Sdílet prostřednictvím

Nativní ověřování v Microsoft Entra Externí ID

  • Článek

Platí pro: Bílý kruh se šedým symbolem X. Tenanti pracovních sil – externí tenanti Zelený kruh s bílým symbolem zaškrtnutí (další informace)

Nativní ověřování Microsoft Entra umožňuje mít plnou kontrolu nad návrhem přihlašování mobilních a desktopových aplikací. Na rozdíl od řešení založených na prohlížeči vám nativní ověřování umožňuje vytvářet vizuálně atraktivní a dokonalé ověřovací obrazovky s pixely, které se bezproblémově prolínají s rozhraním vaší aplikace. Díky tomuto přístupu můžete uživatelské rozhraní plně přizpůsobit, včetně prvků návrhu, umístění loga a rozložení, zajištění konzistentního a značkového vzhledu.

Standardní proces přihlašování aplikací, který spoléhá na ověřování delegované prohlížečem, často vede k rušivému přechodu během ověřování. Uživatelé jsou dočasně přesměrováni do systémového prohlížeče pro ověřování, aby se po dokončení přihlášení vrátili zpět do aplikace.

I když ověřování delegované prohlížečem nabízí výhody, jako jsou omezené vektory útoku a podpora jednotného přihlašování,nabízí omezené možnosti přizpůsobení uživatelského rozhraní a špatné uživatelské prostředí.

Dostupné metody ověřování

V současné době nativní ověřování podporuje zprostředkovatele identity místního účtu pro dvě metody ověřování:

  • E-mail s jednorázovým heslem (OTP) přihlášením
  • Přihlášení e-mailem a heslem s podporou samoobslužného resetování hesla (SSPR).

Nativní ověřování zatím nepodporuje zprostředkovatele federovaných identit, jako jsou sociální nebo podnikové identity.

Kdy použít nativní ověřování

Pokud jde o implementaci ověřování pro mobilní a desktopové aplikace na externím ID, máte dvě možnosti:

  • Ověřování delegované prohlížečem hostované Microsoftem
  • Plně vlastní nativní ověřování založené na sadě SDK

Zvolený přístup závisí na konkrétních požadavcích vaší aplikace. I když každá aplikace potřebuje jedinečné ověřování, je potřeba vzít v úvahu některé běžné aspekty. Bez ohledu na to, jestli zvolíte nativní ověřování nebo delegované ověřování v prohlížeči, Microsoft Entra Externí ID podporuje obojí.

Následující tabulka porovnává dvě metody ověřování, které vám pomůžou rozhodnout se, jaká je správná možnost pro vaši aplikaci.

Delegované ověřování v prohlížeči Nativní ověřování
Prostředí ověřování uživatelů Uživatelé se převedou do systémového prohlížeče nebo vloženého prohlížeče, aby ověřování bylo možné přesměrovat zpět do aplikace, až se přihlášení dokončí. Tato metoda se doporučuje, pokud přesměrování nemá negativní vliv na prostředí koncového uživatele. Uživatelé mají bohatou nativní cestu registrace a přihlašování, aniž by museli aplikaci opustit.
Prostředí pro přizpůsobení Možnosti spravovaného brandingu a přizpůsobení jsou k dispozici jako předefinovaná funkce. Tento přístup orientovaný na rozhraní API nabízí vysokou úroveň přizpůsobení, což poskytuje rozsáhlou flexibilitu při návrhu a možnost vytvářet přizpůsobené interakce a toky.
Použitelnost Hodí se pro pracovní síly, B2B a aplikace B2C, které lze použít pro nativní aplikace, jednostrákové aplikace a webové aplikace. U aplikací třetích stran zákazníka platí, že když stejná entita provozuje autorizační server a aplikaci a uživatel je považuje za stejnou entitu.
Jdi do živého úsilí Nízká. Používejte ho přímo z krabice. Vysoká. Vývojář sestaví, vlastní a udržuje prostředí ověřování.
Úsilí o údržbu Nízká. Vysoká. Pro každou funkci, kterou Microsoft vydává, je potřeba aktualizovat sadu SDK, aby ji používala.
Zabezpečení Nejbezpečnější možnost. Odpovědnost za zabezpečení se sdílí s vývojáři a je potřeba dodržovat osvědčené postupy. Útoky phishing jsou náchylné.
Podporované jazyky a architektury
  • ASP.NET Core
  • Android (Kotlin, Java)
  • iOS/macOS (Swift, Objective-C)
  • JavaScript
  • React
  • Angular
  • Nodejs
  • Python
  • Java
  • Android (Kotlin, Java)
  • iOS/macOS (Swift, Objective-C)
Pro jiné jazyky a platformy můžete použít naše nativní rozhraní API pro ověřování.

