Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Система проверки подлинности резервного копирования Microsoft Entra обеспечивает устойчивость приложений, использующих поддерживаемые протоколы и потоки. Для получения дополнительной информации о системе резервной аутентификации см. систему резервной аутентификации Microsoft Entra ID.
Требования к приложению для защиты
Приложения должны взаимодействовать с поддерживаемым именем узла для данной среды Azure и использовать протоколы, поддерживаемые системой проверки подлинности резервного копирования. Использование библиотек проверки подлинности, таких как библиотека проверки подлинности Майкрософт (MSAL), гарантирует, что вы используете протоколы проверки подлинности, поддерживаемые системой резервной проверки подлинности.
Сетевые имена, поддерживаемые системой резервной аутентификации
| Среда Azure | Поддерживаемое имя узла |
|---|---|
| Azure для коммерческих организаций | login.microsoftonline.com |
| Azure для государственных организаций | login.microsoftonline.us |
Протоколы проверки подлинности, поддерживаемые системой проверки подлинности резервного копирования
OAuth 2.0 и OpenID Connect (OIDC)
Общие рекомендации
Все приложения, использующие протоколы Open Authorization (OAuth) 2.0 или OIDC, должны соответствовать следующим рекомендациям, чтобы обеспечить устойчивость:
- Приложение использует MSAL или строго соответствует спецификациям OpenID Connect и OAuth2. Корпорация Майкрософт рекомендует использовать библиотеки MSAL, соответствующие вашей платформе и варианту использования. Использование этих библиотек гарантирует, что использование API-интерфейсов и шаблонов вызовов поддерживается системой проверки подлинности резервного копирования.
- Приложение использует фиксированный набор областей вместо динамического согласия при получении маркеров доступа.
- Ваше приложение не использует грант на парольные данные владельца ресурса. Этот тип предоставления не поддерживается системой проверки подлинности резервного копирования для любого типа клиента. Корпорация Майкрософт настоятельно рекомендует переключиться на альтернативные потоки предоставления для повышения безопасности и устойчивости.
- Ваше приложение не зависит от конечной точки UserInfo. Переключение на использование маркера идентификатора уменьшает задержку, устраняя до двух сетевых запросов и используя существующую поддержку устойчивости маркера идентификатора в системе проверки подлинности резервного копирования.
Собственные приложения
Собственные приложения — это общедоступные клиентские приложения, которые выполняются непосредственно на настольных или мобильных устройствах, а не в веб-браузере. Они зарегистрированы как публичные клиенты в настройках регистрации приложений в Центре администрирования Microsoft Entra или на портале Azure.
Родные приложения защищены системой резервной аутентификации, если все следующие условия выполняются:
- Приложение сохраняет кэш маркеров по крайней мере три дня. Приложения должны использовать расположение кэша маркеров устройства или API сериализации кэша маркеров для сохранения кэша маркеров даже при закрытии приложения.
- Приложение использует API MSAL AcquireTokenSilent для получения токенов с помощью кэшированных обновляющих токенов. Использование API AcquireTokenInteractive может не получить токен из резервной системы аутентификации, если требуется взаимодействие с пользователем.
Система резервной аутентификации в настоящее время не поддерживает предоставление авторизации устройства.
Одностраничные веб-приложения
Одностраничные веб-приложения (SPAs) имеют ограниченную поддержку в системе проверки подлинности резервного копирования. Веб-приложения, использующие неявный поток предоставления и запрашивающие только токены идентификатора OpenID Connect, защищены. Только приложения, использующие MSAL.js 1.x или реализующие неявный поток предоставления, могут напрямую использовать эту защиту, так как MSAL.js 2.x не поддерживает неявный поток.
В настоящее время резервная система аутентификации не поддерживает поток кода авторизации с проверочным ключом для обмена кодами.
Веб-приложения и службы
Система проверки подлинности резервного копирования в настоящее время не поддерживает веб-приложения и службы, настроенные как конфиденциальные клиенты. Защита для потока предоставления кода авторизации и последующего получения токенов с использованием маркеров обновления, секретов клиента или учетных данных сертификата в настоящее время не поддерживается. В настоящий момент поток OAuth 2.0 «от имени» не поддерживается.
Одноразовая аутентификация SAML 2.0
Система проверки подлинности резервного копирования частично поддерживает протокол единого входа (SAML) 2.0. Потоки, использующие инициированный поставщиком удостоверений (IdP) поток SAML 2.0, защищены системой резервной проверки подлинности. Приложения, использующие поток, инициированный поставщиком услуг (SP), в настоящее время не защищены системой проверки подлинности резервного копирования.
Протоколы аутентификации рабочей нагрузки, поддерживаемые резервной системой аутентификации
OAuth 2.0
Управляемое удостоверение
Приложения, использующие управляемые удостоверения для получения токенов доступа Microsoft Entra, защищены. Корпорация Майкрософт рекомендует использовать управляемые удостоверения, назначаемые пользователем, в большинстве сценариев. Эта защита применяется как к управляемым удостоверениям, назначаемым пользователем, так и к управляемым удостоверениям, назначаемым системой.
Субъект-служба
Система аутентификации резервного копирования в настоящее время не поддерживает аутентификацию с помощью удостоверения рабочей нагрузки, основанную на главном объекте службы, с использованием потока предоставления учетных данных клиента. Корпорация Майкрософт рекомендует использовать версию MSAL, соответствующую вашей платформе, чтобы приложение защищено системой проверки подлинности резервного копирования, когда защита станет доступной.