MSAL kullanarak Android'de uygulamalar arası SSO'ları etkinleştirme

Çoklu oturum açma (SSO), kullanıcıların kimlik bilgilerini yalnızca bir kez girmesini ve bu kimlik bilgilerinin uygulamalar arasında otomatik olarak çalışmasını sağlar. Kullanıcı deneyimini geliştirir ve kullanıcıların yönetmesi gereken parola sayısını azaltarak güvenliği artırır ve parola yorgunluğu ve ilişkili güvenlik açıkları riskini azaltır.

Microsoft kimlik platformu ve Microsoft Kimlik Doğrulama Kitaplığı (MSAL), uygulama paketinizde SSO'nun etkinleştirilmesine yardımcı olur. Aracı özelliğini etkinleştirerek SSO'yi tüm cihaz genelinde genişletebilirsiniz.

Bu nasıl yapılır makalesinde, müşterilerinize SSO sağlamak için uygulamanız tarafından kullanılan SDK'ları yapılandırmayı öğreneceksiniz.

Önkoşullar

Bu kılavuz, sizin bildiğinizi varsayar:

• Uygulamanızı sağlayın. Daha fazla bilgi için Android öğreticisinde uygulama oluşturma yönergelerine bakın
• Uygulamanızı Android için MSAL ile tümleştirme

SSO yöntemleri

Android için MSAL kullanan uygulamaların SSO'ya ulaşmanın iki yolu vardır:

• Aracı uygulaması aracılığıyla

• Sistem tarayıcısı aracılığıyla

  Cihaz genelinde SSO, hesap yönetimi ve Koşullu Erişim gibi avantajlar için bir aracı uygulaması kullanmanız önerilir. Ancak, kullanıcılarınızın ek uygulamaları indirmesini gerektirir.

Aracılı kimlik doğrulaması aracılığıyla SSO

Cihaz genelinde SSO'ya katılmak ve kurumsal Koşullu Erişim ilkelerini karşılamak için Microsoft'un kimlik doğrulama aracılarından birini kullanmanızı öneririz. Bir aracıyla tümleştirmek aşağıdaki avantajları sağlar:

• Cihaz SSO
• Koşullu Erişim:
  • Intune Uygulama Koruması
  • Cihaz Kaydı (Çalışma Alanına Katılma)
  • Mobil Cihaz Yönetimi
• Cihaz Genelinde Hesap Yönetimi
  • Android AccountManager ve Hesap Ayarları aracılığıyla
  • "İş Hesabı" - özel hesap türü

Android'de Microsoft Kimlik Doğrulama Aracısı, Microsoft Authenticator, Intune Şirket Portalı ve Windows Bağlantısı uygulamalarında bulunan bir bileşendir.

Aşağıdaki diyagramda uygulamanız, MSAL ve Microsoft'un kimlik doğrulama aracıları arasındaki ilişki gösterilmektedir.

Aracılık faaliyeti yürüten uygulamaları yükleme

Aracı barındırma uygulamaları, cihaz sahibi tarafından herhangi bir zamanda uygulama mağazasından (genellikle Google Play Store) yüklenebilir. Ancak, bazı API'ler (kaynaklar) cihazların şunlar olmasını gerektiren Koşullu Erişim İlkeleri ile korunur:

• Kayıtlı (çalışma alanına katılmış) ve/veya
• Cihaz Yönetimine Kaydolundu veya
• Intune Uygulama Koruması'nda kayıtlı

Yukarıda belirtilen gereksinimlere sahip cihazda yüklü bir aracı uygulaması yoksa MSAL, uygulama etkileşimli olarak belirteç almaya çalıştığında kullanıcıya bir aracı uygulaması yüklemesini bildirir. Ardından uygulama, cihazı gerekli ilkeyle uyumlu hale getirme adımlarını izleyerek kullanıcıya yol gösterir. İlke gereksinimi yoksa veya kullanıcı Microsoft hesabıyla oturum açıyorsa Aracı uygulaması yüklemesi gerekli değildir.

