Cum se activeaza SSO cross-app pe Android utilizand MSAL – platforma de identitate Microsoft

• 15/10/2020
• 9 minute de citit

In acest articol

Conectarea unica (SSO) permite utilizatorilor sa isi introduca acreditarile o singura data si sa aiba acele acreditari sa functioneze automat intre aplicatii.

Platforma de identitate Microsoft si Biblioteca de autentificare Microsoft (MSAL) va ajuta sa activati SSO in propria suita de aplicatii. Cu capacitatea de broker si aplicatiile Authenticator, puteti extinde SSO pe intregul dispozitiv.

In acest mod, veti afla cum sa configurati SDK-urile utilizate de aplicatia dvs. pentru a furniza SSO clientilor dvs.

Conditii prealabile

Aceasta metoda presupune ca stii cum sa:

• Furnizati aplicatia utilizand portalul Azure. Pentru mai multe informatii despre acest subiect, consultati instructiunile pentru crearea unei aplicatii in tutorialul Android
• Integrati aplicatia cu Biblioteca de autentificare Microsoft pentru Android.

Metode de conectare unica

Exista doua modalitati prin care aplicatiile care utilizeaza MSAL pentru Android realizeaza SSO:

• Prin intermediul unei aplicatii de broker

• Prin browserul de sistem

  Se recomanda utilizarea unei aplicatii de broker pentru beneficii precum SSO la nivel de dispozitiv, gestionarea contului si acces conditionat. Cu toate acestea, este necesar ca utilizatorii dvs. sa descarce aplicatii suplimentare.

SSO prin autentificare intermediata

Va recomandam sa utilizati unul dintre brokerii de autentificare Microsoft pentru a participa la conectarea unica la nivel de dispozitiv (SSO) si pentru a respecta politicile organizationale de acces conditionat. Integrarea cu un broker ofera urmatoarele avantaje:

• Conectare unica a dispozitivului
• Acces conditionat pentru:
  • Protectia aplicatiei Intune
  • Inregistrare dispozitiv (Alaturare la locul de munca)
  • Gestionarea dispozitivelor mobile
• Gestionarea contului la nivel de dispozitiv
  • prin Android AccountManager & Setari cont
  • „Cont de lucru” – tip de cont personalizat

Pe Android, Microsoft Authentication Broker este o componenta inclusa in aplicatiile Microsoft Authenticator si Intune Company Portal.

Urmatoarea diagrama ilustreaza relatia dintre aplicatia dvs., Biblioteca de autentificare Microsoft (MSAL) si brokerii de autentificare Microsoft.

Instalarea aplicatiilor care gazduiesc un broker

Aplicatiile de gazduire a brokerilor pot fi instalate de proprietarul dispozitivului din magazinul de aplicatii (de obicei Google Play Store) in orice moment. Cu toate acestea, unele API-uri (resurse) sunt protejate de politici de acces conditionat care necesita ca dispozitivele sa fie:

• Inregistrat (la locul de munca alaturat) si / sau
• Inscris in Device Management sau
• Inscris in Protectia aplicatiei Intune

Daca un dispozitiv nu are deja instalata o aplicatie de broker, MSAL ii instruieste utilizatorul sa o instaleze de indata ce aplicatia incearca sa obtina un simbol interactiv. Aplicatia va trebui apoi sa conduca utilizatorul prin pasii necesari pentru ca dispozitivul sa respecte politica necesara.

Efectele instalarii si dezinstalarii unui broker

Cand este instalat un broker

Atunci cand un broker este instalat pe un dispozitiv, toate cererile ulterioare de jetoane interactive (apeluri catre acquisitionToken ()) sunt tratate de broker mai degraba decat local de MSAL. Orice stare SSO disponibila anterior pentru MSAL nu este disponibila brokerului. Prin urmare, utilizatorul va trebui sa se autentifice din nou sau sa selecteze un cont din lista de conturi existente cunoscute de dispozitiv.

Instalarea unui broker nu necesita ca utilizatorul sa se conecteze din nou. Numai atunci cand utilizatorul trebuie sa rezolve o exceptie MsalUiRequiredEx, urmatoarea solicitare va fi trimisa brokerului. MsalUiRequiredException poate fi aruncat din mai multe motive si trebuie rezolvat interactiv. De exemplu:

• Utilizatorul a schimbat parola asociata contului sau.
• Contul utilizatorului nu mai indeplineste o politica de acces conditionat.
• Utilizatorul si-a revocat consimtamantul pentru ca aplicatia sa fie asociata contului sau.

Brokeri multipli – Daca pe un dispozitiv sunt instalati mai multi brokeri, brokerul care a fost instalat primul este intotdeauna brokerul activ. Doar un singur broker poate fi activ pe un dispozitiv.

