sada Intune App SDK pro Android – Vysvětlení požadavků na MSAL
Sada Microsoft Intune App SDK pro Android umožňuje začlenit zásady ochrany aplikací Intune (označované také jako zásady APP nebo MAM) do nativní aplikace Java/Kotlin pro Android. Aplikace spravovaná Intune je aplikace integrovaná se sadou Intune App SDK. Intune správci můžou zásady ochrany aplikací snadno nasadit do aplikace spravované Intune, když Intune aplikaci aktivně spravuje.
Poznámka
Tato příručka je rozdělená do několika různých fází. Začněte tím, že si projděte fázi 1: Plánování integrace.
Fáze 2: Požadavek MSAL
Goals fáze
- Zaregistrujte aplikaci pomocí Microsoft Entra ID.
- Integrujte MSAL do aplikace pro Android.
- Ověřte, že vaše aplikace může získat token, který uděluje přístup k chráněným prostředkům.
Pozadí
Microsoft Authentication Library (MSAL) umožňuje vaší aplikaci používat Microsoft Cloud díky podpoře účtů Microsoft Entra ID a Microsoft.
Knihovna MSAL není specifická pro Intune. Intune je závislý na Microsoft Entra ID; všechny uživatelské účty Intune jsou Microsoft Entra účty. Výsledkem je, že naprostá většina aplikací pro Android, které integrují sadu Intune App SDK, bude muset jako předpoklad integrovat MSAL.
Tato fáze průvodce sadou SDK obsahuje přehled procesu integrace MSAL, protože souvisí s Intune. postupujte podle propojených průvodců MSAL v celém jejich rozsahu.
Pro zjednodušení procesu integrace sady Intune App SDK se vývojářům aplikací pro Android důrazně doporučuje, aby před stažením sady Intune App SDK plně integrovali a otestovali MSAL. Proces integrace sady Intune App SDK vyžaduje změny kódu kolem získání tokenu MSAL. Pokud jste už potvrdili, že původní implementace získání tokenu vaší aplikace funguje podle očekávání, bude jednodušší otestovat změny získání tokenu specifické pro Intune.
Další informace o Microsoft Entra ID najdete v tématu Co je Microsoft Entra ID?
Další informace o knihovně MSAL najdete na wikiwebu MSAL a v seznamu knihoven MSAL.
Registrace aplikace pomocí Microsoft Entra ID
Před integrací MSAL do aplikace pro Android se musí všechny aplikace zaregistrovat v Microsoft identity platform. Postupujte podle pokynů v tématu Rychlý start: Registrace aplikace v Microsoft identity platform – Microsoft identity platform. Tím se vygeneruje ID klienta pro vaši aplikaci.
Dále postupujte podle pokynů a udělte aplikaci přístup ke službě Intune Správa mobilních aplikací.
Konfigurace knihovny Microsoft Authentication Library (MSAL)
Nejprve si přečtěte pokyny pro integraci MSAL, které najdete v úložišti MSAL na GitHubu, konkrétně část , která používá MSAL.
Tato příručka popisuje, jak:
- Přidejte MSAL jako závislost do aplikace pro Android.
- Vytvořte konfigurační soubor MSAL.
- Nakonfigurujte aplikaci .
AndroidManifest.xml - Přidejte kód pro získání tokenu.
Zprostředkované ověřování
Jednotné přihlašování (SSO) umožňuje uživatelům zadat své přihlašovací údaje jenom jednou a nechat je automaticky pracovat napříč aplikacemi. MSAL může povolit jednotné přihlašování napříč vaší sadou aplikací. pomocí zprostředkující aplikace (microsoft Authenticator nebo Microsoft Intune Portál společnosti) můžete rozšířit jednotné přihlašování na celé zařízení. Pro podmíněný přístup se vyžaduje také zprostředkované ověřování. Další podrobnosti o zprostředkované ověřování najdete v tématu Povolení jednotného přihlašování mezi aplikacemi v Androidu pomocí MSAL .
V této příručce se předpokládá, že ve svých aplikacích povolíte zprostředkované ověřování podle kroků uvedených na výše uvedeném odkazu, zejména vygenerování identifikátoru URI přesměrování pro zprostředkovatele a konfigurace konfigurace zprostředkovatele pomocí zprostředkovatele a ověření integrace zprostředkovatele pro testování.
Pokud ve své aplikaci nepovolujete zprostředkované ověřování, věnujte zvýšenou pozornost konfiguraci msal specifické pro Intune.
konfigurace prostředí MSAL specifické pro Intune
Ve výchozím nastavení bude Intune vyžadovat tokeny z veřejného prostředí Microsoft Entra. Pokud vaše aplikace vyžaduje jiné než výchozí prostředí, jako je suverénní cloud, musíte do aplikace AndroidManifest.xmlpřidat následující nastavení.
Po nastavení vydá zadaná autorita Microsoft Entra tokeny pro vaši aplikaci.
Tím se zajistí, že se zásady ověřování Intune správně vynucuje.
<meta-data
android:name="com.microsoft.intune.mam.aad.Authority"
android:value="https://AAD authority/" />
Upozornění
Většina aplikací by neměla nastavovat parametr Authority. Kromě toho aplikace, které neintegrují knihovnu MSAL , nesmí tuto vlastnost zahrnout do manifestu.
Další podrobnosti o možnostech konfigurace MSAL, které nejsou specifické pro Intune, najdete v konfiguračním souboru knihovny Microsoft Authentication Library pro Android.
Další podrobnosti o suverénních cloudech najdete v tématu Použití MSAL v prostředí národního cloudu.
Kritéria ukončení
- Integrovali jste do své aplikace knihovnu MSAL?
- Povolili jste ověřování zprostředkovatele vygenerováním identifikátoru URI přesměrování a jeho nastavením v konfiguračním souboru MSAL?
- Nakonfigurovali jste nastavení MSAL specifické pro Intune v okně
AndroidManifest.xml? - Otestovali jste zprostředkované ověřování, ověřili jste, že se do správce účtů Androidu přidal pracovní účet, a otestovali jste jednotné přihlašování s jinými aplikacemi Microsoftu 365?
- Pokud jste implementovali podmíněný přístup, otestovali jste jak certifikační autoritu založenou na zařízení, tak i certifikační autoritu založenou na aplikaci, abyste ověřili implementaci certifikační autority?
Časté otázky
A co ADAL?
Předchozí knihovna ověřování Microsoftu Azure Active Directory Authentication Library (ADAL) je zastaralá.
Pokud už vaše aplikace ADAL integrovala, přečtěte si téma Aktualizace aplikací tak, aby používaly knihovnu Microsoft Authentication Library (MSAL). Pokud chcete migrovat aplikaci z ADAL na MSAL, přečtěte si téma Migrace ADAL pro Android na MSAL a Rozdíly mezi ADAL a MSAL.
Před integrací sady Intune App SDK doporučujeme migrovat z knihovny ADAL na MSAL.
Další kroky
Po dokončení všech výše uvedených kritérií ukončení pokračujte fází 3: Začínáme s MAM.