2. Aşama: MSAL önkoşulu ve kurulumu
Intune Uygulama SDK'sı, kimlik doğrulaması ve koşullu başlatma senaryoları için Microsoft Kimlik Doğrulama Kitaplığı'nı kullanır. Ayrıca cihaz kayıt senaryoları olmadan yönetim için kullanıcı kimliğini MAM hizmetine kaydetmek için MSAL kullanır.
Not
Bu kılavuz birkaç ayrı aşamaya ayrılmıştır. Başlangıç olarak 1. Aşama: Tümleştirmeyi Planlama'ya bakın.
Aşama Hedefleri
- Uygulamanızı Microsoft Entra kimliğiyle kaydedin.
- MSAL'yi iOS uygulamanızla tümleştirin.
- Uygulamanızın korumalı kaynaklara erişim izni veren bir belirteç alabildiğini doğrulayın.
Microsoft Entra uygulama kaydını ayarlama ve yapılandırma
MSAL, uygulamaya verilen belirteçlerin güvenliğini sağlamak için uygulamaların Microsoft Entra kimliğine kaydolmasını ve benzersiz bir istemci kimliği oluşturmasını ve yeniden yönlendirme URI'sini oluşturmasını gerektirir. Uygulamanız kendi kimlik doğrulaması için zaten MSAL kullanıyorsa, uygulamayla ilişkilendirilmiş bir Microsoft Entra uygulama kaydı/istemci kimliği/yeniden yönlendirme URI'si olmalıdır.
Uygulamanız henüz MSAL kullanmıyorsa, Microsoft Entra kimliğinde bir uygulama kaydı yapılandırmanız ve Intune SDK'sının kullanması gereken istemci kimliğini ve yeniden yönlendirme URI'sini belirtmeniz gerekir.
Uygulamanız şu anda kullanıcıların kimliğini doğrulamak için ADAL kullanıyorsa uygulamanızı ADAL'den MSAL'ye geçirme hakkında daha fazla bilgi için bkz. Uygulamaları iOS ve macOS için MSAL'ye geçirme.
Uygulamanızın en son MSAL sürümüne bağlanmasını öneririz.
MSAL'yi Projenize Bağlama
MSAL ikili dosyalarını uygulamanıza yerleştirmek için yükleme bölümünü izleyin.
MSAL'yi yapılandırma
MSAL'yi yapılandırmak için yapılandırma bölümünü izleyin. Yapılandırma bölümündeki tüm adımları izlediğinize emin olun. Uygulamanız zaten Microsoft Entra kimliğine kayıtlıysa birinci adımı göz ardı edin.
Aşağıdaki noktalar, MSAL'yi yapılandırmak ve buna bağlanmak için ek bilgiler içerir. Uygulamanıza uygulandıysa bunları izleyin.
- Uygulamanızda tanımlı anahtarlık erişim grubu yoksa, uygulamanın paket kimliğini ilk grup olarak ekleyin.
- Anahtarlık erişim gruplarına ekleyerek
com.microsoft.adalcacheMSAL çoklu oturum açmayı (SSO) etkinleştirin. - MSAL paylaşılan önbellek anahtar zinciri grubunu açıkça ayarlarsanız, olarak ayarlandığından
<appidprefix>.com.microsoft.adalcacheemin olun. Geçersiz kılmadığınız sürece MSAL bunu sizin için ayarlar. öğesini değiştirmekcom.microsoft.adalcacheiçin özel bir anahtar zinciri grubu belirtmek istiyorsanız, bunu IntuneMAMSettings altındaki Info.plist dosyasında anahtarınıADALCacheKeychainGroupOverridekullanarak belirtin.
Intune Uygulama SDK'sı için MSAL ayarlarını yapılandırma
Uygulamanız için Microsoft Entra kimliğinde bir uygulama kaydı yapılandırıldıktan sonra, Intune Uygulama SDK'sını Microsoft Entra kimliğine karşı kimlik doğrulaması sırasında uygulama kaydınızdan gelen ayarları kullanacak şekilde yapılandırabilirsiniz. Aşağıdaki ayarları doldurma hakkında bilgi için bkz. Intune Uygulama SDK'sı ayarlarını yapılandırma :
- ADALClientId
- ADALAuthority
- ADALRedirectUri
- ADALRedirectScheme
- ADALCacheKeychainGroupOverride
Aşağıdaki yapılandırmalar gereklidir:
Projenin Info.plist dosyasında, anahtar adıyla
ADALClientIdIntuneMAMSettings sözlüğü altında, MSAL çağrıları için kullanılacak istemci kimliğini belirtin.1. adımda yapılandırılan istemci kimliğine eşlenen Microsoft Entra uygulama kaydı yalnızca tek bir Microsoft Entra kiracıda kullanılmak üzere yapılandırılmışsa, anahtarı uygulamanın Info.plist dosyasındaki IntuneMAMSettings sözlüğü altında yapılandırın
ADALAuthority. Intune mobil uygulama yönetimi hizmeti için belirteç almak için MSAL tarafından kullanılacak Microsoft Entra yetkilisini belirtin.Ayrıca anahtar adıyla
ADALRedirectUriIntuneMAMSettings sözlüğü altında MSAL çağrıları için kullanılacak yeniden yönlendirme URI'sini belirtin. Alternatif olarak, uygulamanın yeniden yönlendirme URI'sinin biçimindescheme://bundle_idolup olmadığını belirtebilirsinizADALRedirectScheme.Alternatif olarak, uygulamalar çalışma zamanında bu Microsoft Entra ayarlarını geçersiz kılabilir. Bunu yapmak için, sınıfındaki
aadAuthorityUriOverride,aadClientIdOverrideveaadRedirectUriOverrideözelliklerini ayarlamanız yeterlidirIntuneMAMSettings.iOS uygulamanıza Intune Mobil Uygulama Yönetimi (MAM) hizmeti için izin verme adımlarının izlendiğinden emin olun. Uygulamanızın Intune Mobil Uygulama Yönetimi hizmetine erişmesini sağlayın altındaki Intune SDK'sını kullanmaya başlama kılavuzundaki yönergeleri kullanın.
