Podpora ověřování bez hesla pomocí klíčů FIDO2 v aplikacích, které vyvíjíte

  • Článek

Tyto konfigurace a osvědčené postupy vám pomůžou vyhnout se běžným scénářům, které blokují ověřování bez hesla FIDO2 uživatelům vašich aplikací.

Obecné osvědčené postupy

Rady k doméně

Nepoužívejte nápovědu k doméně k obejití zjišťování domovské sféry. Tato funkce má zjednodušit přihlašování, ale zprostředkovatel federovaných identit nemusí podporovat ověřování bez hesla.

Vyžadování konkrétních přihlašovacích údajů

Pokud používáte SAML, nezadávejte, že se heslo vyžaduje pomocí elementu RequestedAuthnContext.

Element RequestedAuthnContext je volitelný, takže pokud chcete tento problém vyřešit, můžete ho odebrat z žádostí o ověření SAML. Toto je obecný osvědčený postup, protože použití tohoto prvku může také zabránit správnému fungování jiných možností ověřování, jako je vícefaktorové ověřování.

Použití naposledy použité metody ověřování

Metoda přihlášení, kterou uživatel naposledy použil, se mu zobrazí jako první. To může způsobit nejasnosti, když se uživatelé domnívají, že musí použít první zobrazenou možnost. Můžou si ale vybrat jinou možnost tak, že vyberou "Jiné způsoby přihlášení", jak je znázorněno níže.

Image of the user authentication experience highlighting the button that allows the user to change the authentication method.

Osvědčené postupy specifické pro platformu

Desktop

Doporučené možnosti implementace ověřování jsou v pořadí:

  • Desktopové aplikace .NET, které používají knihovnu MSAL (Microsoft Authentication Library), by měly používat Windows Authentication Manager (WAM). Tato integrace a její výhody jsou popsané na GitHubu.
  • K podpoře FIDO2 ve vloženém prohlížeči použijte WebView2 .
  • Použijte systémový prohlížeč. Knihovny MSAL pro desktopové platformy používají tuto metodu ve výchozím nastavení. Můžete si prohlédnout naši stránku kompatibility s prohlížečem FIDO2, abyste zajistili, že prohlížeč, který používáte, podporuje ověřování FIDO2.

Mobilní

FiDO2 je podporováno pro nativní aplikace pro iOS, které používají MSAL s integrací ASWebAuthenticationSession nebo zprostředkovatele. Zprostředkovatel se dodává v Microsoft Authenticatoru v iOSu a Microsoft Portál společnosti Intune v macOS.

Ujistěte se, že váš síťový proxy server neblokuje přidružené ověření domény společností Apple. Ověření FIDO2 vyžaduje úspěšné ověření domény přidružené společnosti Apple, což vyžaduje, aby některé domény Apple byly vyloučené ze síťových proxy serverů. Další informace najdete v tématu Použití produktů Apple v podnikových sítích.

Podpora FIDO2 pro nativní aplikace pro Android je v současné době ve vývoji.

Pokud nepoužíváte knihovnu MSAL, měli byste k ověřování použít systémový webový prohlížeč. Funkce, jako je jednotné přihlašování a podmíněný přístup, spoléhají na sdílenou webovou plochu poskytovanou systémovým webovým prohlížečem. To znamená použití vlastních karet Chromu (Android) nebo ověřování uživatele prostřednictvím webové služby | Dokumentace pro vývojáře Apple (iOS).

Webové a jednostrákové aplikace

Dostupnost ověřování bez hesla FIDO2 pro aplikace, které běží ve webovém prohlížeči, bude záviset na kombinaci prohlížeče a platformy. Můžete si prohlédnout naši matici kompatibility FIDO2 a zkontrolovat, jestli je podporovaná kombinace vašich uživatelů.

Další kroky

Možnosti bezheslového ověřování pro Microsoft Entra ID