Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо: 
Арендаторы рабочей силы 
Внешние арендаторы (узнать больше)
Встроенная проверка подлинности Microsoft Entra позволяет полностью контролировать дизайн процесса входа как в ваши мобильные, так и настольные приложения. В отличие от решений на основе браузера, нативная аутентификация позволяет создавать визуально привлекательные, идеально вписывающиеся в интерфейс приложения экраны аутентификации. Благодаря этому подходу можно полностью настроить пользовательский интерфейс, включая элементы дизайна, размещение логотипа и макет, обеспечивая согласованный и фирменный вид.
Стандартный процесс входа в приложение, который зависит от браузерной проверки подлинности, часто приводит к сбою во время проверки подлинности. Пользователи временно перенаправляются в системный браузер для проверки подлинности, только чтобы вернуться в приложение после завершения входа.
Хотя делегированная браузером проверка подлинности обеспечивает такие преимущества, как сокращенные векторы атак и поддержка единого входа, он предлагает ограниченные параметры настройки пользовательского интерфейса.
Доступные методы проверки подлинности
В настоящее время поставщик удостоверения локальной учетной записи поддерживает два метода проверки подлинности: встроенную проверку подлинности.
- Электронная почта для входа с одноразовым паролем (ОТП).
- Вход с использованием адреса электронной почты и пароля с поддержкой сброса пароля в режиме самообслуживания (SSPR).
Встроенная проверка подлинности пока не поддерживает федеративные поставщики удостоверений, такие как социальные или корпоративные удостоверения.
Когда следует использовать собственную проверку подлинности
Когда речь заходит о внедрении аутентификации для мобильных и настольных приложений на External ID, у вас есть два варианта:
- Аутентификация, делегированная браузером и размещенная корпорацией Майкрософт.
- Полностью настраиваемая проверка подлинности на основе собственного пакета SDK.
Выбранный подход зависит от конкретных требований вашего приложения. Хотя каждое приложение имеет уникальные требования к проверке подлинности, следует учитывать некоторые распространенные аспекты. Независимо от того, выбираете ли вы собственную проверку подлинности или делегированную браузером проверку подлинности, внешний идентификатор Microsoft Entra поддерживает оба из них.
В следующей таблице сравниваются два метода проверки подлинности, которые помогут вам выбрать правильный вариант для приложения.
| Делегированная браузером проверка подлинности | Встроенная аутентификация | |
|---|---|---|
| Опыт проверки подлинности пользователей | Пользователи отправляются в системный браузер или внедренный браузер для проверки подлинности только для перенаправления обратно в приложение после завершения входа. Этот метод рекомендуется, если перенаправление не влияет на взаимодействие с конечным пользователем. | Пользователи имеют богатый, собственный путь регистрации и входа, не покидая приложение. |
| Опыт настройки | Управляемые параметры фирменной символики и настройки доступны в качестве встроенной функции. | Этот подход, ориентированный на API, обеспечивает высокий уровень настройки, обеспечивая обширную гибкость в проектировании и возможности создания специализированных взаимодействий и потоков. |
| Применимость | Подходит для рабочих ресурсов, приложений B2B и B2C, его можно использовать для собственных приложений, одностраничных приложений и веб-приложений. | Для клиентских приложений, когда одна и та же сущность управляет сервером авторизации и приложением, а пользователь воспринимает их как одну и ту же сущность. |
| Усилия по запуску | Низко. Используйте его прямо из коробки. | Высоко. Разработчик создает, владеет и поддерживает интерфейс проверки подлинности. |
| Усилия по обслуживанию | Низко. | Высоко. Для каждой функции, выпущенной корпорацией Майкрософт, необходимо обновить пакет SDK для его использования. |
| Безопасность | Самый безопасный вариант. | Ответственность за безопасность предоставляется разработчикам, и следует следовать рекомендациям. Это подвержено фишинговым атакам. |
| Поддерживаемые языки и платформы |
|
|
Доступность функций
В следующей таблице показано, какие функции доступны для делегированной браузером и родной проверки подлинности.
