中转身份验证使用系统身份验证代理收集用户凭据,以对应用进行身份验证。 系统身份验证代理是在用户计算机上运行的应用,用于管理所有连接的帐户的身份验证握手和令牌维护。
中转身份验证具有以下优势:
- 启用单点登录(SSO): 使应用能够简化用户使用 Microsoft Entra ID 进行身份验证,并保护 Microsoft Entra ID 刷新令牌免受外泄和滥用。
- 增强的安全性: 许多安全增强功能都随中转站一起提供,无需更新应用逻辑。
- 增强的功能支持: 在代理的帮助下,开发人员可以访问丰富的 OS 和服务功能。
- 系统集成: 运用内置帐户选择器的代理即插即用应用程序,允许用户快速选择现有帐户,而无需反复输入相同的凭据。
- 令牌保护: 确保刷新令牌已绑定设备,并使应用能够获取设备绑定访问令牌。 请参阅 令牌保护。
Windows 提供名为 Web 帐户管理器(WAM)的身份验证代理。 WAM 使标识提供者(如 Microsoft Entra ID)能够原生集成到操作系统中,并为应用程序提供安全的登录服务。 中介身份验证使应用程序能够执行交互式登录凭据允许的所有操作。
支持个人Microsoft帐户和工作或学校帐户。 在受支持的 Windows 版本中,基于浏览器的默认 UI 替换为更流畅的身份验证体验,类似于内置 Windows 应用。
Linux 使用 Microsoft Linux 单一登录 作为其身份验证代理。
配置应用进行代理身份验证
若要在应用程序中启用中转身份验证,请执行以下步骤:
在 Azure 门户中,导航到 Microsoft Entra ID ,然后选择左侧菜单中 的应用注册 。
选择应用注册,然后选择“身份验证”。
通过平台配置将适当的重定向 URI 添加到应用注册:
在 “平台配置”下,选择“ + 添加平台”。
在 “配置平台”下,选择应用程序类型(平台)的磁贴以配置其设置,例如 移动和桌面应用程序。
在 自定义重定向 URI 中,输入平台的以下重定向 URI:
平台 重定向 URI Windows 10+ 或 WSL ms-appx-web://Microsoft.AAD.BrokerPlugin/{your_client_id}macOS msauth.com.msauth.unsignedapp://auth适用于未签名的应用
msauth.{bundle_id}://auth用于已签名的应用Linux https://login.microsoftonline.com/common/oauth2/nativeclient从应用注册的
{your_client_id}窗格中,将{bundle_id}或替换为应用程序(客户端)ID。选择配置。
若要了解详细信息,请参阅 向应用注册添加重定向 URI。
返回“身份验证”窗格,在“高级设置”下,选择“是”以允许公共客户端流。
选择保存以应用更改。
若要授权应用程序使用特定资源,请导航到相关的资源,选择“API 权限”,然后启用 Microsoft Graph 和其他要访问的资源。
重要
你还必须是租户的管理员,才能在首次登录时同意应用程序。
分配角色
若要使用中转身份验证成功运行应用代码,请使用 Azure 基于角色的访问控制(RBAC)授予用户帐户权限。 为用户帐户分配相应的 Azure 服务角色。 例如:
- Azure Blob 存储:分配存储帐户数据贡献者角色。
- Azure Key Vault:分配 Key Vault Secrets Officer 角色。
如果指定了应用,则必须为 user_impersonation访问 Azure 存储 设置 API 权限(上一部分中的步骤 6)。 此 API 权限允许应用在登录期间授予同意后代表已登录用户访问 Azure 存储。
实现代码
Azure 标识库支持使用 InteractiveBrowserCredential 进行中转身份验证。 例如,若要在 Node.js 控制台应用中使用 InteractiveBrowserCredentialSecretClient 向 Azure Key Vault 进行身份验证,请执行以下步骤:
安装 @azure/identity 和 @azure/identity-broker 包:
npm install @azure/identity @azure/identity-broker使用代理选项创建 InteractiveBrowserCredential 实例并注册本机代理插件:
import { useIdentityPlugin, InteractiveBrowserCredential } from "@azure/identity"; import { nativeBrokerPlugin } from "@azure/identity-broker"; // Register the native broker plugin for brokered authentication useIdentityPlugin(nativeBrokerPlugin); // Use InteractiveBrowserCredential with broker for interactive or silent authentication // On Windows: Uses Windows Authentication Manager (WAM) - you'll be prompted to sign in // On macOS: Opens a browser window for authentication, since the broker flow isn't currently supported. // On Linux: Uses Microsoft Single Sign-on (SSO) for Linux. const credential = new InteractiveBrowserCredential({ brokerOptions: { enabled: true, useDefaultBrokerAccount: true, // For Node.js console apps, we need to provide an empty buffer for parentWindowHandle parentWindowHandle: new Uint8Array(0), }, });
小窍门
在 Azure SDK for JavaScript GitHub 存储库中查看 完整的示例应用代码 。
在前面的示例中,属性useDefaultBrokerAccount 被设置为true,这意味着使用默认系统帐户进入无提示的中介身份验证流。 这样,用户就不必重复选择同一帐户。 如果无提示、中转身份验证失败或 useDefaultBrokerAccount 设置为 false, InteractiveBrowserCredential 则回退到交互式中转身份验证。
以下屏幕截图显示了备用的交互式中转身份验证体验:
以下视频显示了备用的交互式中转身份验证体验:
