Megosztás a következőn keresztül:

2. fázis: Az MSAL előfeltétele és beállítása

  • Cikk

A Intune App SDK a Microsoft Authentication Libraryt használja a hitelesítéshez és a feltételes indítási forgatókönyvekhez. Arra is támaszkodik, hogy az MSAL regisztrálja a felhasználói identitást a MAM szolgáltatásban az eszközregisztrációs forgatókönyvek nélküli felügyelethez.

Megjegyzés:

Ez az útmutató több különböző szakaszra oszlik. Először tekintse át az 1. fázis: Az integráció megtervezése című szakaszt.

Szakasz Goals

  • Regisztrálja alkalmazását a Microsoft Entra ID.
  • Integrálja az MSAL-t az iOS-alkalmazásba.
  • Ellenőrizze, hogy az alkalmazás beszerezhet-e olyan jogkivonatot, amely hozzáférést biztosít a védett erőforrásokhoz.

Microsoft Entra alkalmazásregisztráció beállítása és konfigurálása

Az MSAL megköveteli, hogy az alkalmazások regisztráljanak az Microsoft Entra ID, és egyedi ügyfél-azonosítót és átirányítási URI-t hozzanak létre, hogy garantálják az alkalmazás számára biztosított jogkivonatok biztonságát. Ha az alkalmazás már használja az MSAL-t a saját hitelesítéséhez, akkor már rendelkeznie kell az alkalmazáshoz társított Microsoft Entra alkalmazásregisztrációval/ügyfél-azonosítóval/átirányítási URI-val.

Ha az alkalmazás még nem használja az MSAL-t, konfigurálnia kell egy alkalmazásregisztrációt Microsoft Entra ID, és meg kell adnia az ügyfél-azonosítót és az átirányítási URI-t, amelyet a Intune SDK-nak használnia kell.

Ha az alkalmazás jelenleg az ADAL-t használja a felhasználók hitelesítéséhez, az alkalmazások áttelepítése iOS és macOS rendszerhez készült MSAL-re című témakörben talál további információt az alkalmazás ADAL-ról MSAL-re való migrálásáról.

Javasoljuk, hogy az alkalmazás az MSAL legújabb kiadására mutató hivatkozásokat használjon.

A telepítési szakaszt követve helyezze az MSAL bináris fájljait az alkalmazásba.

Az MSAL konfigurálása

Az MSAL konfigurálásához kövesse a konfigurációs szakaszt. Mindenképpen kövesse a konfigurációs szakasz lépéseit. Hagyja figyelmen kívül az első lépést, ha az alkalmazás már regisztrálva van Microsoft Entra ID.

Az alábbi pontok további információkat tartalmaznak az MSAL konfigurálásához és a hivatkozáshoz. Kövesse ezeket, ha az alkalmazásra vonatkoznak.

  • Ha az alkalmazás nem rendelkezik definiált kulcskarika-hozzáférési csoportokkal, első csoportként adja hozzá az alkalmazás csomagazonosítóját.
  • Engedélyezze az MSAL egyszeri bejelentkezést (SSO) a kulcslánc-hozzáférési csoportokhoz való hozzáadással com.microsoft.adalcache .
  • Ha explicit módon állítja be az MSAL megosztott gyorsítótár kulcskarikacsoportját, győződjön meg arról, hogy az értékre <appidprefix>.com.microsoft.adalcachevan állítva. Az MSAL ezt beállítja Önnek, hacsak nem bírálja felül. Ha egyéni kulcslánccsoportot szeretne megadni a lecseréléséhez com.microsoft.adalcache, adja meg azt az Info.plist fájlban az IntuneMAMSettings területen a kulccsal ADALCacheKeychainGroupOverride.

MSAL-beállítások konfigurálása az Intune App SDK-hoz

Miután konfigurált egy alkalmazásregisztrációt az alkalmazáshoz a Microsoft Entra ID, konfigurálhatja a Intune App SDK-t, hogy az alkalmazásregisztráció beállításait használja a Microsoft Entra ID való hitelesítés során. A Intune App SDK beállításainak konfigurálásával kapcsolatos információkért lásd: Az alábbi beállítások feltöltése:

  • ADALClientId
  • ADALAuthority
  • ADALRedirectUri
  • ADALRedirectScheme
  • ADALCacheKeychainGroupOverride

A következő konfigurációk szükségesek:

  1. A projekt Info.plist fájljában, az IntuneMAMSettings szótárban a kulcsnév ADALClientIdalatt adja meg az MSAL-hívásokhoz használandó ügyfél-azonosítót.

