在開發的應用程式中使用 FIDO2 金鑰支援無密碼驗證
這些設定和最佳做法可協助您避免常見案例封鎖 FIDO2 無密碼驗證 可供應用程式使用者使用。
一般最佳做法
網域提示
請勿使用網域提示來略過 主領域探索 。 這項功能旨在讓登入更加簡化,但同盟識別提供者可能不支援無密碼驗證。
需要特定認證
如果您使用 SAML,請勿使用 RequestedAuthnCoNtext 元素 指定需要 密碼。
RequestedAuthnCoNtext 元素是選擇性的,因此若要解決此問題,您可以從 SAML 驗證要求中移除它。 這是一般最佳做法,因為使用此元素也可以防止其他驗證選項,例如多重要素驗證無法正常運作。
使用最近使用的驗證方法
使用者最近使用的登入方法會先呈現給他們。 當使用者認為他們必須使用所呈現的第一個選項時,這可能會導致混淆。 不過,他們可以選取 [其他登入方式] 來選擇另一個選項,如下所示。
平臺特定的最佳做法
桌面
實作驗證的建議選項如下:
- 使用 Microsoft 驗證程式庫 (MSAL) 的 .NET 傳統型應用程式應該使用 Windows 驗證管理員 (WAM)。 這項整合及其優點 記載于 GitHub 上。
- 使用 WebView2 在內嵌瀏覽器中支援 FIDO2。
- 使用系統瀏覽器。 傳統型平臺的 MSAL 程式庫預設會使用此方法。 您可以查閱 FIDO2 瀏覽器相容性頁面,以確保您使用的瀏覽器支援 FIDO2 驗證。
行動裝置
使用 MSAL 搭配 ASWebAuthenticationSession 或訊息代理程式整合的原生 iOS 應用程式支援 FIDO2。 Broker 隨附于 iOS 上的 Microsoft Authenticator,而 macOS 上的 Microsoft Intune 公司入口網站。
請確定您的網路 Proxy 不會封鎖 Apple 相關聯的網域驗證。 FIDO2 驗證需要 Apple 的相關聯網域驗證才能成功,這需要從網路 Proxy 中排除特定 Apple 網域。 如需詳細資訊,請參閱 在商業網路上 使用 Apple 產品。
原生 Android 應用程式的 FIDO2 支援目前正在開發中。
如果您未使用 MSAL,您仍然應該使用系統網頁瀏覽器進行驗證。 單一登入和條件式存取等功能依賴系統網頁瀏覽器所提供的共用 Web 介面。 這表示使用 Chrome 自訂索引標籤 (Android) 或 透過 Web 服務驗證使用者 |Apple 開發人員檔 (iOS)。
Web 和單頁應用程式
在網頁瀏覽器中執行之應用程式的 FIDO2 無密碼驗證可用性取決於瀏覽器和平臺的組合。 您可以查閱我們的 FIDO2 相容性矩陣 ,以檢查使用者將遇到的組合是否受到支援。