Aracı yükleme ve kaldırmanın etkileri

Bir aracı yüklendiğinde

Bir aracı bir cihaza yüklendiğinde, ardışık tüm etkileşimli belirteç istekleri (acquireToken() çağrılarına) MSAL tarafından yerel olarak değil, aracı tarafından işlenir. Daha önce MSAL'de mevcut olan herhangi bir SSO durumu aracı yazılım tarafından kullanılamaz. Sonuç olarak, kullanıcının yeniden kimlik doğrulaması yapması veya cihaz tarafından bilinen mevcut hesap listesinden bir hesap seçmesi gerekir.

Aracı yüklemek için kullanıcının yeniden oturum açması gerekmez. Yalnızca kullanıcının bir MsalUiRequiredException sorunu çözmesi gerektiğinde bir sonraki istek aracıya gider. MsalUiRequiredException çeşitli nedenlerle atılabilir ve etkileşimli olarak çözülmesi gerekir. Örneğin:

• Kullanıcı hesabıyla ilişkili parolayı değiştirdi.
• Kullanıcının hesabı artık koşullu erişim ilkesini karşılamıyor.
• Kullanıcı, uygulamanın hesabıyla ilişkilendirilmesine ilişkin onayını iptal etti.

Birden çok aracı - Bir cihaza birden çok aracı yüklenirse, MSAL kimlik doğrulama işlemini tamamlamak için etkin aracıyı kendi başına tanımlar

Aracının kaldırıldığında

Yalnızca bir aracı barındırma uygulaması yüklüyse ve uygulama kaldırıldıysa kullanıcının yeniden oturum açması gerekir. Etkin aracı kaldırılarak hesap ve ilişkili belirteçler cihazdan kaldırılır.

Microsoft Authenticator, Intune Şirket Portalı veya Windows Bağlantısı kaldırılırsa, kullanıcıdan yeniden oturum açması istenebilir.

Bir aracı ile tümleştirme

Aracı için yeniden yönlendirme URI'si oluşturun

Broker ile uyumlu bir yönlendirme URI'si kaydetmeniz gerekir. Aracı için yeniden yönlendirme URI'sinde uygulamanızın paket adı ve uygulamanızın imzasının Base64 ile kodlanmış gösterimi bulunmalıdır.

Yeniden yönlendirme URI'sinin biçimi: msauth://<yourpackagename>/<base64urlencodedsignature>

Keytool kullanarak uygulamanızın imzalama anahtarlarını kullanarak Base64 kodlu imza karması oluşturabilir ve ardından bu karmayı kullanarak yeniden yönlendirme URI'nizi oluşturabilirsiniz.

Linux ve macOS:

keytool -exportcert -alias androiddebugkey -keystore ~/.android/debug.keystore | openssl sha1 -binary | openssl base64

Windows:

keytool -exportcert -alias androiddebugkey -keystore %HOMEPATH%\.android\debug.keystore | openssl sha1 -binary | openssl base64

Keytool ile imza karması oluşturduktan sonra Azure portalını kullanarak yeniden yönlendirme URI'sini oluşturun:

1. Microsoft Entra yönetim merkezinde en az bir Bulut Uygulaması Yöneticisi olarak oturum açın.
2. Birden çok kiracıya erişiminiz varsa, Üst menüdeki Ayarlar simgesini kullanarak Dizinler + abonelikler menüsünden uygulama kaydını içeren kiracıya geçin.
3. Kimlik>Uygulamalara>Uygulama kayıtlarına göz atın.
4. Uygulamanızı seçin ve ardından Kimlik Doğrulaması>Platform Ekle>Android seçin.
5. Açılan Android uygulamanızı yapılandırın bölmesinde, daha önce oluşturduğunuz İmza karması ve bir Paket adı girin.
6. Yapılandır düğmesini seçin.

Yeniden yönlendirme URI'si sizin için oluşturulur ve Android yapılandırma bölmesinin Yeniden Yönlendirme URI'si alanında görüntülenir.

Uygulamanızı imzalama hakkında daha fazla bilgi için bkz . Android Studio Kullanıcı Kılavuzu'nda uygulamanızı imzalama.