  2. Ha az 1. lépésben konfigurált ügyfél-azonosítóra leképezett Microsoft Entra alkalmazásregisztráció csak egyetlen Microsoft Entra-bérlőben való használatra van konfigurálva, konfigurálja a ADALAuthority kulcsot az alkalmazás Info.plist fájljában található IntuneMAMSettings szótárban. Adja meg az MSAL által a Intune mobilalkalmazás-felügyeleti szolgáltatás jogkivonatainak beszerzéséhez használandó Microsoft Entra szolgáltatót.

  3. Az IntuneMAMSettings szótárban is adja meg az ADALRedirectUriMSAL-hívásokhoz használandó átirányítási URI-t. Másik lehetőségként megadható ADALRedirectScheme , hogy az alkalmazás átirányítási URI-ja a következő formátumban scheme://bundle_idlegyen: .

    Azt is megteheti, hogy az alkalmazások felülbírálják ezeket a Microsoft Entra beállításokat futásidőben. Ehhez egyszerűen állítsa be a , aadClientIdOverridea és aadRedirectUriOverride a aadAuthorityUriOverridetulajdonságot a IntuneMAMSettings osztályon.

  4. Győződjön meg arról, hogy követte az iOS-alkalmazásengedélyek Intune Mobile App Management (MAM) szolgáltatáshoz való biztosításának lépéseit. Használja az Intune SDK útmutatójának első lépéseit, amely az Alkalmazás hozzáférésének biztosítása a Intune Mobile App Management szolgáltatáshoz című témakörben található.

    Megjegyzés:

    Ha az alkalmazásvédelmi szabályzat felügyelt eszközökhöz kapcsolódik, a Intune integrált alkalmazás alkalmazáskonfigurációs profiljának létrehozása is szükséges.

    Az Info.plist megközelítés minden statikus beállításhoz ajánlott, és nem kell futásidőben meghatározni. A futtatókörnyezetben az IntuneMAMSettings osztálytulajdonságokhoz rendelt értékek elsőbbséget élveznek az Info.plist-ben megadott megfelelő értékekkel szemben, és az alkalmazás újraindítása után is megmaradnak. Az SDK továbbra is használni fogja őket a szabályzatok beadásához, amíg a felhasználót nem törlik, vagy nem törlik vagy módosítják az értékeket.

Speciális szempontok az MSAL alkalmazás által kezdeményezett hitelesítéshez való használatakor

Javasoljuk, hogy az alkalmazások ne használják az SFSafariViewControllert, az SFAuthenticationSessiont vagy az ASWebAuthenticationSessiont webnézetként az alkalmazás által kezdeményezett interaktív MSAL-hitelesítési műveletekhez. Az MSAL alapértelmezés szerint az ASWebAuthenticationSession függvényt használja, ezért az alkalmazásfejlesztőknek explicit módon WKWebView-ra kell állítaniuk a webnézet típusát . Ha az alkalmazásnak valamilyen okból a WKWebView típustól eltérő webnézet-típust kell használnia az interaktív MSAL-hitelesítési műveletekhez, akkor az alkalmazás Info.plist fájljában a IntuneMAMSettings szótár alatt is be kell állítania.SafariViewControllerBlockedOverridetrue

Figyelmeztetés

Ezzel kikapcsolja Intune SafariViewController-horgait a hitelesítési munkamenet engedélyezéséhez. Ez azt jelenti, hogy az alkalmazás máshol is kiszivárogtatja az adatokat, ha az alkalmazás a SafariViewControllert használja a vállalati adatok megtekintéséhez, így az alkalmazásnak egyetlen ilyen webnézet-típusban sem kellene megjelenítenie a vállalati adatokat.

Kilépési feltételek

  • Regisztrálta az alkalmazást az Microsoft Entra alkalmazásregisztrációs oldalán?
  • Integrálta az MSAL-t az alkalmazásba?
  • Engedélyezte a közvetítőhitelesítést egy átirányítási URI generálásával és az MSAL konfigurációs fájlban való beállításával?
  • Meggyőződött arról, hogy az IntuneMAMSettings szótár MSAL-hez szükséges konfigurációs adatai megegyeznek a Microsoft Entra alkalmazásregisztrációkban szereplőkkel?

GYIK

Mi a helyzet az ADAL-rel?

A Microsoft korábbi hitelesítési könyvtára, az Azure Active Directory Authentication Library (ADAL)elavult.

Ha az alkalmazás már integrálta az ADAL-t, olvassa el az Alkalmazások frissítése a Microsoft Authentication Library (MSAL) használatára című témakört. Az alkalmazás ADAL-ból MSAL-be való migrálásáról az Alkalmazások migrálása iOS-hez és macOS-hez készült MSAL-be című témakörben olvashat.

Javasoljuk, hogy a Intune App SDK integrálása előtt migráljon az ADAL-ról az MSAL-be.

Következő lépések

Miután elvégezte a fenti kilépési feltételeket, folytassa a 3. fázissal: Intune SDK-integrációt az iOS-alkalmazásba.