Requisitos de aplicativo para o sistema de autenticação de backup

O sistema de autenticação de backup do Microsoft Entra, fornece resiliência a aplicativos que usam protocolos e fluxos com suporte. Para obter mais informações sobre o sistema de autenticação de backup, consulte Sistema de autenticação de backup do Microsoft Entra ID.

Requisitos de aplicativo para proteção

Os aplicativos devem se comunicar com um nome de host com suporte para o ambiente do Azure fornecido e usar protocolos atualmente compatíveis com o sistema de autenticação de backup. O uso de bibliotecas de autenticação, como a MSAL (Biblioteca de Autenticação da Microsoft), garante que você esteja usando protocolos de autenticação compatíveis com o sistema de autenticação de backup.

Nomes de host compatíveis com o sistema de autenticação de backup

Ambiente do Azure	Nome do host com suporte
Azure Commercial	login.microsoftonline.com
Azure Government	login.microsoftonline.us

Protocolos de autenticação compatíveis com o sistema de autenticação de backup

OAuth 2.0 e OpenID Connect (OIDC)

Diretrizes comuns

Todos os aplicativos que usam os protocolos Open Authorization (OAuth) 2.0 ou OIDC devem aderir às seguintes práticas para garantir resiliência:

• Seu aplicativo usa MSAL ou segue estritamente as especificações do OpenID Connect e OAuth2. A Microsoft recomenda o uso de bibliotecas MSAL apropriadas para sua plataforma e caso de uso. O uso dessas bibliotecas garante que o uso de APIs e padrões de chamada seja compatível com o sistema de autenticação de backup.
• Seu aplicativo usa um conjunto fixo de escopos em vez de consentimento dinâmico ao adquirir tokens de acesso.
• Seu aplicativo não usa a Concessão de Credenciais de Senha do Proprietário do Recurso. Esse tipo de concessão não terá suporte do sistema de autenticação de backup para qualquer tipo de cliente. A Microsoft recomenda fortemente mudar para fluxos de concessão alternativos para melhor segurança e resiliência.
• Seu aplicativo não depende do ponto de extremidade UserInfo. Alternar para usar um token de ID reduz a latência eliminando até duas solicitações de rede e usando o suporte existente para resiliência de token de ID no sistema de autenticação de backup.

Aplicativos nativos

Aplicativos nativos são aplicativos cliente públicos que são executados diretamente em dispositivos móveis ou desktop e não em um navegador da Web. Eles são registrados como clientes públicos em seu registro de aplicativo no Centro de administração do Microsoft Entra ou no portal do Azure.

Os aplicativos nativos são protegidos pelo sistema de autenticação de backup quando todos os seguintes são verdadeiros:

1. Seu aplicativo persiste o cache de token por pelo menos três dias. Os aplicativos devem usar o local do cache de token do dispositivo ou a API de serialização de cache de token para persistir o cache de token mesmo quando o usuário fecha o aplicativo.
2. Seu aplicativo usa a API AcquireTokenSilent da MSAL para recuperar tokens usando tokens de atualização armazenados em cache. O uso da API AcquireTokenInteractive pode falhar na aquisição de um token do sistema de autenticação de backup se a interação do usuário for necessária.

No momento, o sistema de autenticação de backup não dá suporte à concessão de autorização do dispositivo.

Aplicativos Web de página única

Os SPAs (aplicativos Web de página única) têm suporte limitado no sistema de autenticação de backup. Os SPAs que usam o fluxo de concessão implícita e solicitam apenas tokens de ID do OpenID Connect são protegidos. Somente aplicativos que usam MSAL.js 1.x ou implementam diretamente o fluxo de concessão implícita podem usar essa proteção, pois MSAL.js 2.x não dá suporte ao fluxo implícito.

No momento, o sistema de autenticação de backup não dá suporte ao fluxo de código de autorização com a Chave de Prova para o Code Exchange.

Aplicativos e serviços da Web

No momento, o sistema de autenticação de backup não dá suporte a aplicativos Web e serviços configurados como clientes confidenciais. Atualmente, não há suporte para a proteção para o fluxo de concessão de código de autorização e a aquisição subsequente de tokens usando tokens de atualização e segredos do cliente ou credenciais de certificado. No momento, não há suporte para o fluxo OBO do OAuth 2.0.

SSO (logon único) do SAML 2.0

O sistema de autenticação de backup oferece suporte parcial ao protocolo de logon único (SSO) Security Assertion Markup Language (SAML) 2.0. Os fluxos que usam o fluxo iniciado do IdP (Provedor de Identidade) SAML 2.0 são protegidos pelo sistema de autenticação de backup. Os aplicativos que usam o fluxo iniciado pelo Provedor de Serviços (SP) não estão atualmente protegidos pelo sistema de autenticação de backup.

Protocolos de autenticação de identidade de carga de trabalho compatíveis com o sistema de autenticação de backup

OAuth 2.0

Identidade gerenciada

Os aplicativos que usam Identidades gerenciadas para adquirir tokens de acesso do Microsoft Entra são protegidos. A Microsoft recomenda o uso de identidades gerenciadas atribuídas pelo usuário na maioria dos cenários. Essa proteção se aplica a identidades gerenciadas atribuídas pelo usuário e pelo sistema.

Entidade de serviço

Atualmente, o sistema de autenticação de backup não dá suporte à autenticação de identidade de carga de trabalho baseada em entidade de serviço usando o fluxo de concessão de credenciais do cliente. A Microsoft recomenda usar a versão da MSAL apropriada à sua plataforma para que seu aplicativo seja protegido pelo sistema de autenticação de backup quando a proteção ficar disponível.

Próximas etapas

• Sistema de autenticação de backup do Microsoft Entra ID
• MSAL (Biblioteca de Autenticação da Microsoft)
• Introdução ao sistema de autenticação de backup
• Padrões de resiliência do acesso condicional