Поддержка единого входа и политик защиты приложений в разрабатываемых мобильных приложениях
Единый вход (SSO) — это ключевое предложение платформа удостоверений Майкрософт и идентификатора Microsoft Entra, предоставляющее простые и безопасные имена входа для пользователей вашего приложения. Кроме того, политики защиты приложений (APP) поддерживают политики безопасности ключей, обеспечивающие безопасность данных пользователя. Вместе эти функции обеспечивают безопасный вход пользователей в систему и управление данными приложения.
В этой статье объясняется важность единого входа и политик защиты приложений, а также приводится общее руководство по созданию мобильных приложений, поддерживающих эти функции. Оно применимо для приложений как для телефонов, так и для планшетов. Если вы являетесь ИТ-администратором, который хочет развернуть единый вход в клиенте Microsoft Entra вашей организации, проверка руководство по планированию развертывания единого входа
Сведения об использовании единого входа и политик защиты приложений
Единый вход (SSO) позволяет пользователю войти в систему и получить доступ к другим приложениям без повторного ввода учетных данных. Он упрощает доступ к приложениям и устраняет необходимость в запоминании длинных списков имен пользователей и паролей. Его реализация в приложении упрощает доступ к приложению и его использование.
Кроме того, включение единого входа в приложении разблокирует новые механизмы аутентификации, предусмотренные современной проверкой подлинности, например вход без пароля. Имена пользователей и пароли являются одним из самых популярных векторов атак против приложений, и включение единого входа позволяет снизить этот риск путем применения условного доступа или входа без пароля, которые добавляют дополнительную безопасность или используют более безопасные механизмы проверки подлинности. Наконец, включение единого входа также обеспечивает единый выход. Это полезно для рабочих приложений, которые будут использоваться на устройствах с общим доступом.
Политики защиты приложений (APP) гарантируют сохранность и автономность данных организации. Они позволяют компаниям управлять данными в приложении и защищать их, а также управлять доступом пользователей к приложению и его данным. Реализация политик защиты приложений позволяет приложению подключать пользователей к ресурсам, защищенным политиками условного доступа, и безопасно передавать данные в другие защищенные приложения и обратно. К сценариям, разблокируемым политиками защиты приложений, относятся требование ввода ПИН-кода для открытия приложения, управление обменом данными между приложениями и предотвращение сохранения данных приложений компании в личных местах хранения.
Реализация единого входа
Ниже приведены рекомендации, следуя которым вы позволите приложению использовать преимущества единого входа.
Использование библиотеки проверки подлинности Майкрософт (MSAL)
Лучшим выбором для реализации единого входа в приложении является использование библиотеки проверки подлинности Майкрософт (MSAL). С помощью MSAL вы можете добавить в приложение проверку подлинности с минимальным количеством кода и вызовов API, получить доступ ко всем возможностям платформы удостоверений Майкрософт, а также разрешить корпорации Майкрософт выполнять обслуживание решения безопасной аутентификации. По умолчанию MSAL добавляет поддержку единого входа для приложения. Кроме того, использование MSAL является обязательным, если вы планируете реализовать политики защиты приложений.
Примечание.
Можно настроить MSAL для использования встроенного веб-представления. Это будет препятствовать единому входу. Используйте реакцию по умолчанию (то есть системный веб-браузер), чтобы убедиться, что единый вход будет работать.
Для приложений iOS у нас есть краткое руководство , в котором показано, как настроить входы с помощью MSAL и рекомендации по настройке MSAL для различных сценариев единого входа.
Для приложений Android имеется краткое руководство, в котором показано, как настроить вход с помощью MSAL, а также инструкции по включению единого входа для нескольких приложений в Android с использованием MSAL.
Использование системного веб-браузера
Для интерактивной проверки подлинности нужен веб-браузер. Для мобильных приложений, использующих современные библиотеки проверки подлинности, отличные от MSAL (то есть другие библиотеки OpenID Connect или SAML), или в случае реализации собственного кода проверки подлинности для включения единого входа следует использовать системный браузер в качестве поверхности проверки подлинности.
Рекомендации Google по выполнению этой задачи в приложениях Android: Пользовательские вкладки Chrome — Google Chrome.
Рекомендации Apple по выполнению этой задачи в приложениях iOS: Аутентификация пользователя с помощью веб-службы | Документация Apple для разработчиков.
Совет
Подключаемый модуль единого входа для устройств Apple позволяет применять единый вход для приложений iOS, которые используют внедренные веб-представления на управляемых устройствах, использующих Intune. Мы рекомендуем MSAL и системный браузер как лучший вариант для разработки приложений, позволяющих использовать единый вход для всех пользователей, но они также позволяют использовать единый вход в некоторых сценариях, в которых иначе это было бы невозможным.
Включение политик защиты приложений
Чтобы включить политики защиты приложений, используйте библиотеку проверки подлинности Майкрософт (MSAL). MSAL — это библиотека проверки подлинности и авторизации платформы удостоверений Майкрософт, а пакет Intune SDK разработан для совместной работы с ней.
Кроме того, для проверки подлинности необходимо использовать приложение-брокер. Брокер требует, чтобы приложение предоставило сведения о приложении и устройстве, чтобы обеспечить соответствие приложения. Пользователи iOS будут использовать приложение Microsoft Authenticator, а пользователи Android будут использовать приложение Microsoft Authenticator или приложение Корпоративный портал для проверки подлинности через брокер. По умолчанию MSAL использует брокер в качестве первого выбора для выполнения запроса проверки подлинности, поэтому при использовании MSAL использование брокера для проверки подлинности будет включено для приложения автоматически.
Наконец, Добавьте пакет SDK Intune в приложение, чтобы включить политики защиты приложений. Пакет SDK в основном придерживается модели перехвата и автоматически применяет политики защиты приложений, чтобы определить, разрешены ли действия, выполняемые приложением. Кроме того, существуют интерфейсы API, которые можно вызывать вручную, чтобы сообщить приложению об ограничениях на определенные действия.