Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эти конфигурации и рекомендации помогут вам избежать распространенных сценариев, которые блокируют доступ пользователей приложений к проверке подлинности без пароля FIDO2 .
Общие рекомендации
Подсказки по домену
Не используйте подсказку домена, чтобы обойти обнаружение домашней области. Эта функция предназначена для упрощения входа, но федеративный поставщик удостоверений может не поддерживать проверку подлинности без пароля.
Требование определенных учетных данных
Если вы используете SAML, не указывайте, что пароль требуется, с помощью элемента RequestedAuthnContext.
Элемент RequestedAuthnContext является необязательным, поэтому для устранения этой проблемы его можно удалить из запросов на проверку подлинности SAML. Это общая рекомендация, так как использование этого элемента также может помешать правильной работе других вариантов аутентификации, таких как многофакторная аутентификация.
Использование последнего использованного метода аутентификации
Метод входа, который пользователь использовал в последний раз, будет представлен ему в первую очередь. Это может привести к путанице, когда пользователи считают, что они должны использовать первый представленный вариант. Однако они могут выбрать другой вариант, выбрав «Другие способы входа», как показано ниже.
Рекомендации для конкретных платформ
Виндоус
Рекомендуемые варианты реализации аутентификации заключаются в следующем:
- Классические приложения .NET, использующие библиотеку проверки подлинности Майкрософт (MSAL), должны использовать диспетчер проверки подлинности Windows (WAM). Эта интеграция и ее преимущества описаны на GitHub.
- Используйте WebView2 для поддержки FIDO2 во встроенном браузере.
- Используйте системный браузер. Библиотеки MSAL для настольных платформ используют этот метод по умолчанию. Вы можете ознакомиться с нашей страницей о совместимости браузеров FIDO2, чтобы убедиться, что используемый вами браузер поддерживает аутентификацию FIDO2.
Андроид
FIDO2 поддерживается для приложений Android, использующих MSAL с BROWSER в качестве агента авторизации пользователя или интеграции брокера. Брокер поставляется в Microsoft Authenticator, Корпоративном портале или приложении "Ссылка на Windows" на Android.
Если вы не используете MSAL, вам все равно следует использовать системный веб-браузер для проверки подлинности. Такие функции, как единый вход и условный доступ, зависят от общей веб-поверхности, предоставляемой системным веб-браузером.
iOS и macOS
FIDO2 поддерживается для приложений iOS, использующих MSAL с ASWebAuthenticationSession или интеграцией с брокером. Брокер поставляется в Microsoft Authenticator на iOS и Microsoft Intune Company Portal на macOS.
Убедитесь, что сетевой прокси-сервер не блокирует проверку соответствующего домена компанией Apple. Для проверки подлинности FIDO2 требуется успешная проверка связанного домена Apple, что требует исключения определенных доменов Apple из сетевых прокси-серверов. Для получения дополнительной информации см. раздел Использование продуктов Apple в корпоративных сетях.
Если вы не используете MSAL, вам все равно следует использовать системный веб-браузер для проверки подлинности. Такие функции, как единый вход и условный доступ, зависят от общей веб-поверхности, предоставляемой системным веб-браузером. Дополнительные сведения см. в разделе Аутентификация пользователя с помощью веб-службы | Документация Apple для разработчиков.
Веб-приложения и одностраничные приложения
Доступность проверки подлинности без пароля FIDO2 для приложений, работающих в веб-браузере, будет зависеть от комбинации браузера и платформы. Вы можете обратиться к нашей матрице совместимости FIDO2 , чтобы проверить, поддерживается ли комбинация, с которой столкнутся ваши пользователи.
Дальнейшие шаги
Метод проверки подлинности парольных ключей (FIDO2) в Microsoft Entra ID