| Делегированная браузером проверка подлинности | Встроенная аутентификация | |
|---|---|---|
| Регистрация и вход с помощью одноразового секретного кода электронной почты (OTP) | ✔️ | ✔️ |
| Регистрация и вход с помощью электронной почты и пароля | ✔️ | ✔️ |
| Самостоятельный сброс пароля (SSPR) | ✔️ | ✔️ |
| Поставщик пользовательских требований | ✔️ | ✔️ |
| Вход через поставщика социальной идентификации | ✔️ | ❌ |
| Многофакторная проверка подлинности с помощью однократного секретного кода электронной почты (OTP) | ✔️ | ❌ |
| Многофакторная проверка подлинности с помощью SMS | ✔️ | ❌ |
| Единый вход (SSO) | ✔️ | ❌ |
Включение собственной проверки подлинности
Сначала ознакомьтесь с приведенными выше рекомендациями по использованию собственной проверки подлинности. Затем проведите внутреннее обсуждение с владельцем вашего приложения, дизайнером и командой разработки, чтобы определить, требуется ли нативная аутентификация.
Если ваша команда определила, что собственная проверка подлинности необходима для приложения, выполните следующие действия, чтобы включить собственную проверку подлинности в Центре администрирования Microsoft Entra:
- Войдите в центр администрирования Microsoft Entra.
- Перейдите к регистрации приложений> и выберите регистрациюприложения, для которой требуется включить общедоступный клиент и собственные потоки проверки подлинности.
- В разделе Управление выберите Проверка подлинности.
- В разделе Дополнительные параметрыразрешить общедоступные потоки клиентов:
- Включите следующие потоки для мобильных и десктопных устройств и выберите Да.
- Для включения функции собственной аутентификациивыберите Да.
- Нажмите кнопку Сохранить.
Обновление кода конфигурации
После включения собственных API проверки подлинности в Центре администрирования вам по-прежнему необходимо обновить код конфигурации приложения для поддержки собственных потоков проверки подлинности для Android или iOS/macOS. Для этого необходимо добавить поле типа челленджа в вашу конфигурацию. Типы вызовов — это список значений, которые приложение использует для уведомления Microsoft Entra о методе проверки подлинности, который он поддерживает. Дополнительные сведения о типах вызовов для локальной проверки подлинности можно узнать здесь. Если конфигурация не обновляется для интеграции компонентов собственной проверки подлинности, пакеты SDK и API для собственной проверки подлинности не будут использоваться.
Риск включения встроенной проверки подлинности
Родная аутентификация Microsoft Entra не поддерживает единого входа (SSO), и ответственность за обеспечение безопасности приложения лежит на вашей команде разработчиков.
Использование родной проверки подлинности
Вы можете создавать приложения, использующие собственную проверку подлинности, с помощью собственных API проверки подлинности или пакета SDK библиотеки проверки подлинности Майкрософт (MSAL) для Android, iOS/macOS и веб-приложений. По возможности рекомендуется использовать MSAL для добавления родной аутентификации в приложения.
Дополнительные сведения о примерах и руководствах по собственной проверке подлинности см. в следующей таблице.
| Язык/ Платформа |
Быстрый старт | Руководство по сборке и интеграции |
|---|---|---|
| Android (Kotlin) | • Вход пользователей | • Вход пользователей |
| iOS (Swift) | • Вход пользователей | • Вход пользователей |
| macOS (Swift) | • Вход пользователей | • Вход пользователей |
| React (Next.js) | • Краткое руководство | • Учебники |
| Угловой | • Краткое руководство | • Учебники |
Если вы планируете создать приложение на платформе, не поддерживаемой MSAL, вы можете использовать наш API проверки подлинности. Дополнительные сведения см. в этой справочной статье по API.