在您開發的行動應用程式中,支援單一登入與應用程式保護原則
單一登入 (SSO) 是 Microsoft 身分識別平台與 Microsoft Entra ID 的重要供應項目,可為您的應用程式使用者提供簡單且安全的登入。 此外,應用程式保護原則 (應用程式) 啟用可保護使用者資料安全之金鑰安全性原則。 這些功能可一併啟用使用者登入與應用程式資料管理之安全性。
本文說明 SSO 和應用程式為何如此重要,並提供高階指導,其可組建支援這些功能之行動應用程式。 這可適用於手機與平板電腦應用程式。 如果您是希望在組織的 Microsoft Entra 租用戶中部署 SSO 之 IT 管理員,請參閱我們的 [規劃單一登入部署指引]
關於單一登入與應用程式保護原則
單一登入 (SSO) 可讓使用者登入一次,並取得其他應用程式的存取權,而不需要重新輸入認證。 這可讓您更輕鬆地存取應用程式,且使用者不需記住冗長使用者名稱與密碼清單。 實作於您的應用程式中,可讓您更輕鬆地存取並使用應用程式。
此外,在您的應用程式中啟用單一登入,可將新式驗證 (例如無密碼登入) 隨附的新驗證機制解除鎖定。 使用者名稱與密碼是針對應用程式最受歡迎的攻擊媒介之一,而啟用 SSO 可讓您藉由強制執行條件式存取或無密碼登入,以新增額外的安全性或依賴更安全的驗證機制,降低此風險。 最後,啟用單一登入也會啟用單一登出。在將用於共用裝置的工作應用程式這類情況下,這非常有用。
應用程式保護原則 (應用程式) 確保組織的資料保持安全且自主。 它們可讓公司管理及保護其應用程式內之資料,並可控制存取應用程式與其資料之人員。 執行應用程式保護原則,可讓您的應用程式將使用者連接至受條件式存取原則保護之資源,並安全地將資料傳輸至其他受保護的應用程式。 應用程式保護原則解除鎖定的案例,包括要求 PIN 以開啟應用程式、控制應用程式之間的資料共用,以及防止將公司應用程式資料儲存至個人儲存位置。
實作單一登入
建議您啟用下列各項,讓您的應用程式可以利用單一登入。
使用 Microsoft 驗證程式庫 (MSAL)
在您的應用程式中執行單一登入之最佳選擇,是使用 Microsoft 驗證程式庫 (MSAL)。 藉由使用 MSAL,您可以使用最少量的程式碼與 API 呼叫,將驗證新增至您的應用程式,並取得 Microsoft 身分識別平台的完整功能,並讓 Microsoft 處理安全驗證解決方案之維修。 根據預設,MSAL 會為您的應用程式新增 SSO 支援。 此外,如果您也計畫要實作應用程式保護原則,則需要使用 MSAL。
注意
您可以設定 MSAL 使用內嵌的 web 檢視。 此會防止單一登入。 使用預設行為 (即系統網頁瀏覽器),確保 SSO 可正常運作。
針對 iOS 應用程式,我們有快速入門,可說明如何使用 MSAL 設定登入,以及如何針對各種 SSO 案例設定 MSAL 指導。
針對 Android 應用程式,我們有快速入門,說明如何使用 MSAL 來設定登入,以及如何使用 MSAL 在 Android 上啟用跨應用程式 SSO 之指導。
使用系統網頁瀏覽器
互動式驗證一定會使用網頁瀏覽器。 如果行動應用程式使用 MSAL 以外的新式驗證程式庫 (即其他 OpenID Connect 或 SAML 程式庫),或如果您要實作自己的驗證程式代碼,您應該使用系統瀏覽器作為驗證介面,以啟用 SSO。
Google 有在 Android 應用程式中執行此操作之指導:Chrome 自訂索引標籤 -Google Chrome。
Apple 具有在 iOS 應用程式中進行此操作之指導:透過 Web 服務驗證使用者 | Apple 開發人員文件。
提示
Apple 裝置的 SSO 外掛程式可讓 iOS 應用程式使用 SSO,並透過 Intune 於受控裝置上使用內嵌的 web 檢視。 我們建議 MSAL 與系統瀏覽器做為開發應用程式的最佳選項,以啟用所有使用者的 SSO,但在某些不適用之情況下,會允許 SSO。
啟用應用程式保護原則
若要啟用應用程式保護原則,請使用 [Microsoft 驗證程式庫 (MSAL)]。 MSAL 是 Microsoft 身分識別平台之驗證與授權程式庫,且開發 Intune SDK 與其一同運作。
此外,您必須使用訊息代理程式應用程式進行驗證。 訊息代理程式會要求應用程式提供應用程式與裝置資訊,以確保應用程式合規性。 iOS 使用者將使用Microsoft Authenticator 應用程式,而 Android 使用者將使用 Microsoft Authenticator 應用程式或公司入口網站應用程式進行訊息代理程式驗證。 根據預設,MSAL 會使用 訊息代理程式做為完成驗證要求的第一個選擇,因此使用現成的 MSAL 時,將會自動為您的應用程式啟用使用訊息代理程式驗證。
最後,新增 [Intune SDK] 至您的應用程式,以啟用應用程式保護原則。 大部分的 SDK 都會遵循攔截模型,並且會自動套用應用程式保護原則,以判斷是否允許應用程式所採取之動作。 您也可以手動呼叫 API,以了解應用程式是否有特定動作之限制。