Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: 
Dzierżawcy pracowników (dowiedz się więcej)
Logowanie jednokrotne (SSO) to kluczowa oferta platformy tożsamości firmy Microsoft i identyfikatora Entra firmy Microsoft, która zapewnia łatwe i bezpieczne logowania dla użytkowników aplikacji. Ponadto zasady ochrony aplikacji (APP) umożliwiają obsługę kluczowych zasad zabezpieczeń, które zapewniają bezpieczeństwo danych użytkownika. Te funkcje umożliwiają bezpieczne logowanie użytkowników i zarządzanie danymi aplikacji.
W tym artykule wyjaśniono, dlaczego logowanie jednokrotne i aplikacja są ważne i zawiera ogólne wskazówki dotyczące tworzenia aplikacji mobilnych, które obsługują te funkcje. Dotyczy to zarówno aplikacji na telefon, jak i tablet. Jeśli jesteś administratorem IT, który chce wdrożyć logowanie jednokrotne (SSO) w dzierżawie Microsoft Entra w Twojej organizacji, zapoznaj się z naszymi wskazówkami dotyczącymi planowania wdrożenia logowania jednokrotnego
Informacje o zasadach logowania jednokrotnego i ochrony aplikacji
Logowanie jednokrotne (SSO) umożliwia użytkownikowi logowanie się raz i uzyskiwanie dostępu do innych aplikacji bez konieczności ponownego wprowadzania poświadczeń. Ułatwia to uzyskiwanie dostępu do aplikacji i eliminuje potrzebę zapamiętania długich list nazw użytkowników i haseł. Zaimplementowanie jej w aplikacji ułatwia uzyskiwanie dostępu do aplikacji i korzystanie z niej.
Ponadto włączenie logowania jednokrotnego w aplikacji umożliwia odblokowanie nowych mechanizmów uwierzytelniania, które są wyposażone w nowoczesne uwierzytelnianie, takie jak logowanie bez hasła. Nazwy użytkowników i hasła są jednym z najpopularniejszych wektorów ataków przeciwko aplikacjom, a włączenie logowania jednokrotnego pozwala ograniczyć to ryzyko, wymuszając dostęp warunkowy lub logowania bez hasła, które dodają dodatkowe zabezpieczenia lub polegają na bezpieczniejszych mechanizmach uwierzytelniania. Na koniec włączenie logowania jednokrotnego umożliwia również wylogowanie jednokrotne. Jest to przydatne w sytuacjach takich jak aplikacje służbowe, które będą używane na udostępnionych urządzeniach.
Zasady ochrony aplikacji (APP) zapewniają, że dane organizacji pozostają bezpieczne i zawarte. Umożliwiają firmom zarządzanie danymi w aplikacji i ich ochronę oraz kontrolowanie, kto może uzyskiwać dostęp do aplikacji i jej danych. Implementowanie zasad ochrony aplikacji umożliwia aplikacji łączenie użytkowników z zasobami chronionymi przez zasady dostępu warunkowego i bezpieczne przesyłanie danych do i z innych chronionych aplikacji. Scenariusze odblokowane przez zasady ochrony aplikacji obejmują wymóg otwarcia aplikacji przez numer PIN, kontrolowanie udostępniania danych między aplikacjami oraz uniemożliwianie zapisywania danych aplikacji firmowych w osobistych lokalizacjach przechowywania.
Implementowanie logowania jednokrotnego
Zalecamy wykonanie poniższych czynności, aby umożliwić aplikacji korzystanie z logowania jednokrotnego.
Korzystanie z biblioteki Microsoft Authentication Library (MSAL)
Najlepszym wyborem do zaimplementowania logowania jednokrotnego w aplikacji jest użycie biblioteki Microsoft Authentication Library (MSAL). Korzystając z biblioteki MSAL, możesz dodać uwierzytelnianie do aplikacji z minimalnym kodem i wywołaniami interfejsu API, uzyskać pełne funkcje platformy tożsamości firmy Microsoft i umożliwić firmie Microsoft obsługę konserwacji bezpiecznego rozwiązania do uwierzytelniania. Domyślnie MSAL dodaje obsługę SSO dla Twojej aplikacji. Ponadto użycie biblioteki MSAL jest wymagane, jeśli planujesz również zaimplementować zasady ochrony aplikacji.
