Programkrav för säkerhetskopieringsautentiseringssystemet

Microsoft Entra-säkerhetskopieringsautentiseringssystemet ger motståndskraft mot program som använder protokoll och flöden som stöds. Mer information om säkerhetskopieringsautentiseringssystemet finns i Microsoft Entra-ID:ts system för säkerhetskopieringsautentisering.

Programkrav för skydd

Program måste kommunicera med ett värdnamn som stöds för den angivna Azure-miljön och använda protokoll som för närvarande stöds av säkerhetskopieringsautentiseringssystemet. Användning av autentiseringsbibliotek, till exempel Microsoft Authentication Library (MSAL), säkerställer att du använder autentiseringsprotokoll som stöds av säkerhetskopieringsautentiseringssystemet.

Värdnamn som stöds av säkerhetskopieringsautentiseringssystemet

Azure-miljö	Värdnamn som stöds
Azure Commercial	login.microsoftonline.com
Azure Government	login.microsoftonline.us

Autentiseringsprotokoll som stöds av säkerhetskopieringsautentiseringssystemet

OAuth 2.0 och OpenID Connect (OIDC)

Vanliga riktlinjer

Alla program som använder OAuth-protokollen (Open Authorization) 2.0 eller OIDC bör följa följande metoder för att säkerställa motståndskraft:

• Ditt program använder MSAL eller följer strikt OpenID Connect- och OAuth2-specifikationerna. Microsoft rekommenderar att du använder MSAL-bibliotek som är lämpliga för din plattform och användningsfall. Med hjälp av dessa bibliotek säkerställer du att användningen av API:er och anropsmönster stöds av säkerhetskopieringsautentiseringssystemet.
• Ditt program använder en fast uppsättning omfång i stället för dynamiskt medgivande när du hämtar åtkomsttoken.
• Ditt program använder inte autentiseringsuppgifterna för resursägarens lösenord. Den här beviljandetypen stöds inte av säkerhetskopieringsautentiseringssystemet för någon klienttyp. Microsoft rekommenderar starkt att du byter till alternativa beviljandeflöden för bättre säkerhet och motståndskraft.
• Ditt program förlitar sig inte på UserInfo-slutpunkten. Att växla till att använda en ID-token minskar i stället svarstiden genom att eliminera upp till två nätverksbegäranden och använda befintligt stöd för ID-tokenresiliens i säkerhetskopieringsautentiseringssystemet.

Inbyggda program

Interna program är offentliga klientprogram som körs direkt på stationära eller mobila enheter och inte i en webbläsare. De är registrerade som offentliga klienter i sin programregistrering i administrationscentret för Microsoft Entra eller Azure Portal.

Inbyggda program skyddas av säkerhetskopieringsautentiseringssystemet när alla följande är sanna:

1. Ditt program bevarar tokencachen i minst tre dagar. Program bör använda enhetens tokencacheplats eller tokencachens serialiserings-API för att spara tokencacheminnet även när användaren stänger programmet.
2. Ditt program använder MSAL AcquireTokenSilent API för att hämta token med cachelagrade uppdateringstoken. Användningen av AcquireTokenInteractive API kan misslyckas med att hämta en token från säkerhetskopieringsautentiseringssystemet om användarinteraktion krävs.

Säkerhetskopieringsautentiseringssystemet stöder för närvarande inte beviljandet av enhetsauktorisering.

Ensideswebbprogram

Ensideswebbprogram (SPA) har begränsat stöd i säkerhetskopieringsautentiseringssystemet. SPA:er som använder implicit beviljandeflöde och endast begär OpenID Connect-ID-token skyddas. Endast appar som antingen använder MSAL.js 1.x eller implementerar det implicita beviljandeflödet direkt kan använda det här skyddet, eftersom MSAL.js 2.x inte stöder det implicita flödet.

Säkerhetskopieringsautentiseringssystemet stöder för närvarande inte auktoriseringskodflödet med proof key för Code Exchange.

Webbprogram och -tjänster

Säkerhetskopieringsautentiseringssystemet stöder för närvarande inte webbprogram och tjänster som är konfigurerade som konfidentiella klienter. Skydd för auktoriseringskodens beviljandeflöde och efterföljande tokenförvärv med uppdateringstoken och klienthemligheter eller certifikatautentiseringsuppgifter stöds inte för närvarande. OAuth 2.0 för flödet stöds inte för närvarande.

Enkel inloggning med SAML 2.0 (SSO)

Säkerhetskopieringsautentiseringssystemet stöder delvis SAML-protokollet (Security Assertion Markup Language) 2.0 enkel inloggning (SSO). Flöden som använder det SAML 2.0 Identity Provider (IdP) Initierade flödet skyddas av säkerhetskopieringsautentiseringssystemet. Program som använder det SP-initierade flödet (Service Provider) skyddas för närvarande inte av säkerhetskopieringsautentiseringssystemet.

Autentiseringsprotokoll för arbetsbelastningsidentitet som stöds av säkerhetskopieringsautentiseringssystemet

OAuth 2.0

Hanterad identitet

Program som använder hanterade identiteter för att hämta Microsoft Entra-åtkomsttoken skyddas. Microsoft rekommenderar användning av användartilldelade hanterade identiteter i de flesta scenarier. Det här skyddet gäller både användar- och systemtilldelade hanterade identiteter.

Tjänstens huvudnamn

Säkerhetskopieringsautentiseringssystemet stöder för närvarande inte tjänsthuvudnamnsbaserad autentisering av arbetsbelastningsidentitet med hjälp av flödet för beviljande av klientautentiseringsuppgifter. Microsoft rekommenderar att du använder den version av MSAL som är lämplig för din plattform så att ditt program skyddas av säkerhetskopieringsautentiseringssystemet när skyddet blir tillgängligt.

Nästa steg

• Microsoft Entra-ID:ts system för säkerhetskopieringsautentisering
• Microsoft Authentication Library (MSAL)
• Introduktion till säkerhetskopieringsautentiseringssystemet
• Motståndskraftsstandarder för villkorsstyrd åtkomst