Ondersteuning voor beleid voor eenmalige aanmelding en app-beveiliging in mobiele apps die u ontwikkelt
Eenmalige aanmelding (SSO) is een belangrijke aanbieding van het Microsoft Identity Platform en de Microsoft Entra-id en biedt eenvoudige en veilige aanmeldingen voor gebruikers van uw app. Daarnaast biedt app-beveiligingsbeleid (APP) ondersteuning voor het belangrijkste beveiligingsbeleid dat de gegevens van uw gebruiker veilig houdt. Met deze functies kunt u beveiligde gebruikersaanmelding en -beheer van de gegevens van uw app inschakelen.
In dit artikel wordt uitgelegd waarom eenmalige aanmelding en APP belangrijk zijn en biedt u de richtlijnen op hoog niveau voor het bouwen van mobiele toepassingen die ondersteuning bieden voor deze functies. Dit geldt voor zowel telefoon- als tablet-apps. Als u een IT-beheerder bent die eenmalige aanmelding wil implementeren in de Microsoft Entra-tenant van uw organisatie, raadpleegt u onze richtlijnen voor het plannen van een implementatie van eenmalige aanmelding
Informatie over beleid voor eenmalige aanmelding en app-beveiliging
Met eenmalige aanmelding (SSO) kan een gebruiker zich eenmaal aanmelden en toegang krijgen tot andere toepassingen zonder referenties opnieuw in te voeren. Hierdoor is het openen van apps eenvoudiger en hoeven gebruikers geen lange lijsten met gebruikersnamen en wachtwoorden te onthouden. Het implementeren ervan in uw app maakt het openen en gebruiken van uw app eenvoudiger.
Bovendien ontgrendelt het inschakelen van eenmalige aanmelding in uw app nieuwe verificatiemechanismen die worden geleverd met moderne verificatie, zoals aanmeldingen zonder wachtwoord. Gebruikersnamen en wachtwoorden zijn een van de populairste aanvalsvectoren voor toepassingen en door eenmalige aanmelding in te schakelen, kunt u dit risico beperken door voorwaardelijke toegang of wachtwoordloze aanmeldingen af te dwingen die extra beveiliging toevoegen of afhankelijk zijn van veiligere verificatiemechanismen. Als u eenmalige aanmelding inschakelt, schakelt u ook eenmalige aanmelding in. Dit is handig in situaties zoals werktoepassingen die worden gebruikt op gedeelde apparaten.
App-beveiliging beleidsregels (APP) zorgen ervoor dat de gegevens van een organisatie veilig en opgenomen blijven. Ze bieden bedrijven de mogelijkheid om hun gegevens binnen een app te beheren en te beveiligen en controle te geven over wie toegang heeft tot de app en de bijbehorende gegevens. Door app-beveiligingsbeleid te implementeren, kan uw app gebruikers verbinden met resources die worden beveiligd door beleid voor voorwaardelijke toegang en gegevens veilig overdragen naar en van andere beveiligde apps. Scenario's die zijn ontgrendeld door app-beveiligingsbeleid, omvatten het vereisen van een pincode voor het openen van een app, het beheren van het delen van gegevens tussen apps en het voorkomen dat bedrijfsgegevens worden opgeslagen op persoonlijke opslaglocaties.
Eenmalige aanmelding implementeren
We raden het volgende aan om uw app in staat te stellen gebruik te maken van eenmalige aanmelding.
MSAL (Microsoft Authentication Library ) gebruiken
De beste keuze voor het implementeren van eenmalige aanmelding in uw toepassing is het gebruik van de Microsoft Authentication Library (MSAL). Met BEHULP van MSAL kunt u verificatie toevoegen aan uw app met minimale code en API-aanroepen, de volledige functies van het Microsoft-identiteitsplatform ophalen en Microsoft het onderhoud van een veilige verificatieoplossing laten afhandelen. MSAL voegt standaard SSO-ondersteuning toe voor uw toepassing. Daarnaast is het gebruik van MSAL een vereiste als u ook van plan bent app-beveiligingsbeleid te implementeren.
Notitie
Het is mogelijk om MSAL te configureren voor het gebruik van een ingesloten webweergave. Hierdoor voorkomt u eenmalige aanmelding. Gebruik het standaardgedrag (dat wil gezegd de webbrowser van het systeem) om ervoor te zorgen dat eenmalige aanmelding werkt.
Voor iOS-toepassingen hebben we een quickstart die laat zien hoe u aanmeldingen kunt instellen met BEHULP van MSAL en richtlijnen voor het configureren van MSAL voor verschillende scenario's voor eenmalige aanmelding.
Voor Android-toepassingen hebben we een quickstart die laat zien hoe u aanmeldingen kunt instellen met BEHULP van MSAL en richtlijnen voor het inschakelen van eenmalige aanmelding voor meerdere apps op Android met BEHULP van MSAL.
De systeemwebbrowser gebruiken
Webbrowsers zijn vereist voor interactieve verificatie. Voor mobiele apps die gebruikmaken van andere moderne verificatiebibliotheken dan MSAL (dat wil zeggen andere OpenID-Verbinding maken- of SAML-bibliotheken), of als u uw eigen verificatiecode implementeert, moet u de systeembrowser gebruiken als verificatieoppervlak om eenmalige aanmelding in te schakelen.
Google heeft richtlijnen om dit te doen in Android-toepassingen: Aangepaste tabbladen van Chrome - Google Chrome.
Apple heeft richtlijnen voor dit doen in iOS-toepassingen: Een gebruiker verifiëren via een webservice | Documentatie voor Apple-ontwikkelaars.
Tip
De SSO-invoegtoepassing voor Apple-apparaten staat eenmalige aanmelding toe voor iOS-apps die gebruikmaken van ingesloten webweergaven op beheerde apparaten met Intune. We raden MSAL en systeembrowser aan als de beste optie voor het ontwikkelen van apps die eenmalige aanmelding voor alle gebruikers inschakelen, maar dit zorgt ervoor dat eenmalige aanmelding in sommige scenario's mogelijk is, waar anders niet mogelijk is.
Beveiligingsbeleid voor apps inschakelen
Gebruik de Microsoft Authentication Library (MSAL) om beveiligingsbeleid voor apps in te schakelen. MSAL is de verificatie- en autorisatiebibliotheek van het Microsoft Identity Platform en de Intune SDK is ontwikkeld om er samen mee te werken.
Daarnaast moet u een broker-app gebruiken voor verificatie. De broker vereist dat de app toepassings- en apparaatgegevens levert om ervoor te zorgen dat app-naleving wordt nageleefd. iOS-gebruikers gebruiken de Microsoft Authenticator-app en Android-gebruikers gebruiken de Microsoft Authenticator-app of de Bedrijfsportal-appvoor brokered-verificatie. MSAL maakt standaard gebruik van een broker als eerste keuze voor het uitvoeren van een verificatieaanvraag. Het gebruik van de broker om te verifiëren wordt dus automatisch ingeschakeld voor uw app wanneer u out-of-the-box MSAL gebruikt.
Voeg ten slotte de Intune SDK toe aan uw app om app-beveiligingsbeleid in te schakelen. De SDK volgt voor het grootste deel een snijpuntmodel en past automatisch app-beveiligingsbeleid toe om te bepalen of acties die de app uitvoert, al dan niet zijn toegestaan. Er zijn ook API's die u handmatig kunt aanroepen om de app te laten weten of er beperkingen zijn voor bepaalde acties.