Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом разделе рассматривается базовый поток входа для веб-приложений, классических и мобильных приложений с помощью платформы удостоверений Майкрософт. Сведения о сценариях входа, поддерживаемых платформой удостоверений Майкрософт, см. в потоках проверки подлинности и сценариях приложений .
Поток входа в веб-приложение
Когда пользователь переходит в браузер в веб-приложение, происходит следующее:
- Веб-приложение определяет, прошел ли пользователь проверку подлинности.
- Если пользователь не прошел проверку подлинности, веб-приложение делегирует идентификатор Microsoft Entra для входа в систему. Этот вход будет соответствовать политике организации, которая может означать, что пользователь должен ввести свои учетные данные, используя многофакторную проверку подлинности (иногда называют двухфакторной проверкой подлинности или 2FA), или не использовать пароль вообще (например, с помощью Windows Hello).
- Пользователю предлагается предоставить согласие на доступ, необходимый клиентскому приложению. Именно поэтому клиентские приложения должны быть зарегистрированы с помощью идентификатора Microsoft Entra ID, чтобы платформа удостоверений Майкрософт предоставляла маркеры, представляющие доступ, которому пользователь предоставил согласие.
Когда пользователь успешно прошел проверку подлинности:
- Платформа удостоверений Майкрософт отправляет токен в веб-приложение.
- Файл cookie сохраняется и связывается с доменом Microsoft Entra, который содержит удостоверение пользователя в контейнере куки браузера. В следующий раз, когда приложение использует браузер для перехода к конечной точке авторизации платформы удостоверений Майкрософт, браузер представляет файл cookie, чтобы пользователь не должен войти снова. Это также способ достижения единого входа в систему. Файл cookie создается идентификатором Microsoft Entra и может быть понят только идентификатором Microsoft Entra.
- Затем веб-приложение проверяет маркер. Если проверка выполнена успешно, веб-приложение отображает защищенную страницу и сохраняет файл cookie сеанса в jar-файле cookie браузера. Когда пользователь переходит на другую страницу, веб-приложение знает, что пользователь проходит проверку подлинности на основе файла cookie сеанса.
На следующей схеме последовательности представлено следующее взаимодействие:
Как веб-приложение определяет, прошел ли пользователь проверку подлинности
Разработчики веб-приложений могут указывать, требуются ли все или только определенные страницы проверки подлинности. Например, в ASP.NET/ASP.NET Core это делается путем добавления атрибута [Authorize] в действия контроллера.
Этот атрибут заставляет ASP.NET проверять наличие cookie сеанса, содержащего идентификатор пользователя. Если файл cookie отсутствует, ASP.NET перенаправляет проверку подлинности указанному поставщику удостоверений. Если поставщиком удостоверений является Microsoft Entra ID, веб-приложение перенаправляет запрос на проверку подлинности на https://login.microsoftonline.com, где отображается диалоговое окно входа.
Как веб-приложение делегирует вход на платформу удостоверений Майкрософт и получает маркер.
Проверка подлинности пользователей происходит через браузер. Протокол OpenID использует стандартные сообщения протокола HTTP.
- Веб-приложение отправляет HTTP 302 (перенаправление) в браузер для использования платформы удостоверений Майкрософт.
- Когда пользователь аутентифицирован, платформа удостоверений Майкрософт отправляет токен в веб-приложение с помощью редиректа через браузер.
- Перенаправление предоставляется веб-приложением в виде URI перенаправления. Этот URI перенаправления зарегистрирован в объекте приложения Microsoft Entra. Существует несколько URI перенаправления, так как приложение может быть развернуто на нескольких URL-адресах. Веб-приложению также потребуется указать URI перенаправления, который будет использоваться.
- Идентификатор Microsoft Entra проверяет, что URI перенаправления, отправленный веб-приложением, является одним из зарегистрированных URI перенаправления для приложения.
Поток входа в настольное и мобильное приложение
Описанный выше поток применяется с небольшими различиями к классическим и мобильным приложениям.
Классические и мобильные приложения могут использовать внедренный веб-элемент управления или системный браузер для проверки подлинности. На следующей схеме показано, как классическое или мобильное приложение использует библиотеку проверки подлинности Майкрософт (MSAL) для получения маркеров доступа и вызова веб-API.
MSAL использует веб-браузер для получения токенов. Как и в случае с веб-приложениями, проверка подлинности делегирована платформе удостоверений Майкрософт.
Поскольку Microsoft Entra ID сохраняет тот же файл cookie удостоверений в браузере, что и для веб-приложений, если собственное или мобильное приложение использует системный браузер, оно немедленно получит единый вход в систему с соответствующим веб-приложением.
По умолчанию MSAL использует системный браузер. Исключением является классические приложения .NET Framework, в которых внедренный элемент управления используется для обеспечения более интегрированного взаимодействия с пользователем.
Дальнейшие шаги
В других разделах, посвященных основам проверки подлинности и авторизации:
- Ознакомьтесь с проверкой подлинности и авторизацией , чтобы узнать о основных понятиях проверки подлинности и авторизации на платформе удостоверений Майкрософт.
- Сведения о том, как маркеры доступа, маркеры обновления и маркеры идентификаторов используются в проверке подлинности и авторизации, см. в маркерах безопасности .
- Ознакомьтесь с моделью приложения , чтобы узнать о процессе регистрации приложения, чтобы он смог интегрироваться с платформой удостоверений Майкрософт.
- Ознакомьтесь с безопасными приложениями и API, проверяя утверждения , чтобы узнать, как безопасно использовать утверждения маркеров для логики авторизации в приложениях.
Дополнительные сведения о потоке входа в приложение:
- Ознакомьтесь с потоками проверки подлинности и сценариями приложений , чтобы узнать больше о других сценариях проверки подлинности пользователей, поддерживаемых платформой удостоверений Майкрософт.
- Ознакомьтесь с библиотеками MSAL , чтобы узнать о библиотеках Майкрософт, которые помогают разрабатывать приложения, которые работают с учетными записями Майкрософт, учетными записями Microsoft Entra и пользователями Azure AD B2C в одной упрощенной модели программирования.