Dostupnost funkcí

Následující tabulka uvádí dostupnost funkcí pro delegované prohlížeče a nativní ověřování.

Delegované ověřování v prohlížeči Nativní ověřování
Registrace a přihlášení pomocí jednorázového hesla (OTP) e-mailu ✔️ ✔️
Registrace a přihlášení pomocí e-mailu a hesla ✔️ ✔️
Samoobslužné resetování hesla (SSPR) ✔️ ✔️
Vlastní zprostředkovatel deklarací identity ✔️ ✔️
Přihlášení zprostředkovatele sociálních identit ✔️
Vícefaktorové ověřování pomocí jednorázového hesla e-mailu (OTP) ✔️
Vícefaktorové ověřování pomocí sms ✔️
Jednotné přihlašování (SSO) ✔️

Povolení nativního ověřování

Nejprve si projděte výše uvedené pokyny, kdy použít nativní ověřování. Pak si prodiskutujte interní diskuzi s obchodním vlastníkem, návrhářem a vývojovým týmem vaší aplikace, abyste zjistili, jestli je potřeba nativní ověřování.

Pokud váš tým zjistil, že nativní ověřování je nezbytné pro vaši aplikaci, povolte nativní ověřování v Centru pro správu Microsoft Entra pomocí následujícího postupu:

  1. Přihlaste se do Centra pro správu Microsoft Entra.
  2. Přejděte na Aplikace> Registrace aplikací a vyberte aplikaci.
  3. Přejděte na Ověřování a vyberte kartu Nastavení .
  4. Vyberte pole Povolit nativní ověřování a pole Povolit tok veřejného klienta.

Jakmile povolíte povolit nativní ověřování i povolit tok veřejného klienta, odpovídajícím způsobem aktualizujte konfigurační kód.

Aktualizace konfiguračního kódu

Po povolení nativních rozhraní API pro ověřování v Centru pro správu stále potřebujete aktualizovat konfigurační kód aplikace tak, aby podporoval nativní toky ověřování pro Android nebo iOS/macOS. Pokud to chcete udělat, musíte do konfigurace přidat pole typu výzvy. Typy výzvy jsou seznam hodnot, které aplikace používá k oznámení Microsoft Entra o metodě ověřování, kterou podporuje. Další informace o typech nativních ověřovacích výzev najdete tady. Pokud se konfigurace neaktualizuje tak, aby integrovala nativní komponenty ověřování, nebudou použitelné nativní sady SDK pro ověřování a rozhraní API.

Riziko povolení nativního ověřování

Nativní ověřování Microsoft Entra nepodporuje jednotné přihlašování a odpovědnost za zajištění zabezpečení aplikace spočívá ve vašem vývojovém týmu.

Jak používat nativní ověřování

Aplikace, které používají nativní ověřování, můžete vytvářet pomocí našich nativních rozhraní API pro ověřování nebo sady MICROSOFT Authentication Library (MSAL) SDK pro Android a iOS/macOS. Kdykoli je to možné, doporučujeme použít MSAL k přidání nativního ověřování do vašich aplikací.

Další informace o nativních ukázkách ověřování a kurzech najdete v následující tabulce.

Jazyk/
Platforma		 Průvodce ukázkou kódu Průvodce sestavením a integrací
Android (Kotlin) Přihlášení uživatelů Přihlášení uživatelů
iOS (Swift) Přihlášení uživatelů Přihlášení uživatelů
macOS (Swift) Přihlášení uživatelů Přihlášení uživatelů

Pokud plánujete vytvořit aplikaci v rozhraní, které msAL v současné době nepodporuje, můžete použít naše rozhraní API pro ověřování. Další informace najdete v tomto článku s referenčními informacemi k rozhraní API.

Související obsah

  • Kurzy nativního ověřování pro Android
  • Kurzy nativního ověřování pro iOS
  • Kurzy nativního ověřování pro macOS
  • Dokumentace k nativnímu rozhraní API pro ověřování