Steg 2: Krav och installation av MSAL

  • Artikel

Intune App SDK använder Microsoft Authentication Library för sina autentiserings- och villkorsstyrda startscenarier. Den förlitar sig också på MSAL för att registrera användaridentiteten med MAM-tjänsten för hantering utan scenarier för enhetsregistrering.

Obs!

Den här guiden är uppdelad i flera olika steg. Börja med att granska steg 1: Planera integreringen.

Etappmål

  • Registrera ditt program med Microsoft Entra-ID.
  • Integrera MSAL i ditt iOS-program.
  • Kontrollera att programmet kan hämta en token som ger åtkomst till skyddade resurser.

Konfigurera en Microsoft Entra appregistrering

MSAL kräver att appar registreras med Microsoft Entra-ID och skapar ett unikt klient-ID och omdirigerings-URI för att garantera säkerheten för de token som beviljats till appen. Om ditt program redan använder MSAL för sin egen autentisering bör det redan finnas en Microsoft Entra appregistrering/klient-ID/omdirigerings-URI som är associerad med appen.

Om din app inte redan använder MSAL måste du konfigurera en appregistrering i Microsoft Entra-ID och ange det klient-ID och den omdirigerings-URI som Intune SDK ska använda.

Om din app för närvarande använder ADAL för att autentisera användare kan du läsa Migrera program till MSAL för iOS och macOS för mer information om hur du migrerar din app från ADAL till MSAL.

Vi rekommenderar att appen länkar till den senaste versionen av MSAL.

Följ installationsavsnittet för att placera MSAL-binärfilerna i din app.

Konfigurera MSAL

Följ konfigurationsavsnittet för att konfigurera MSAL. Se till att du följer alla steg i konfigurationsavsnittet. Ignorera steg ett om din app redan är registrerad i Microsoft Entra-ID.

Punkterna nedan innehåller ytterligare information för att konfigurera MSAL och länka till den. Följ dessa om de gäller för ditt program.

  • Om din app inte har några definierade nyckelringsåtkomstgrupper lägger du till appens paket-ID som den första gruppen.
  • Aktivera enkel inloggning med MSAL (SSO) genom att lägga com.microsoft.adalcache till i nyckelringsåtkomstgrupperna.
  • Om du uttryckligen anger nyckelringsgruppen för delad MSAL-cache kontrollerar du att den är inställd på <appidprefix>.com.microsoft.adalcache. MSAL ställer in detta åt dig om du inte åsidosätter det. Om du vill ange en anpassad nyckelringsgrupp som ska ersättas com.microsoft.adalcacheanger du det i info.plist-filen under IntuneMAMSettings med hjälp av nyckeln ADALCacheKeychainGroupOverride.

Konfigurera MSAL-inställningar för Intune App SDK

När en appregistrering har konfigurerats för ditt program i Microsoft Entra ID kan du konfigurera Intune App SDK för att använda inställningarna från din appregistrering under autentisering mot Microsoft Entra ID. Mer information om hur du fyller i följande inställningar finns i Konfigurera inställningar för Intune App SDK :

  • ADALClientId
  • ADALAuthority
  • ADALRedirectUri
  • ADALRedirectScheme
  • ADALCacheKeychainGroupOverride

Följande konfigurationer krävs:

  1. I projektets Info.plist-fil under ordlistan IntuneMAMSettings med nyckelnamnet ADALClientIdanger du det klient-ID som ska användas för MSAL-anrop.

  2. Om Microsoft Entra appregistrering som mappar till klient-ID:t som konfigurerades i steg 1 har konfigurerats för användning i endast en enda Microsoft Entra klientorganisation konfigurerar ADALAuthority du nyckeln under ordlistan IntuneMAMSettings i programmets Info.plist-fil. Ange den Microsoft Entra utfärdare som ska användas av MSAL för att hämta token för Intune-hanteringstjänsten för mobilprogram.

  3. Under ordlistan IntuneMAMSettings med nyckelnamnet ADALRedirectUrianger du också den omdirigerings-URI som ska användas för MSAL-anrop. Du kan också ange ADALRedirectScheme i stället om programmets omdirigerings-URI har formatet scheme://bundle_id.

    Alternativt kan appar åsidosätta dessa Microsoft Entra inställningar vid körning. Det gör du genom att helt enkelt ange aadAuthorityUriOverrideegenskaperna , aadClientIdOverrideoch aadRedirectUriOverride för IntuneMAMSettings klassen .

  4. Se till att stegen för att ge din iOS-app behörighet till Intune Mobile App Management-tjänsten (MAM) följs. Följ anvisningarna i komma igång med Intune SDK-guiden under Ge din app åtkomst till Intune Mobile App Management-tjänsten.

    Obs!

    Om appskyddsprincipen är relaterad till hanterade enheter är det också nödvändigt att skapa en appkonfigurationsprofil för det program som har Intune integrerat.

    Metoden Info.plist rekommenderas för alla inställningar som är statiska och som inte behöver fastställas vid körning. Värden som tilldelas klassegenskaperna IntuneMAMSettings vid körning har företräde framför motsvarande värden som anges i Info.plist och bevaras även efter att appen har startats om. SDK:t fortsätter att använda dem för principkontroller tills användaren har avregistrerats eller värdena har rensats eller ändrats.

Särskilda överväganden när du använder MSAL för appinitierad autentisering

Vi rekommenderar att program inte använder SFSafariViewController, SFAuththenticationSession eller ASWebAuthenticationSession som webbvy för appinitierade interaktiva MSAL-autentiseringsåtgärder. Som standard använder MSAL ASWebAuthenticationSession, så apputvecklare bör uttryckligen ange webbvytypen till WKWebView. Om din app av någon anledning måste använda en annan webbvytyp än WKWebView för interaktiva MSAL-autentiseringsåtgärder måste den också anges SafariViewControllerBlockedOverride till true under IntuneMAMSettings ordlistan i programmets Info.plist.

Varning

Detta inaktiverar Intunes SafariViewController-hookar för att aktivera autentiseringssessionen. Detta riskerar dataläckor någon annanstans i appen om programmet använder SafariViewController för att visa företagsdata, så programmet bör inte visa företagsdata i någon av dessa webbvytyper.

Avslutsvillkor

  • Har du registrerat din app på Microsoft Entra appregistreringssidan?
  • Har du integrerat MSAL i ditt program?
  • Har du aktiverat asynkron autentisering genom att generera en omdirigerings-URI och ange den i MSAL-konfigurationsfilen?
  • Har du kontrollerat att nödvändig konfigurationsinformation för MSAL i intuneMAMSettings-ordlistan matchade dem i dina Microsoft Entra appregistreringar?

Vanliga frågor och svar

ADAL då?

Microsofts tidigare autentiseringsbibliotek, Azure Active Directory Authentication Library (ADAL) är inaktuellt.

Om ditt program redan har integrerat ADAL kan du läsa Uppdatera dina program så att de använder Microsoft Authentication Library (MSAL). Information om hur du migrerar din app från ADAL till MSAL finns i Migrera program till MSAL för iOS och macOS

Vi rekommenderar att du migrerar från ADAL till MSAL innan du integrerar Intune App SDK.

Nästa steg

När du har slutfört alla avslutsvillkor ovan fortsätter du till Steg 3: Intune SDK-integrering i din iOS-app.