Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O sistema de autenticação de backup Microsoft Entra fornece resiliência a aplicativos que usam protocolos e fluxos suportados. Para obter mais informações sobre o sistema de autenticação de backup, consulte Sistema de autenticação de backup do Microsoft Entra ID.
Requisitos de aplicação para proteção
Os aplicativos devem se comunicar com um nome de host suportado para determinado ambiente do Azure e usar protocolos atualmente suportados pelo sistema de autenticação de backup. O uso de bibliotecas de autenticação, como a Microsoft Authentication Library (MSAL), garante que você esteja usando protocolos de autenticação suportados pelo sistema de autenticação de backup.
Nomes de host suportados pelo sistema de autenticação de backup
| Ambiente do Azure | Nome de host suportado |
|---|---|
| Azure Comercial | login.microsoftonline.com |
| Azure Government | login.microsoftonline.us |
Protocolos de autenticação suportados pelo sistema de autenticação de backup
OAuth 2.0 e OpenID Connect (OIDC)
Orientações comuns
Todas as aplicações que utilizam os protocolos Open Authorization (OAuth) 2.0 ou OIDC devem aderir às seguintes práticas para garantir a resiliência:
- Seu aplicativo usa MSAL ou segue estritamente as especificações OpenID Connect & OAuth2. A Microsoft recomenda o uso de bibliotecas MSAL apropriadas à sua plataforma e caso de uso. O uso dessas bibliotecas garante que o uso de APIs e padrões de chamada sejam suportados pelo sistema de autenticação de backup.
- O seu aplicativo utiliza um conjunto fixo de escopos em vez de consentimento dinâmico ao adquirir tokens de acesso.
- Seu aplicativo não usa a Concessão de Credenciais de Senha do Proprietário do Recurso. Esse tipo de concessão não será suportado pelo sistema de autenticação de backup para nenhum tipo de cliente. A Microsoft recomenda vivamente a mudança para fluxos de subvenção alternativos para uma melhor segurança e resiliência.
- O seu aplicativo não depende do endpoint UserInfo. Em vez disso, mudar para o uso de um token de ID reduz a latência eliminando até duas solicitações de rede e usa o suporte existente para resiliência de token de ID no sistema de autenticação de backup.
Aplicações nativas
Aplicativos nativos são aplicativos cliente públicos que são executados diretamente em desktop ou dispositivos móveis e não em um navegador da Web. Eles são registrados como clientes públicos em seu registro de aplicativo no centro de administração do Microsoft Entra ou no portal do Azure.
Os aplicativos nativos são protegidos pelo sistema de autenticação de backup quando todos os itens a seguir são verdadeiros:
- Seu aplicativo persiste o cache de token por pelo menos três dias. As aplicações devem usar a localização do cache de tokens do dispositivo ou a API de serialização de cache de tokens para preservar o cache de tokens mesmo quando o utilizador fecha a aplicação.
- Seu aplicativo usa a API MSAL AcquireTokenSilent para recuperar tokens usando Refresh Tokens armazenados em cache. O uso da API AcquireTokenInteractive pode falhar ao adquirir um token do sistema de autenticação de backup caso seja necessária a interação do utilizador.
Atualmente, o sistema de autenticação de backup não suporta a concessão de autorização do dispositivo.
Aplicações Web de página única
Os aplicativos Web de página única (SPAs) têm suporte limitado no sistema de autenticação de backup. Os SPAs que usam o fluxo de concessão implícito e solicitam apenas tokens OpenID Connect ID são protegidos. Somente aplicativos que usam o MSAL.js 1.x ou implementam o fluxo de concessão implícito diretamente podem usar essa proteção, já que o MSAL.js 2.x não suporta o fluxo implícito.
Atualmente, o sistema de autenticação de backup não suporta o fluxo de código de autorização com a Proof Key for Code Exchange.
Aplicações e serviços Web
Atualmente, o sistema de autenticação de backup não oferece suporte a aplicativos e serviços Web configurados como clientes confidenciais. A proteção para o fluxo de concessão do código de autorização e a aquisição subsequente de tokens, utilizando tokens de atualização e segredos do cliente ou credenciais de certificado, não é atualmente suportada. O OAuth 2.0 fluxo em nome de não é suportado no momento.
Logon único (SSO) SAML 2.0
O sistema de autenticação de backup suporta parcialmente o protocolo de logon único (SSO) SAML (Security Assertion Markup Language) 2.0. Os fluxos que usam o fluxo iniciado pelo Provedor de Identidade SAML 2.0 (IdP) são protegidos pelo sistema de autenticação de backup. Os aplicativos que usam o fluxo iniciado pelo provedor de serviços (SP) não estão atualmente protegidos pelo sistema de autenticação de backup.
Protocolos de autenticação de identidade de carga de trabalho suportados pelo sistema de autenticação de backup
OAuth 2.0
Identidade gerida
Os aplicativos que usam Identidades Gerenciadas para adquirir tokens de acesso do Microsoft Entra são protegidos. A Microsoft recomenda o uso de identidades gerenciadas atribuídas pelo usuário na maioria dos cenários. Essa proteção se aplica às identidades gerenciadas atribuídas ao usuário e ao sistema.
Principal de serviço
Atualmente, o sistema de autenticação de backup não oferece suporte à autenticação de identidade de carga de trabalho baseada na entidade de serviço usando o fluxo de concessão de credenciais do cliente. A Microsoft recomenda o uso da versão do MSAL apropriada à sua plataforma para que seu aplicativo seja protegido pelo sistema de autenticação de backup quando a proteção estiver disponível.