MSAL'yi aracı kullanacak şekilde yapılandırma

Uygulamanızda bir aracı kullanmak için aracı yeniden yönlendirme işleminizi yapılandırdığınızı onaylamanız gerekir. Örneğin, MSAL yapılandırma dosyanıza aşağıdaki ayarları ekleyerek hem aracı etkin yeniden yönlendirme URI'nizi ekleyin hem de kaydettiğinizi belirtin:

"redirect_uri" : "<yourbrokerredirecturi>",
"broker_redirect_uri_registered": true

Aracıyla ilgili istisnalar

MSAL aracıyla iki şekilde iletişim kurar:

• Aracı bağlı hizmeti
• Android Hesap Yöneticisi

MSAL ilk olarak aracıya bağlı hizmeti kullanır çünkü bu hizmeti çağırmak herhangi bir Android izni gerektirmez. bağlı hizmete bağlama başarısız olursa, MSAL Android AccountManager API'sini kullanır. MSAL, uygulamanıza zaten "READ_CONTACTS" izni verilmişse bunu yapar.

Eğer MsalClientException hata kodu ile bir "BROKER_BIND_FAILURE" alırsanız, iki seçenek vardır:

• Kullanıcıdan Microsoft Authenticator uygulaması ve Intune Şirket Portalı için güç iyileştirmesini devre dışı bırakmasını isteyin.
• Kullanıcıdan "READ_CONTACTS" iznini vermesini isteyin

Aracı entegrasyonunu doğrula

Aracı entegrasyonunun çalışıp çalışmadığı hemen belli olmayabilir, ancak kontrol etmek için aşağıdaki adımları kullanabilirsiniz.

1. Android cihazınızda aracıyı kullanarak bir isteği tamamlayın.
2. Android cihazınızdaki ayarlarda, kimlik doğrulaması yaptığınız hesaba karşılık gelen yeni oluşturulan bir hesabı arayın. Hesap İş hesabı türünde olmalıdır.

Testi tekrarlamak istiyorsanız hesabı ayarlardan kaldırabilirsiniz.

Sistem tarayıcısı aracılığıyla SSO

Android uygulamaları kimlik doğrulaması kullanıcı deneyimi için , sistem tarayıcısını veya Chrome Özel Sekmelerini kullanma WEBVIEWseçeneğine sahiptir. Uygulama aracılı kimlik doğrulaması kullanmıyorsa, SSO'ya ulaşmak için yerel web görünümü yerine sistem tarayıcısını kullanması gerekir.

Yetkilendirme aracıları

Yetkilendirme aracıları için belirli bir strateji seçmek önemlidir ve uygulamaların özelleştirebileceği ek işlevleri temsil eder. 'WEBVIEW' kullanmanızı öneririz. Diğer yapılandırma değerleri hakkında daha fazla bilgi edinmek için (bkz. Android MSAL yapılandırma dosyasını anlama.

MSAL, bir WEBVIEWveya sistem tarayıcısı kullanarak yetkilendirmeyi destekler. Aşağıdaki resimde, WEBVIEW kullanarak, Özel Sekmeler ile veya Özel Sekmeler olmadan sistem tarayıcısının nasıl göründüğü gösterilmektedir.

SSO etkileri

Uygulama, aracılı kimlik doğrulaması ile uygulamayla tümleştirme yapmadan bir WEBVIEW strateji kullanıyorsa, kullanıcılar cihazda veya yerel uygulamalarla web uygulamaları arasında çoklu oturum açma deneyimine sahip olmaz.

Uygulamalar, BROWSER kullanarak yetkilendirme sağlamak için MSAL ile entegre edilebilir. WEBVIEW'den farklı olarak, BROWSER çerez deposunu varsayılan sistem tarayıcısıyla paylaşır ve bu, web veya Özel Sekmelerle tümleştirilmiş diğer yerel uygulamalarla daha az oturum açmayı mümkün kılar.

Uygulama MSAL'yi Microsoft Authenticator, Intune Şirket Portalı veya Windows Bağlantısı gibi bir aracıyla kullanıyorsa, kullanıcılar uygulamalardan biriyle etkin oturum açmaları durumunda uygulamalar arasında SSO deneyimine sahip olabilir.

