應用程式備份驗證系統需求
Microsoft Entra 備份驗證系統可為使用受支援通訊協定和流程的應用程式提供復原能力。 如需關於備份驗證系統的詳細資訊,請參閱 Microsoft Entra ID 的備份驗證系統。
應用程式保護需求
應用程式必須與指定 Azure 環境的受支援主機名稱通訊,並使用備份驗證系統目前支援的通訊協定。 使用驗證程式庫 (例如 Microsoft驗證連結庫 (MSAL)) 可確保您使用備份驗證系統支援的驗證通訊協定。
備份驗證系統支援的主機名稱
| Azure 環境 | 支援的主機名稱 |
|---|---|
| Azure Commercial | login.microsoftonline.com |
| Azure Government | login.microsoftonline.us |
備份驗證系統支援的驗證通訊協定
OAuth 2.0 和 OpenID Connect (OIDC)
常見指引
所有使用 Open Authorization (OAuth) 2.0 或 OIDC 通訊協定的應用程式都應遵守下列做法,以確保復原能力:
- 您的應用程式會使用 MSAL 或嚴格遵守 OpenID Connect 和 OAuth2 規格。 Microsoft 建議使用適合您平台和使用案例的 MSAL 程式庫。 使用這些程式庫能確保備份驗證系統可支援使用 API 和呼叫模式。
- 您的應用程式會在取得存取權杖時,使用一組固定的範圍,而不是動態同意。
- 您的應用程式不會使用資源擁有者密碼認證授與。 任何用戶端類型的備份驗證系統都不支援此授與類型。 Microsoft 強烈建議切換至替代授與流程,以提高安全性和復原能力。
- 您的應用程式不會仰賴 UserInfo 端點。 改為切換至使用識別碼權杖,可消除最多兩個網路要求來減少延遲,並使用備份驗證系統內識別碼權杖復原的現有支援。
原生應用程式
原生應用程式是直接在桌面或行動裝置上執行、而非在網頁瀏覽器中執行的公用用戶端應用程式。 這些應用程式會在 Microsoft Entra 系統管理中心或 Azure 入口網站的應用程式註冊中註冊為公用用戶端。
當下列所有項目都成立時,原生應用程式會受到備份驗證系統的保護:
- 您的應用程式會保存權杖快取至少三天。 即使使用者關閉應用程式,應用程式也應該使用裝置的權杖快取位置或權杖快取序列化 API 來保存權杖快取。
- 您的應用程式會使用 MSAL AcquireTokenSilent API,利用快取的重新整理權杖來擷取權杖。 如果需要使用者互動,則使用 AcquireTokenInteractive API 可能無法從備份驗證系統取得權杖。
備份驗證系統目前不支援裝置授權授與。
單頁 Web 應用程式
單頁 Web 應用程式 (SPA) 在備份驗證系統中的支援有限。 使用隱含授與流程並只要求 OpenID Connect 識別碼權杖的 SPA 會受到保護。 只有使用 MSAL.js 1.x 或直接實作隱含授與流程的應用程式才能使用此保護,因為 MSAL.js 2.x 不支援隱含流程。
備份驗證系統目前不支援使用 Code Exchange 證明金鑰的授權碼流程。
Web 應用程式和服務
備份驗證系統目前不支援設定為機密用戶端的 Web 應用程式和服務。 目前不支援授權碼授與流程及使用重新整理權杖和用戶端密碼的後續權杖取得或憑證認證的保護。 目前不支援 OAuth 2.0 代理者流程。
SAML 2.0 單一登入 (SSO)
備份驗證系統部分支援安全性聲明標記語言 (SAML) 2.0 單一登入 (SSO) 通訊協定。 使用 SAML 2.0 識別提供者 (IdP) 起始流程的流程會受到備份驗證系統的保護。 使用服務提供者 (SP) 起始流程的應用程式目前不受備份驗證系統保護。
備份驗證系統支援的工作負載身分識別驗證通訊協定
OAuth 2.0
受控識別
使用受控識別來取得 Microsoft Entra 存取權杖的應用程式會受到保護。 Microsoft 建議在大部分情況下使用使用者指派的受控識別。 此保護同時適用於使用者和系統指派的受控識別。
服務主體
備份驗證系統目前不支援使用用戶端認證授與流程的服務主體型工作負載身分識別驗證。 Microsoft 建議使用適合您平台的 MSAL 版本,讓應用程式在可提供保護時,受到備份驗證系統的保護。