Dela via


Intern autentisering i Externt ID för Microsoft Entra

Gäller för:Vit cirkel med en grå X-symbol. Personalklientorganisationer Grön cirkel med en vit bockmarkeringssymbol. Externa klienter (läs mer)

Med Microsoft Entras interna autentisering kan du ha fullständig kontroll över utformningen av dina inloggningsupplevelser för mobil- och skrivbordsprogram. Till skillnad från webbläsarbaserade lösningar kan du med inbyggd autentisering skapa visuellt tilltalande, pixelperfekta autentiseringsskärmar som sömlöst smälter in i appens gränssnitt. Med den här metoden kan du helt anpassa användargränssnittet, inklusive designelement, logotypplacering och layout, vilket garanterar ett konsekvent och varumärkesanpassat utseende.

Standardinloggningsprocessen för appar, som förlitar sig på webbläsardelegering, resulterar ofta i en störande övergång under autentiseringen. Användare omdirigeras tillfälligt till en systemwebbläsare för autentisering, bara för att föras tillbaka till appen när inloggningen är klar.

Även om webbläsardelad autentisering erbjuder fördelar som minskade attackvektorer och stöd för enkel inloggning (SSO), erbjuder den begränsade anpassningsalternativ för användargränssnittet och en dålig användarupplevelse.

Tillgängliga autentiseringsmetoder

För närvarande stöder intern autentisering lokal kontoidentitetsprovider för två autentiseringsmetoder:

  • E-post med inloggning med engångslösenord (OTP).
  • E-post och lösenordsinloggning med stöd för självbetjäning av lösenordsåterställning (SSPR).

Intern autentisering har ännu inte stöd för federerade identitetsprovidrar, till exempel sociala identiteter eller företagsidentiteter.

När du ska använda intern autentisering

När det gäller att implementera autentisering för mobil- och skrivbordsappar på externt ID har du två alternativ:

  • Microsoft-värdbaserad webbläsardelegeringsautentisering.
  • Fullständigt anpassad SDK-baserad intern autentisering.

Vilken metod du väljer beror på appens specifika krav. Även om varje app har unika autentiseringsbehov finns det några vanliga saker att tänka på. Oavsett om du väljer intern autentisering eller webbläsardelad autentisering stöder Microsoft Entra Externt ID båda.

I följande tabell jämförs de två autentiseringsmetoderna som hjälper dig att välja rätt alternativ för din app.

Webbläsardelegeringsautentisering Intern autentisering
Användarautentiseringsupplevelse Användare tas till en systemwebbläsare eller inbäddad webbläsare för att autentisering endast ska omdirigeras tillbaka till appen när inloggningen är klar. Den här metoden rekommenderas om omdirigeringen inte påverkar slutanvändarens upplevelse negativt. Användarna har en omfattande, intern registrerings- och inloggningsresa utan att någonsin lämna appen.
Anpassningsupplevelse Alternativ för hanterad varumärkesanpassning och anpassning är tillgängliga som en out-of-the-box-funktion. Den här API-centrerade metoden erbjuder en hög anpassningsnivå, vilket ger omfattande flexibilitet i designen och möjligheten att skapa skräddarsydda interaktioner och flöden.
Tillämplighet Den är lämplig för arbetsstyrka, B2B- och B2C-appar och kan användas för interna appar, ensidesprogram och webbappar. När samma entitet driver auktoriseringsservern och appen och användaren uppfattar dem båda som samma entitet för kundernas förstapartsappar.
Go live-insats Låg. Använd den direkt ur lådan. Hög. Utvecklaren skapar, äger och underhåller autentiseringsupplevelsen.
Underhållsarbete Låg. Hög. För varje funktion som Microsoft släpper måste du uppdatera SDK:t för att använda den.
Säkerhet Det säkraste alternativet. Säkerhetsansvaret delas med utvecklare och bästa praxis måste följas. Den är utsatt för nätfiskeattacker.
Språk och ramverk som stöds
  • ASP.NET Core
  • Android (Kotlin, Java)
  • iOS/macOS (Swift, Objective-C)
  • JavaScript
  • React
  • Angular
  • Nodejs
  • Python
  • Java
  • Android (Kotlin, Java)
  • iOS/macOS (Swift, Objective-C)
För andra språk och plattformar kan du använda vårt interna autentiserings-API.

Funktion tillgänglig

I följande tabell visas tillgängligheten för funktioner för webbläsardelegering och intern autentisering.

Webbläsardelegeringsautentisering Intern autentisering
Registrera dig och logga in med e-postlösenord (OTP) ✔️ ✔️
Registrera dig och logga in med e-post och lösenord ✔️ ✔️
Självbetjäning av lösenordsåterställning (SSPR) ✔️ ✔️
Anpassad anspråksprovider ✔️ ✔️
Inloggning för social identitetsprovider ✔️
Multifaktorautentisering med engångslösenord för e-post (OTP) ✔️
Multifaktorautentisering med SMS ✔️
Enkel inloggning (SSO) ✔️

Så här aktiverar du intern autentisering

Granska först riktlinjerna ovan om när du ska använda intern autentisering. Ha sedan en intern diskussion med programmets företagsägare, designer och utvecklingsteam för att avgöra om intern autentisering krävs.

Om ditt team har fastställt att intern autentisering krävs för ditt program följer du dessa steg för att aktivera intern autentisering i administrationscentret för Microsoft Entra:

  1. Logga in på administrationscentret för Microsoft Entra.
  2. Bläddra till Program> Appregistreringar och välj din app.
  3. Gå till Autentisering och välj fliken Inställningar .
  4. Välj fältet Tillåt intern autentisering och fältet Tillåt offentligt klientflöde .

När du har aktiverat både Tillåt intern autentisering och Tillåt offentligt klientflöde uppdaterar du konfigurationskoden i enlighet med detta.

Uppdatera konfigurationskoden

När du har aktiverat api:er för intern autentisering i administrationscentret måste du fortfarande uppdatera programmets konfigurationskod för att stödja interna autentiseringsflöden för Android eller iOS/macOS. För att göra det måste du lägga till fältet utmaningstyp i konfigurationen. Utmaningstyper är en lista med värden som appen använder för att meddela Microsoft Entra om den autentiseringsmetod som den stöder. Mer information om inbyggda typer av autentiseringsutmaningar finns här. Om konfigurationen inte uppdateras för att integrera inbyggda autentiseringskomponenter kan inte de interna autentiserings-SDK:erna och API:erna användas.

Risk för aktivering av intern autentisering

Microsoft Entras interna autentisering stöder inte enkel inloggning (SSO) och ansvaret för att säkerställa säkerheten för appen ligger hos ditt utvecklingsteam.

Så här använder du intern autentisering

Du kan skapa appar som använder intern autentisering med hjälp av våra interna autentiserings-API:er eller Microsoft Authentication Library (MSAL) SDK för Android och iOS/macOS. När det är möjligt rekommenderar vi att du använder MSAL för att lägga till intern autentisering i dina appar.

Mer information om interna autentiseringsexempel och självstudier finns i följande tabell.

Språk/
Plattform
Kodexempelguide Skapa och integrera guide
Android (Kotlin) Logga in användare Logga in användare
iOS (Swift) Logga in användare Logga in användare
macOS (Swift) Logga in användare Logga in användare

Om du planerar att skapa en app i ett ramverk som för närvarande inte stöds av MSAL kan du använda vårt autentiserings-API. Mer information finns i den här API-referensartikeln.