Cand un broker este dezinstalat

Daca exista o singura aplicatie de gazduire broker instalata si este eliminata, atunci utilizatorul va trebui sa se conecteze din nou. Dezinstalarea brokerului activ elimina contul si jetoanele asociate de pe dispozitiv.

Daca Intune Company Portal este instalat si functioneaza ca broker activ si se instaleaza si Microsoft Authenticator, atunci daca Intune Company Portal (broker activ) este dezinstalat, utilizatorul va trebui sa se conecteze din nou. Dupa ce se conecteaza din nou, aplicatia Microsoft Authenticator devine broker activ.

Integrarea cu un broker

Generati un URI de redirectionare pentru un broker

Trebuie sa inregistrati un URI de redirectionare care este compatibil cu brokerul. URI-ul de redirectionare pentru broker ar trebui sa includa numele pachetului aplicatiei dvs. si reprezentarea codificata Base64 a semnaturii aplicatiei dvs.

Formatul URI-ului de redirectionare este: msauth: // <numelevoiunpachet> / <base64urlencodedsignature>

Puteti utiliza keytool pentru a genera un hash semnat codificat Base64 folosind cheile de semnare ale aplicatiei dvs., apoi utilizati portalul Azure pentru a genera URI-ul de redirectionare utilizand acel hash.

Linux si macOS:

keytool -exportcert -alias androiddebugkey -keystore ~ ​​/ .android / debug.keystore | openssl sha1 -binary | openssl base64

Windows:

keytool -exportcert -alias androiddebugkey -keystore% HOMEPATH% \. android \ debug.keystore | openssl sha1 -binary | openssl base64

Dupa ce ati generat un hash de semnatura cu keytool , utilizati portalul Azure pentru a genera URI-ul de redirectionare:

1. Conectati-va la portalul Azure si selectati aplicatia dvs. Android in inregistrarile aplicatiilor .
2. Selectati Autentificare > Adaugati o platforma > Android .
3. In panoul de configurare a aplicatiei Android care se deschide, introduceti hashul Semnaturii pe care l-ati generat anterior si un nume de pachet .
4. Selectati butonul Configurare .

Portalul Azure genereaza URI-ul de redirectionare pentru dvs. si il afiseaza in campul URI de redirectionare al panoului de configurare Android .

Pentru mai multe informatii despre semnarea aplicatiei dvs., consultati Semnarea aplicatiei dvs. in Ghidul utilizatorului Android Studio.

Configurati MSAL pentru a utiliza un broker

Pentru a utiliza un broker in aplicatia dvs., trebuie sa atestati ca ati configurat redirectionarea brokerului. De exemplu, includeti atat URI de redirectionare activat de broker – si indicati ca l-ati inregistrat – incluzand urmatoarele setari in fisierul de configurare MSAL:

“redirect_uri”: “<yourbrokerredirecturi>”, “broker_redirect_uri_registered”: adevarat

MSAL comunica cu brokerul in doua moduri:

• Serviciu legat de broker
• Android AccountManager

MSAL foloseste mai intai serviciul legat de broker, deoarece apelarea acestui serviciu nu necesita permisiuni Android. Daca legarea la serviciul legat esueaza, MSAL va utiliza API-ul Android AccountManager. MSAL face acest lucru numai daca aplicatiei dvs. i s-a acordat deja permisiunea „READ_CONTACTS”.

Daca primiti o exceptie MsalClientException cu codul de eroare „BROKER_BIND_FAILURE”, atunci exista doua optiuni:

• Solicitati utilizatorului sa dezactiveze optimizarea energiei pentru aplicatia Microsoft Authenticator si portalul Intune Company.
• Solicitati utilizatorului sa acorde permisiunea „READ_CONTACTS”

Verificati integrarea brokerului

Este posibil sa nu fie clar imediat ca integrarea brokerului functioneaza, dar puteti verifica urmatorii pasi:

1. Pe dispozitivul dvs. Android, completati o solicitare folosind brokerul.
2. In setarile de pe dispozitivul dvs. Android, cautati un cont nou creat corespunzator contului cu care v-ati autentificat. Contul trebuie sa fie de tipul Cont de lucru .

Puteti elimina contul din setari daca doriti sa repetati testul.

SSO prin browserul de sistem

Aplicatiile Android au optiunea de a utiliza WebView, browserul de sistem sau filele personalizate Chrome pentru autentificarea utilizatorului. Daca aplicatia nu utilizeaza autentificare intermediata, va trebui sa utilizeze browserul de sistem mai degraba decat webview-ul nativ pentru a realiza SSO.

Agenti de autorizare

Alegerea unei strategii specifice pentru agentii de autorizare este optionala si reprezinta functionalitati suplimentare pe care aplicatiile le pot personaliza. Majoritatea aplicatiilor vor utiliza valorile implicite MSAL (consultati Intelegerea fisierului de configurare Android MSAL pentru a vedea diferitele valori implicite).

