Fase 2: Requisitos previos y configuración de MSAL

El SDK de aplicaciones de Intune usa la biblioteca de autenticación de Microsoft para sus escenarios de autenticación e inicio condicional. También se basa en MSAL para registrar la identidad de usuario con el servicio MAM para la administración sin escenarios de inscripción de dispositivos.

Nota:

Esta guía se divide en varias fases distintas. Para empezar, revise La fase 1: Planeamiento de la integración.

Objetivos de fase

• Registre la aplicación con Microsoft Entra id.
• Integre MSAL en la aplicación de iOS.
• Compruebe que la aplicación puede obtener un token que conceda acceso a los recursos protegidos.

Configuración y configuración de un registro de aplicación de Microsoft Entra

MSAL requiere que las aplicaciones se registren con Microsoft Entra id. y creen un identificador de cliente único y un URI de redirección, para garantizar la seguridad de los tokens concedidos a la aplicación. Si la aplicación ya usa MSAL para su propia autenticación, ya debería haber un uri de Microsoft Entra registro de aplicación, identificador de cliente o redirección asociado a la aplicación.

Si la aplicación aún no usa MSAL, deberá configurar un registro de aplicación en Microsoft Entra id. y especificar el identificador de cliente y el URI de redirección que debe usar el SDK de Intune.

Si la aplicación usa actualmente ADAL para autenticar a los usuarios, consulte Migración de aplicaciones a MSAL para iOS y macOS para obtener más información sobre cómo migrar la aplicación de ADAL a MSAL.

Se recomienda que la aplicación se vincule a la versión más reciente de MSAL.

Vinculación de MSAL al proyecto

Siga la sección de instalación para colocar los archivos binarios de MSAL en la aplicación.

Configuración de MSAL

Siga la sección de configuración para configurar MSAL. Asegúrese de seguir todos los pasos de la sección de configuración. No tenga en cuenta el paso uno si la aplicación ya está registrada en Microsoft Entra identificador.

Los puntos siguientes contienen información adicional para configurar MSAL y vincularla. Siga estos pasos si se aplican a la aplicación.

• Si la aplicación no tiene ningún grupo de acceso de cadena de claves definido, agregue el identificador de agrupación de la aplicación como primer grupo.
• Habilite el inicio de sesión único (SSO) de MSAL agregando com.microsoft.adalcache a los grupos de acceso de cadena de claves.
• En el caso de que establezca explícitamente el grupo de cadenas de claves de caché compartida de MSAL, asegúrese de que está establecido en <appidprefix>.com.microsoft.adalcache. MSAL lo establecerá a menos que lo invalide. Si desea especificar un grupo de cadenas de claves personalizado para reemplazar com.microsoft.adalcache, especifique en el archivo Info.plist en IntuneMAMSettings mediante la clave ADALCacheKeychainGroupOverride.

Configuración de MSAL para el SDK de aplicaciones de Intune

Una vez configurado un registro de aplicación para la aplicación en Microsoft Entra identificador, puede configurar el SDK de aplicaciones de Intune para que use la configuración del registro de la aplicación durante la autenticación con Microsoft Entra identificador. Consulte Configuración de la configuración del SDK de aplicaciones de Intune para obtener información sobre cómo rellenar las siguientes opciones:

• ADALClientId
• ADALAuthority
• ADALRedirectUri
• ADALRedirectScheme
• ADALCacheKeychainGroupOverride

Se requieren las siguientes configuraciones:

1. En el archivo Info.plist del proyecto, en el diccionario IntuneMAMSettings con el nombre ADALClientIdde clave , especifique el identificador de cliente que se usará para las llamadas MSAL.

2. Si el registro de Microsoft Entra aplicación que se asigna al identificador de cliente configurado en el paso 1 está configurado para su uso en un único inquilino Microsoft Entra, configure la ADALAuthority clave en el diccionario IntuneMAMSettings dentro del archivo Info.plist de la aplicación. Especifique la entidad de Microsoft Entra que va a usar MSAL para adquirir tokens para el servicio de administración de aplicaciones móviles de Intune.

