i ditt program är att använda Microsoft Authentication Library (MSAL). Genom att använda MSAL kan du lägga till autentisering i din app med minimal kod och API-anrop, hämta de fullständiga funktionerna i Microsofts identitetsplattform och låta Microsoft hantera underhållet av en säker autentiseringslösning. Som standard lägger MSAL till SSO-stöd för ditt program. Dessutom är det ett krav att använda MSAL om du även planerar att implementera appskyddsprinciper.
Kommentar
Det är möjligt att konfigurera MSAL att använda en inbäddad webbvy. Detta förhindrar enkel inloggning. Använd standardbeteendet (dvs. systemwebbläsaren) för att säkerställa att enkel inloggning fungerar.
För iOS-program har vi en snabbstart som visar hur du konfigurerar inloggningar med MSAL och vägledning för att konfigurera MSAL för olika scenarier med enkel inloggning.
För Android-program har vi en snabbstart som visar hur du konfigurerar inloggningar med MSAL och vägledning för hur du aktiverar enkel inloggning mellan appar på Android med MSAL.
Använda systemwebbläsaren
En webbläsare krävs för interaktiv autentisering. För mobilappar som använder andra moderna autentiseringsbibliotek än MSAL (dvs. andra OpenID-Anslut- eller SAML-bibliotek) eller om du implementerar din egen autentiseringskod bör du använda systemwebbläsaren som autentiseringsyta för att aktivera enkel inloggning.
Google har vägledning för att göra detta i Android-program: Anpassade Chrome-flikar – Google Chrome.
Apple har vägledning för att göra detta i iOS-program: Autentisera en användare via en webbtjänst | Dokumentation om Apple Developer.
Dricks
Plugin-programmet för enkel inloggning för Apple-enheter tillåter enkel inloggning för iOS-appar som använder inbäddade webbvyer på hanterade enheter med Intune. Vi rekommenderar MSAL och systemwebbläsaren som det bästa alternativet för att utveckla appar som aktiverar enkel inloggning för alla användare, men detta tillåter enkel inloggning i vissa scenarier där det annars inte är möjligt.
Aktivera appskyddsprinciper
Om du vill aktivera appskyddsprinciper använder du Microsoft Authentication Library (MSAL). MSAL är Microsofts identitetsplattform autentiserings- och auktoriseringsbibliotek och Intune SDK har utvecklats för att fungera tillsammans med det.
Dessutom måste du använda en asynkron app för autentisering. Asynkron meddelandekö kräver att appen tillhandahåller program- och enhetsinformation för att säkerställa appefterlevnad. iOS-användare använder Microsoft Authenticator-appen och Android-användare använder antingen Microsoft Authenticator-appen eller den Företagsportal appen för asynkron autentisering. Som standard använder MSAL en asynkron meddelandekö som första val för att uppfylla en autentiseringsbegäran, så om du använder autentiseringsnyckeln aktiveras appen automatiskt när du använder MSAL direkt.
Lägg slutligen till Intune SDK i din app för att aktivera appskyddsprinciper. SDK:t följer till största delen en skärningspunktsmodell och tillämpar automatiskt appskyddsprinciper för att avgöra om åtgärder som appen vidtar är tillåtna eller inte. Det finns även API:er som du kan anropa manuellt för att meddela appen om det finns begränsningar för vissa åtgärder.