MSAL accepta autorizarea utilizand un WebView sau browserul de sistem. Imaginea de mai jos arata cum arata folosind WebView sau browserul de sistem cu CustomTabs sau fara CustomTabs:

Implicatii de conectare unica

In mod implicit, aplicatiile integrate cu MSAL utilizeaza filele personalizate ale browserului de sistem pentru a autoriza. Spre deosebire de WebViews, filele personalizate partajeaza un borcan cookie cu browserul de sistem implicit, permitand mai putine conectari cu aplicatii web sau alte aplicatii native care s-au integrat cu filele personalizate.

Daca aplicatia foloseste o strategie WebView fara a integra suportul Microsoft Authenticator sau Portalul companiei in aplicatia lor, utilizatorii nu vor avea o singura experienta de conectare pe dispozitiv sau intre aplicatii native si aplicatii web.

Daca aplicatia foloseste MSAL cu un broker precum Microsoft Authenticator sau Intune Company Portal, atunci utilizatorii pot avea o experienta SSO intre aplicatii daca au o conectare activa cu una dintre aplicatii.

WebView

Pentru a utiliza aplicatia WebView in aplicatie, introduceti urmatoarea linie in configuratia aplicatiei JSON care este transmisa catre MSAL:

“permission_user_agent”: “WEBVIEW”

Cand foloseste aplicatia WebView in aplicatie, utilizatorul se conecteaza direct la aplicatie. Jetoanele sunt pastrate in sandbox-ul aplicatiei si nu sunt disponibile in afara borcanului cookie al aplicatiei. Prin urmare, utilizatorul nu poate avea o experienta SSO intre aplicatii decat daca aplicatiile se integreaza cu autentificatorul sau portalul companiei.

Cu toate acestea, WebView ofera capacitatea de a personaliza aspectul pentru interfata de conectare. Vedeti Android WebViews pentru mai multe despre cum puteti face aceasta personalizare.

Browser implicit plus file personalizate

In mod implicit, MSAL foloseste browserul si o strategie de file personalizate. Puteti indica in mod explicit aceasta strategie pentru a preveni modificarile in versiunile viitoare la DEFAULT utilizand urmatoarea configuratie JSON in fisierul de configurare personalizat:

“permission_user_agent”: “BROWSER”

Utilizati aceasta abordare pentru a oferi o experienta SSO prin browserul dispozitivului. MSAL utilizeaza un borcan de cookie-uri partajate, care permite altor aplicatii native sau aplicatii web sa realizeze SSO pe dispozitiv utilizand cookie-ul de sesiune persistent setat de MSAL.

Euristica de selectie a browserului

Deoarece este imposibil pentru MSAL sa specifice pachetul exact de browser pe care sa-l foloseasca pe fiecare gama larga de telefoane Android, MSAL implementeaza o euristica de selectie a browserului care incearca sa furnizeze cel mai bun SSO cross-device.

MSAL preia in principal browserul implicit din managerul de pachete si verifica daca acesta se afla intr-o lista testata de browsere sigure. In caz contrar, MSAL renunta la utilizarea Webview, mai degraba decat la lansarea unui alt browser non-implicit din lista sigura. Browserul implicit va fi ales indiferent daca accepta file personalizate. Daca browserul accepta file personalizate, MSAL va lansa fila personalizata. Filele personalizate au un aspect mai apropiat de o aplicatie WebView in aplicatie si permit personalizarea de baza a interfetei de utilizare. Consultati Filele personalizate in Android pentru a afla mai multe.

Daca nu exista pachete de browser pe dispozitiv, MSAL utilizeaza aplicatia WebView in aplicatie. Daca setarea implicita a dispozitivului nu este modificata, ar trebui sa fie lansat acelasi browser pentru fiecare conectare pentru a asigura o experienta SSO.

Browsere testate

Urmatoarele browsere au fost testate pentru a vedea daca redirectioneaza corect catre „redirect_uri” specificat in fisierul de configurare:

Dispozitiv Browser incorporat Chrome Opera Microsoft Edge UC Browser Firefox Nexus 4 (API 17) permis de trecere nu se aplica nu se aplica nu se aplica nu se aplica Samsung S7 (API 25) trece 1 trece trece trece trece Huawei (API 26) trece trece trece trece trece trece Vivo (API 26) trece trece trece trece Pixel 2 (API 26) trece trece trece trece trece Oppo trece nu se aplica 3 nu se aplica nu se aplica nu se aplica 28) trece trece trece trece trece trece MI trece trece trece trece trece trece

1 Browserul incorporat Samsung este Samsung Internet.

2 Browserul incorporat Huawei este Huawei Browser.

3 Browserul implicit nu poate fi schimbat in setarea dispozitivului Oppo.

Pasii urmatori

Modul de dispozitiv partajat pentru dispozitivele Android va permite sa configurati un dispozitiv Android, astfel incat sa poata fi partajat cu usurinta de mai multi angajati.