Web Görüntüleyici

Uygulama içi WebView'ı kullanmak için, MSAL'ye geçirilen uygulama yapılandırması JSON'sine aşağıdaki satırı yerleştirin:

"authorization_user_agent" : "WEBVIEW"

Kullanıcı, uygulama içinde WEBVIEW kullanırken doğrudan uygulamada oturum açar. Belirteçler uygulamanın korumalı alanında tutulur ve uygulamanın çerez kutusunun dışında kullanılamaz. Sonuç olarak, uygulamalar Microsoft Authenticator uygulaması, Intune Şirket Portalı veya Windows Bağlantısı ile tümleştirilmediği sürece kullanıcı uygulamalar arasında SSO deneyimine sahip olamaz.

Ancak, WEBVIEW oturum açma kullanıcı arabirimi için genel görünümü özelleştirme özelliği sağlar. Bu özelleştirmeyi yapma hakkında daha fazla bilgi için bkz . Android WebViews .

Tarayıcı

WebVIEW kullanmanızı öneririz, ancak tarayıcı ve özel sekme stratejisi kullanma seçeneği sunuyoruz. Özel yapılandırma dosyasında aşağıdaki JSON yapılandırmasını kullanarak bu stratejiyi açıkça belirtebilirsiniz:

"authorization_user_agent" : "BROWSER"

Cihazın tarayıcısı aracılığıyla SSO deneyimi sağlamak için bu yaklaşımı kullanın. MSAL, diğer yerel uygulamaların veya web uygulamalarının, MSAL tarafından ayarlanan kalıcı oturum tanımlama bilgisini kullanarak cihazda SSO gerçekleştirmesine olanak tanıyan paylaşılan bir cookie jar kullanır.

Tarayıcı seçimi yöntemi

MSAL'nin geniş Android telefon dizisinin her birinde kullanılacak tam tarayıcı paketini belirtmesi mümkün olmadığından, MSAL en iyi cihazlar arası SSO'ları sağlamaya çalışan bir tarayıcı seçimi buluşsal özelliği uygular.

MSAL öncelikle paket yöneticisinden varsayılan tarayıcıyı alır ve test edilmiş bir güvenli tarayıcı listesinde olup olmadığını denetler. Aksi takdirde MSAL, güvenli listeden varsayılan olmayan başka bir tarayıcı başlatmak yerine Webview'ı kullanmaya geri döner. Özel sekmeleri destekleyip desteklemediğinden bağımsız olarak varsayılan tarayıcı seçilir. Tarayıcı Özel Sekmeleri destekliyorsa, MSAL Özel Sekme'yi başlatır. Özel Sekmeler, uygulama WebView içi bir görünüme ve kullanıma daha yakındır ve temel kullanıcı arabirimi özelleştirmesine izin verir. Daha fazla bilgi edinmek için bkz . Android'de Özel Sekmeler.

Cihazda tarayıcı paketi yoksa, MSAL WebView uygulama içini kullanır. Cihaz varsayılan ayarı değiştirilmezse, SSO deneyiminden emin olmak için her oturum açma için aynı tarayıcı başlatılmalıdır.

Test Edilmiş Tarayıcılar

Aşağıdaki tarayıcılar, yapılandırma dosyasında belirtilene doğru şekilde yeniden yönlendirilip yönlendirilmediğini görmek için "redirect_uri" test edilmiştir:

¹Samsung'un yerleşik tarayıcısı Samsung Internet'tir.
²Varsayılan tarayıcı Oppo cihaz ayarı içinde değiştirilemez.

Sonraki adımlar

Android cihazlar için paylaşılan cihaz modu, birden çok çalışan tarafından kolayca paylaşılabilmesi için bir Android cihazı yapılandırmanıza olanak tanır.

Aracı uygulamaları hakkında daha fazla bilgi için aşağıdaki sayfalara gidin:

• Microsoft Authenticator
• Intune Şirket Portalı
• Windows Bağlantısı