Alkalmazásbejelentkés folyamata a Microsoft Identitásplatform

  • Cikk

Ez a témakör a webes, asztali és mobilalkalmazások Microsoft Identitásplatform használó alapvető bejelentkezési folyamatát ismerteti. A Microsoft Identitásplatform által támogatott bejelentkezési forgatókönyvek megismeréséhez tekintse meg a hitelesítési folyamatokat és az alkalmazásforgatókönyveket.

Webalkalmazás bejelentkezési folyamata

Amikor egy felhasználó a böngészőben egy webalkalmazáshoz navigál, a következő történik:

  • A webalkalmazás határozza meg, hogy a felhasználó hitelesítve van-e.
  • Ha a felhasználó nincs hitelesítve, a webalkalmazás delegálja a Microsoft Entra-azonosítót a felhasználó bejelentkezéséhez. Ez a bejelentkezés megfelel a szervezet szabályzatának, ami azt jelentheti, hogy a felhasználónak meg kell adnia a hitelesítő adatait többtényezős hitelesítéssel (más néven kéttényezős hitelesítéssel vagy 2FA-val), vagy egyáltalán nem használ jelszót (például a Windows Hello használatával).
  • A rendszer arra kéri a felhasználót, hogy járuljon hozzá ahhoz a hozzáféréshez, amelyhez az ügyfélalkalmazásnak szüksége van. Ezért kell regisztrálni az ügyfélalkalmazásokat a Microsoft Entra-azonosítóval, hogy a Microsoft Identitásplatform olyan jogkivonatokat biztosítson, amelyek a felhasználó által engedélyezett hozzáférést képviselik.

Ha a felhasználó sikeresen hitelesített:

  • A Microsoft Identitásplatform jogkivonatot küld a webalkalmazásnak.
  • A rendszer egy Microsoft Entra-tartományhoz társított cookie-t ment, amely a felhasználó identitását tartalmazza a böngésző cookie-jarjában. Amikor egy alkalmazás legközelebb a böngészőt használja a Microsoft Identitásplatform engedélyezési végpontra való navigáláshoz, a böngésző megjeleníti a cookie-t, hogy a felhasználónak ne kelljen újra bejelentkeznie. Az egyszeri bejelentkezés is így valósul meg. A cookie-t a Microsoft Entra ID hozza létre, és csak a Microsoft Entra ID tudja értelmezni.
  • A webalkalmazás ezután érvényesíti a jogkivonatot. Ha az ellenőrzés sikeres, a webalkalmazás megjeleníti a védett lapot, és egy munkamenet-cookie-t ment a böngésző cookie-jarjában. Amikor a felhasználó egy másik oldalra navigál, a webalkalmazás tudja, hogy a felhasználó hitelesítése a munkamenet cookie-ja alapján történik.

A következő szekvenciadiagram összefoglalja ezt az interakciót:

web app authentication process

Hogyan határozza meg a webalkalmazás, hogy a felhasználó hitelesítése megtörtént-e

A webalkalmazás-fejlesztők jelezhetik, hogy az összes vagy csak bizonyos lap hitelesítést igényel. Például a ASP.NET/ASP.NET Core-ban ez úgy történik, hogy hozzáadja az [Authorize] attribútumot a vezérlőműveletekhez.

Ez az attribútum miatt ASP.NET ellenőrizni a felhasználó identitását tartalmazó munkamenet-cookie jelenlétét. Ha nem található cookie, ASP.NET átirányítja a hitelesítést a megadott identitásszolgáltatóhoz. Ha az identitásszolgáltató a Microsoft Entra-azonosító, a webalkalmazás átirányítja a hitelesítést https://login.microsoftonline.com, amely egy bejelentkezési párbeszédpanelt jelenít meg.

Hogyan delegálja a webalkalmazás a bejelentkezést a Microsoft Identitásplatform, és hogyan szerez be jogkivonatot

A felhasználói hitelesítés a böngészőn keresztül történik. Az OpenID protokoll szabványos HTTP protokollüzeneteket használ.

  • A webalkalmazás http 302-et (átirányítást) küld a böngészőbe a Microsoft Identitásplatform használatához.
  • A felhasználó hitelesítése után a Microsoft Identitásplatform egy böngészőbeli átirányítással elküldi a jogkivonatot a webalkalmazásnak.
  • Az átirányítást a webalkalmazás átirányítási URI formájában biztosítja. Ez az átirányítási URI regisztrálva van a Microsoft Entra alkalmazásobjektumban. Több átirányítási URL-cím is lehet, mert az alkalmazás több URL-címen is üzembe helyezhető. A webalkalmazásnak tehát meg kell adnia a használni kívánt átirányítási URI-t is.
  • A Microsoft Entra ID ellenőrzi, hogy a webalkalmazás által küldött átirányítási URI az alkalmazás regisztrált átirányítási URI-jainak egyike-e.

Asztali és mobilalkalmazás-bejelentkezési folyamat

A fent leírt folyamat kis eltérésekkel az asztali és mobilalkalmazásokra vonatkozik.

Az asztali és mobilalkalmazások beágyazott webvezérlőt vagy rendszerböngészőt használhatnak a hitelesítéshez. Az alábbi ábra bemutatja, hogy egy asztali vagy mobilalkalmazás hogyan használja a Microsoft Authentication Libraryt (MSAL) hozzáférési jogkivonatok beszerzésére és webes API-k meghívására.

Desktop app how it appears to be

Az MSAL böngészőt használ a jogkivonatok lekéréséhez. A webalkalmazások esetében is a hitelesítés delegálva van Microsoft Identitásplatform.

Mivel a Microsoft Entra ID ugyanazt az identitás cookie-t menti a böngészőben, mint a webalkalmazások esetében, ha a natív vagy mobilalkalmazás a rendszerböngészőt használja, azonnal megkapja az egyszeri bejelentkezést a megfelelő webalkalmazással.

Alapértelmezés szerint az MSAL a rendszerböngészőt használja. Kivételt képeznek .NET-keretrendszer asztali alkalmazások, amelyekben beágyazott vezérlőt használnak az integráltabb felhasználói élmény biztosításához.

Következő lépések

A hitelesítés és az engedélyezés alapjait ismertető egyéb témakörök:

További információ az alkalmazás-bejelentkezési folyamatról: