Резервный механизм для веб-аутентификации по умолчанию

применяется к: арендаторы рабочей силы внешние клиенты (подробнее)

Веб-резервный вариант позволяет клиентскому приложению, использующим собственную проверку подлинности, использовать делегированную браузером проверку подлинности в качестве резервного механизма для повышения устойчивости. Этот сценарий происходит, когда встроенной проверки подлинности недостаточно для завершения потока аутентификации. Например, если серверу авторизации требуются возможности, которые клиент не может предоставить.

Все клиентские приложения, использующие нативные аутентификации, должны поддерживать резервное использование веб-версии.

Поток веб-резервной передачи

В этой последовательности демонстрируется, как может произойти откат к веб-версии.

• Клиентское приложение собирает начальные сведения от пользователя и запускает поток проверки подлинности, выполняя запрос к Microsoft Entra.
• Microsoft Entra возвращает ответ об успешном выполнении или ошибке. Ответ успешного выполнения указывает, что клиентское приложение может продолжать делать запросы Microsoft Entra. Ответ на ошибку может указать, что клиент может продолжать запрашивать у пользователя дополнительные сведения и продолжать отправлять запросы к Microsoft Entra. Ответ на ошибку также может указывать, что клиенту необходимо использовать делегированную браузером проверку подлинности.
• Если ответ об ошибке указывает, что клиенту необходимо использовать делегированную браузером проверку подлинности, клиент продолжает поток проверки подлинности в браузере.

Пример сценария

Давайте рассмотрим пример, когда это возможно для Microsoft Entra, чтобы указать, что клиент должен использовать делегированную браузером проверку подлинности:

• В Центре администрирования Microsoft Entra администратор настраивает приложение для использования электронной почты с методом проверки подлинности паролей.
• Эта конфигурация означает, что Microsoft Entra требует, чтобы клиентское приложение могло собирать электронную почту (имя пользователя) и пароль от пользователя. Клиентское приложение передает эту возможность Microsoft Entra, отправив тип запроса пароля. Дополнительные сведения о типах вызовов проверки подлинности можно найти в статье о типах проверки подлинности без посредников.
• Клиентское приложение также должно проверить электронную почту, отправив одноразовый секретный код, который сервер отправляет в адрес электронной почты пользователя. Клиентское приложение передает эту возможность Microsoft Entra, отправив тип вызова oob. Узнайте больше о типах вызовов в статье Типы вызовов проверки подлинности Native.
• Если клиентское приложение не отправляет как oob, так и типы вызовов паролей, Microsoft Entra интерпретирует его как неспособность клиентского приложения выполнить заданное требование. В этом случае Microsoft Entra возвращает ошибку, указывающую, что клиенту необходимо использовать делегированную браузером проверку подлинности.

Поддержка резервного веб-размещения

Если ответ Microsoft Entra указывает, что клиентское приложение должно вернуться к делегированной браузером проверке подлинности, мы рекомендуем использовать разработанную и поддерживаемую корпорацией Microsoft библиотеку проверки подлинности.

Узнайте, как поддерживать резервную передачу веб-приложений собственных приложений Android и собственных приложений iOS/macOS.

Связанное содержимое

• Родные типы вызовов аутентификации
• Руководство по . Поддержка веб-резервного размещения в приложении Android
• Руководство : Поддержка резервной веб-поддержки в приложении для iOS/macOS