3. También en el diccionario IntuneMAMSettings con el nombre ADALRedirectUride clave , especifique el URI de redirección que se usará para las llamadas de MSAL. Como alternativa, podría especificar ADALRedirectScheme en su lugar si el URI de redireccionamiento de la aplicación tiene el formato scheme://bundle_id.

   Como alternativa, las aplicaciones pueden invalidar esta configuración de Microsoft Entra en tiempo de ejecución. Para ello, simplemente establezca las aadAuthorityUriOverridepropiedades , aadClientIdOverridey aadRedirectUriOverride en la IntuneMAMSettings clase .

4. Asegúrese de que se siguen los pasos para conceder permisos de aplicación de iOS al servicio Intune Mobile App Management (MAM). Use las instrucciones de la guía introducción al SDK de Intune en Dar acceso a la aplicación al servicio Intune Mobile App Management.

   Nota:

   Si la directiva de protección de aplicaciones está relacionada con dispositivos administrados, también es necesario crear un perfil de configuración de aplicación de la aplicación que tiene Intune integrado.

   El enfoque Info.plist se recomienda para todas las configuraciones que son estáticas y no necesitan determinarse en tiempo de ejecución. Los valores asignados a las propiedades de clase IntuneMAMSettings en tiempo de ejecución tienen prioridad sobre los valores correspondientes especificados en Info.plist y se conservarán incluso después de reiniciar la aplicación. El SDK seguirá usándolos para las proteccións de directivas hasta que el usuario no esté inscrito o los valores se borren o cambien.

Consideraciones especiales al usar MSAL para la autenticación iniciada por la aplicación

Se recomienda que las aplicaciones no usen SFSafariViewController, SFAuththenticationSession o ASWebAuthenticationSession como vista web para cualquier operación de autenticación interactiva de MSAL iniciada por la aplicación. De forma predeterminada, MSAL usa ASWebAuthenticationSession, por lo que los desarrolladores de aplicaciones deben establecer explícitamente el tipo de vista web en WKWebView. Si por alguna razón la aplicación debe usar un tipo de vista web distinto de WKWebView para cualquier operación de autenticación interactiva de MSAL, también debe establecerse SafariViewControllerBlockedOverridetrue en en el IntuneMAMSettings diccionario de Info.plist de la aplicación.

Advertencia

Esto desactivará los enlaces SafariViewController de Intune para habilitar la sesión de autenticación. Esto corre el riesgo de pérdidas de datos en otra parte de la aplicación si la aplicación usa SafariViewController para ver los datos corporativos, por lo que la aplicación no debe mostrar datos corporativos en ninguno de esos tipos de vista web.

Criterios de salida

• ¿Ha registrado la aplicación en la página de registro de Microsoft Entra aplicación?
• ¿Ha integrado MSAL en la aplicación?
• ¿Ha habilitado la autenticación de agente mediante la generación de un URI de redirección y su configuración en el archivo de configuración de MSAL?
• ¿Se ha asegurado de que la información de configuración necesaria para MSAL en el diccionario intuneMAMSettings coincida con las de los registros de aplicaciones de Microsoft Entra?

preguntas más frecuentes

¿Y ADAL?

La biblioteca de autenticación anterior de Microsoft, Biblioteca de autenticación de Azure Active Directory (ADAL), está en desuso.

Si la aplicación ya ha integrado ADAL, consulte Actualización de las aplicaciones para usar la Biblioteca de autenticación de Microsoft (MSAL). Para migrar la aplicación de ADAL a MSAL, consulte Migración de aplicaciones a MSAL para iOS y macOS.

Se recomienda migrar de ADAL a MSAL antes de integrar el SDK de aplicaciones de Intune.

Pasos siguientes

Después de completar todos los criterios de salida anteriores, continúe con la fase 3: Integración del SDK de Intune en la aplicación de iOS.