Uwaga / Notatka
Istnieje możliwość skonfigurowania biblioteki MSAL do korzystania z osadzonego widoku internetowego. Uniemożliwi to logowanie jednokrotne. Użyj domyślnego zachowania (czyli systemowej przeglądarki internetowej), aby upewnić się, że logowanie jednokrotne będzie działać.
W przypadku aplikacji iOS mamy szybki start pokazujący, jak skonfigurować logowania przy użyciu MSAL, oraz wskazówki dotyczące konfiguracji MSAL dla różnych scenariuszy SSO.
W przypadku aplikacji systemu Android mamy przewodnik Szybki start pokazujący, jak skonfigurować logowania przy użyciu biblioteki MSAL oraz wskazówki dotyczące włączania logowania jednokrotnego między aplikacjami w systemie Android przy użyciu biblioteki MSAL.
Korzystanie z systemowej przeglądarki internetowej
Przeglądarka internetowa jest wymagana do uwierzytelniania interakcyjnego. W przypadku aplikacji mobilnych korzystających z nowoczesnych bibliotek uwierzytelniania innych niż biblioteki MSAL (czyli innych bibliotek OpenID Connect lub SAML) lub implementujących własny kod uwierzytelniania, należy użyć przeglądarki systemowej jako platformy uwierzytelniania, aby umożliwić SSO (logowanie jednokrotne).
Google ma wskazówki dotyczące tego, jak to robić w aplikacjach Android: Chrome Custom Tabs - Google Chrome.
Firma Apple ma wskazówki dotyczące wykonywania tej czynności w aplikacjach systemu iOS: uwierzytelnianie użytkownika za pośrednictwem usługi internetowej | Dokumentacja dla deweloperów firmy Apple.
Wskazówka
Wtyczka logowania jednokrotnego dla urządzeń firmy Apple umożliwia logowanie jednokrotne dla aplikacji systemu iOS korzystających z osadzonych widoków internetowych na urządzeniach zarządzanych przy użyciu usługi Intune. Zalecamy bibliotekę MSAL i przeglądarkę systemową jako najlepszą opcję tworzenia aplikacji, które umożliwiają logowanie jednokrotne dla wszystkich użytkowników, ale umożliwi to logowanie jednokrotne w niektórych scenariuszach, w których w przeciwnym razie nie jest to możliwe.
Włączanie zasad ochrony aplikacji
Aby włączyć zasady ochrony aplikacji, użyj biblioteki Microsoft Authentication Library (MSAL). Biblioteka MSAL to biblioteka uwierzytelniania i autoryzacji platformy tożsamości firmy Microsoft, a zestaw SDK usługi Intune jest opracowywany w celu współpracy z nią.
Ponadto do uwierzytelniania należy użyć aplikacji brokera. Broker wymaga od aplikacji podania informacji o aplikacji i urządzeniu w celu zapewnienia zgodności aplikacji. Użytkownicy systemu iOS będą używać aplikacji Microsoft Authenticator , a użytkownicy systemu Android będą używać aplikacji Microsoft Authenticator lub aplikacji Portal firmy do uwierzytelniania obsługiwanego przez brokera. Domyślnie biblioteka MSAL używa brokera jako pierwszego wyboru do spełnienia żądania uwierzytelniania, więc użycie brokera do uwierzytelniania zostanie automatycznie włączone dla aplikacji podczas korzystania z domyślnej konfiguracji MSAL.
Na koniec dodaj zestaw SDK usługi Intune do aplikacji, aby włączyć zasady ochrony aplikacji. SDK w głównej mierze bazuje na modelu przechwytywania i automatycznie stosuje zasady ochrony aplikacji, aby określić, czy działania podejmowane przez aplikację są dozwolone. Istnieją również interfejsy API, które można wywołać ręcznie, aby poinformować aplikację, czy istnieją ograniczenia dotyczące niektórych akcji.