Supportare i criteri di protezione dell'accesso Single Sign-On e delle app per dispositivi mobili sviluppati
Single Sign-On (SSO) è un'offerta chiave di Microsoft Identity Platform e Microsoft Entra ID, che offre accessi semplici e sicuri per gli utenti dell'app. Inoltre, i criteri di protezione delle app consentono il supporto dei criteri di sicurezza chiave che mantengono sicuri i dati dell'utente. Insieme, queste funzionalità consentono di proteggere gli accessi utente e la gestione dei dati dell'app.
Questo articolo spiega perché l'accesso Single Sign-On e l'APP sono importanti e forniscono indicazioni generali per la creazione di applicazioni per dispositivi mobili che supportano queste funzionalità. Questo vale sia per le app per telefoni che per tablet. Se si è un amministratore IT che vuole distribuire l'accesso SSO nel tenant di Microsoft Entra dell'organizzazione, vedere le linee guida per la pianificazione di una distribuzione di Single Sign-On
Informazioni sui criteri di protezione dell'accesso Single Sign-On e delle app
Single Sign-On (SSO) consente a un utente di accedere una sola volta e di accedere ad altre applicazioni senza immettere nuovamente le credenziali. In questo modo, l'accesso alle app risulta più semplice ed elimina la necessità per gli utenti di ricordare lunghi elenchi di nomi utente e password. L'implementazione nell'app semplifica l'accesso e l'uso dell'app.
Inoltre, l'abilitazione dell'accesso Single Sign-On nell'app sblocca nuovi meccanismi di autenticazione dotati di autenticazione moderna, ad esempio account di accesso senza password. I nomi utente e le password sono uno dei vettori di attacco più diffusi contro le applicazioni e l'abilitazione dell'accesso SSO consente di ridurre questo rischio applicando l'accesso condizionale o gli account di accesso senza password che aggiungono sicurezza aggiuntiva o si basano su meccanismi di autenticazione più sicuri. Infine, l'abilitazione dell'accesso Single Sign-On abilita anche l'accesso Single Sign-Out. Ciò è utile in situazioni come le applicazioni di lavoro che verranno usate nei dispositivi condivisi.
Protezione di app criteri (APP) assicurano che i dati di un'organizzazione rimangano sicuri e contenuti. Consentono alle aziende di gestire e proteggere i dati all'interno di un'app e di controllare chi può accedere all'app e ai relativi dati. L'implementazione dei criteri di protezione delle app consente all'app di connettere gli utenti alle risorse protette dai criteri di accesso condizionale e trasferire in modo sicuro i dati da e verso altre app protette. Gli scenari sbloccati dai criteri di protezione delle app includono la necessità di un PIN per aprire un'app, controllare la condivisione dei dati tra le app e impedire il salvataggio dei dati delle app aziendali nei percorsi di archiviazione personali.
Implementazione dell'accesso Single Sign-On
È consigliabile abilitare l'app per sfruttare l'accesso Single Sign-On.
Usare Microsoft Authentication Library (MSAL)
La scelta migliore per implementare l'accesso Single Sign-On nell'applicazione consiste nell'usare Microsoft Authentication Library (MSAL). Usando MSAL è possibile aggiungere l'autenticazione all'app con codice e chiamate API minime, ottenere le funzionalità complete di Microsoft Identity Platform e consentire a Microsoft di gestire la manutenzione di una soluzione di autenticazione sicura. Per impostazione predefinita, MSAL aggiunge il supporto SSO per l'applicazione. Inoltre, l'uso di MSAL è un requisito se si prevede di implementare anche i criteri di protezione delle app.
Nota
È possibile configurare MSAL per l'uso di una visualizzazione Web incorporata. In questo modo si impedisce l'accesso Single Sign-On. Usare il comportamento predefinito , ovvero il Web browser di sistema, per assicurarsi che l'accesso Single Sign-On funzioni.
Per le applicazioni iOS, è disponibile una guida introduttiva che illustra come configurare gli accessi con MSAL e indicazioni per la configurazione di MSAL per diversi scenari di accesso SSO.
Per le applicazioni Android, è disponibile una guida introduttiva che illustra come configurare gli accessi con MSAL e indicazioni su come abilitare l'accesso SSO tra app in Android usando MSAL.
Usare il Web browser di sistema
Per l'autenticazione interattiva è necessario un Web browser. Per le app per dispositivi mobili che usano librerie di autenticazione moderne diverse da MSAL (ovvero altre librerie OpenID Connessione o SAML) o se si implementa il proprio codice di autenticazione, è consigliabile usare il browser di sistema come superficie di autenticazione per abilitare l'accesso SSO.
Google offre indicazioni per eseguire questa operazione in Applicazioni Android: schede personalizzate di Chrome - Google Chrome.
Apple offre indicazioni per eseguire questa operazione nelle applicazioni iOS: Autenticazione di un utente tramite un servizio Web | Documentazione per sviluppatori Apple.
Suggerimento
Il plug-in SSO per dispositivi Apple consente l'accesso SSO per le app iOS che usano visualizzazioni Web incorporate nei dispositivi gestiti tramite Intune. È consigliabile usare MSAL e il browser di sistema come opzione migliore per lo sviluppo di app che abilitano l'accesso SSO per tutti gli utenti, ma ciò consentirà l'accesso SSO in alcuni scenari in cui altrimenti non è possibile.
Abilitare i criteri di protezione delle app
Per abilitare i criteri di protezione delle app, usare Microsoft Authentication Library (MSAL). MSAL è la libreria di autenticazione e autorizzazione di Microsoft Identity Platform e Intune SDK viene sviluppato per lavorare in combinazione con esso.
Inoltre, è necessario usare un'app broker per l'autenticazione. Il broker richiede che l'app fornisca informazioni sull'applicazione e sul dispositivo per garantire la conformità delle app. Gli utenti iOS useranno l'app Microsoft Authenticator e gli utenti Android useranno l'app Microsoft Authenticator o l'app Portale aziendale per l'autenticazione negoziata. Per impostazione predefinita, MSAL usa un broker come prima scelta per soddisfare una richiesta di autenticazione, quindi l'uso del broker per l'autenticazione verrà abilitato automaticamente per l'app quando si usa MSAL predefinito.
Infine, aggiungere Intune SDK all'app per abilitare i criteri di protezione delle app. L'SDK per la maggior parte segue un modello di intercettazione e applicherà automaticamente i criteri di protezione delle app per determinare se le azioni eseguite dall'app sono consentite o meno. Esistono anche API che è possibile chiamare manualmente per indicare all'app se esistono restrizioni per determinate azioni.