Not
Uygulama koruma ilkesi yönetilen cihazlarla ilgiliyse, Intune tümleşik olan uygulamanın uygulama yapılandırma profilini oluşturmak da gereklidir.
Info.plist yaklaşımı, statik olan ve çalışma zamanında belirlenmesi gerekmeyen tüm ayarlar için önerilir. Çalışma zamanında sınıf özelliklerine
IntuneMAMSettingsatanan değerler, Info.plist dosyasında belirtilen karşılık gelen değerlerden önceliklidir ve uygulama yeniden başlatıldıktan sonra bile kalıcı olur. SDK, kullanıcı kaydı kaldırılana veya değerler temizlenene veya değiştirilene kadar ilke iadeleri için bunları kullanmaya devam eder.
Uygulama tarafından başlatılan kimlik doğrulaması için MSAL kullanırken dikkat edilmesi gereken özel noktalar
Uygulamaların uygulama tarafından başlatılan MSAL etkileşimli kimlik doğrulama işlemleri için web görünümü olarak SFSafariViewController, SFAuththenticationSession veya ASWebAuthenticationSession kullanmaması önerilir. Varsayılan olarak, MSAL ASWebAuthenticationSession kullanır, bu nedenle uygulama geliştiricilerinin web görünümü türünü açıkça WKWebView olarak ayarlaması gerekir. Herhangi bir nedenden dolayı uygulamanızın etkileşimli MSAL kimlik doğrulama işlemleri için WKWebView dışında bir web görünümü türü kullanması gerekiyorsa, uygulamanın Info.plist dosyasındaki sözlüğün altına IntuneMAMSettings da ayarlanması SafariViewControllerBlockedOverridetrue gerekir.
Uyarı
Bu, kimlik doğrulama oturumunu etkinleştirmek için Intune'un SafariViewController kancalarını kapatır. Bu, uygulama şirket verilerini görüntülemek için SafariViewController kullanıyorsa uygulamanın başka bir yerinde veri sızıntısı riskini göze alır, bu nedenle uygulamanın bu web görünümü türlerinin hiçbirinde şirket verilerini göstermemesi gerekir.
Çıkış Ölçütleri
- Uygulamanızı Microsoft Entra uygulama kaydı sayfasına kaydettiniz mi?
- MSAL'yi uygulamanızla tümleştirdiniz mi?
- Yeniden yönlendirme URI'sini oluşturup MSAL yapılandırma dosyasında ayarlayarak aracı kimlik doğrulamasını etkinleştirdiniz mi?
- IntuneMAMSettings sözlüğünüzdeki MSAL için gerekli yapılandırma bilgilerinin Microsoft Entra Uygulama Kayıtlarınızdakilerle eşleştiğinden emin misiniz?
SSS
ADAL ne olacak?
Microsoft'un önceki kimlik doğrulama kitaplığı olan Azure Active Directory Kimlik Doğrulama Kitaplığı (ADAL)kullanım dışı bırakıldı.
Uygulamanız zaten ADAL ile tümleştirilmişse bkz. Uygulamalarınızı Microsoft Kimlik Doğrulama Kitaplığı'nın (MSAL) kullanımına güncelleştirme. Uygulamanızı ADAL'dan MSAL'ye geçirmek için bkz . Uygulamaları iOS ve macOS için MSAL'ye geçirme
Intune Uygulama SDK'sını tümleştirmeden önce ADAL'den MSAL'ye geçmeniz önerilir.
Sonraki Adımlar
Yukarıdaki tüm Çıkış Ölçütlerini tamamladıktan sonra, iOS uygulamanızla 3. Aşama: Intune SDK tümleştirmesine geçin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin