Web-Fallback bei nativer Authentifizierung

Gilt für: Mitarbeitermandanten Externe Mandanten (weitere Informationen)

Web-Fallback ermöglicht es einer Client-App, die native Authentifizierung verwendet, die an den Browser delegierte Authentifizierung als Fallbackmechanismus zu nutzen, um die Ausfallsicherheit zu verbessern. Dieses Szenario tritt ein, wenn die native Authentifizierung nicht ausreicht, um den Authentifizierungsflow abzuschließen. Wenn beispielsweise der Autorisierungsserver Funktionen benötigt, die der Client nicht bereitstellen kann.

Alle Client-Apps, die native Authentifizierungen verwenden, müssen Web-Fallback unterstützen.

Web-Fallbackflow

Dieser Flow zeigt, wie ein Web-Fallback ablaufen kann:

• Die Client-App sammelt anfängliche Informationen von dem Benutzer oder der Benutzerin und startet den Authentifizierungsflow, indem sie eine Anforderung an Microsoft Entra sendet.
• Microsoft Entra antwortet mit einer Erfolgs- oder Fehlermeldung. Eine Erfolgsmeldung gibt an, dass die Client-App weiterhin Anforderungen an Microsoft Entra senden kann. Eine Fehlermeldung kann darauf hinweisen, dass der Client den Benutzer oder die Benutzerin weiterhin zur Eingabe weiterer Informationen auffordern und weiterhin Anforderungen an Microsoft Entra senden kann. Die Fehlermeldung kann auch angeben, dass der Client die an den Browser delegierte Authentifizierung verwenden muss.
• Wenn die Fehlermeldung darauf hinweist, dass der Client die an den Browser delegierte Authentifizierung verwenden muss, setzt der Client den Authentifizierungsfluss im Browser fort.

Beispielszenario

Sehen wir uns ein Beispiel an, bei dem Microsoft Entra angeben kann, dass der Client die an den Browser delegierte Authentifizierung verwenden muss:

• Im Microsoft Entra Admin Center konfiguriert ein Administrator oder eine Administratorin eine App für die Verwendung der Authentifizierungsmethode „E-Mail mit Kennwort“.
• Diese Konfiguration bedeutet, dass Microsoft Entra die Client-App benötigt, um eine E-Mail (Benutzername) und ein Kennwort von dem Benutzer oder der Benutzerin zu erfassen. Die Client-App informiert Microsoft Entra über diese Fähigkeit, indem sie den Aufforderungstyp password sendet. Weitere Informationen zu den Aufforderungstypen finden Sie im Artikel Aufforderungstypen für native Authentifizierung.
• Die Client-App sollte auch die E-Mail überprüfen, indem sie einen Einmal-Passcode sendet, die der Server an die E-Mail-Adresse des Benutzers bzw. der Benutzerin sendet. Die Client-App informiert Microsoft Entra über diese Fähigkeit, indem sie den Aufforderungstyp oob sendet. Weitere Informationen zu den Aufforderungstypen finden Sie im Artikel Aufforderungstypen für native Authentifizierung.
• Wenn die Client-App nicht die Aufforderungstypen oob und password sendet, interpretiert Microsoft Entra dies als Unfähigkeit der Client-App, die festgelegten Anforderungen zu erfüllen. In diesem Fall gibt Microsoft Entra eine Fehlermeldung zurück, die angibt, dass der Client die an den Browser delegierte Authentifizierung verwenden muss.

Unterstützen von Webfallback

Wenn die Antwort von Microsoft Entra angibt, dass die Client-App auf die a den Browser delegierte Authentifizierung zurückgreifen muss, empfehlen wir, eine von Microsoft integrierte und unterstützte Authentifizierungsbibliothek zu verwenden.

Erfahren Sie, wie Web-Fallback in nativen Android-Apps und nativen iOS/macOS-Apps unterstützt werden können.

Zugehöriger Inhalt

• Aufforderungstypen für native Authentifizierung
• Tutorial: Unterstützung für Webfallback in einer Android-App
• Tutorial: Web-Fallback in iOS/macOS App unterstützen