Native Authentifizierung in der externen Microsoft Entra-ID
Gilt für: Mitarbeitermandanten Externe Mandanten (weitere Informationen)
Mit der nativen Authentifizierung von Microsoft Entra haben Sie die volle Kontrolle über die Gestaltung Ihrer Anmeldevorgänge für mobile und Desktop-Anwendungen. Im Gegensatz zu browserbasierten Lösungen können Sie mit der nativen Authentifizierung visuell ansprechende, pixelgenaue Authentifizierungsbildschirme erstellen, die sich nahtlos in die App-Benutzeroberfläche einfügen. Mit diesem Ansatz können Sie die Benutzeroberfläche u. a. mit Designelementen, Logoplatzierung und Layout vollständig anpassen, um ein einheitliches Branding sicherzustellen.
Der standardmäßige Anmeldevorgang für Apps, der auf einer vom Browser delegierten Authentifizierung beruht, führt häufig zu einem unterbrechenden Übergang während der Authentifizierung. Benutzer werden zur Authentifizierung zunächst vorübergehend zu einem Systembrowser weitergeleitet und dann nach Abschluss des Anmeldeprozesses zurück zur App geleitet.
Die browserdelegierte Authentifizierung hat zwar gewisse Vorteile, etwa reduzierte Angriffsvektoren und Unterstützung für einmaliges Anmelden (Single Sign-On, SSO), bietet aber nur eingeschränkte Optionen zur Anpassung der Benutzeroberfläche und eine geringe Benutzerfreundlichkeit.
Verfügbare Authentifizierungsmethoden
Derzeit unterstützt die native Authentifizierung den lokalen Kontoidentitätsanbieter für zwei Authentifizierungsmethoden:
- Anmeldung mit per Email gesendetem Einmal-Passcode (OTP)
- Anmeldung mit E-Mail- und Kennwort mit Unterstützung für die Self-Service-Kennwortzurücksetzung (SSPR)
Die native Authentifizierung unterstützt noch keine Verbundidentitätsanbieter wie Social-Media- oder Unternehmensidentitäten.
Anwendungsszenarien für die native Authentifizierung
Wenn es um die Implementierung der Authentifizierung für mobile und Desktop-Apps auf External ID geht, haben Sie zwei Möglichkeiten:
- Von Microsoft gehostete browserdelegierte Authentifizierung.
- Vollständig benutzerdefinierte, SDK-basierte native Authentifizierung.
Der gewählte Ansatz hängt von den spezifischen Anforderungen Ihrer App ab. Obwohl jede App über eigene Authentifizierungsanforderungen verfügt, gibt es einige allgemeine Überlegungen, die Sie berücksichtigen sollten. Es ist egal, ob Sie die native oder browserdelegierte Authentifizierung auswählen, Microsoft Entra External ID unterstützt beide.
In der folgenden Tabelle werden die beiden Authentifizierungsmethoden verglichen, um eine Entscheidungshilfe für die richtige Option für Ihre App zu bieten.
Browserdelegierte Authentifizierung | Native Authentifizierung | |
---|---|---|
Authentifizierungsvorgang für Benutzer | Benutzer werden für die Authentifizierung zunächst zu einem Systembrowser oder eingebetteten Browser weitergeleitet und dann nach Abschluss des Anmeldeprozesses zurück zur App geleitet. Diese Methode wird empfohlen, wenn sich die Umleitung nicht negativ auf die Endbenutzererfahrung auswirkt. | Die Benutzenden haben die Möglichkeit, sich anzumelden und einzuloggen, ohne die App zu verlassen. |
Anpassung | Verwaltete Branding- und Anpassungsoptionen sind als sofort einsatzbereite Funktion verfügbar. | Dieser API-zentrierte Ansatz bietet ein hohes Maß an Anpassung, umfassende Flexibilität beim Entwurf und die Möglichkeit, maßgeschneiderte Interaktionen und Abläufe zu erstellen. |
Anwendbarkeit | Er ist geeignet für Mitarbeiter-, B2B- und B2C-Apps und kann für native Apps, Single-Page-Webanwendung und Web-Apps verwendet werden. | Bei Erstanbieter-Apps von Kundschaft, wenn ein und dieselbe Entität den Autorisierungssserver und die App betreibt und Benutzende beide als ein und dieselbe Entität wahrnehmen. |
Aufwand für Liveschaltung | Niedrig. Kann direkt verwendet werden. | Hoch. Der Entwickler erstellt, besitzt und verwaltet die Authentifizierung. |
Wartungsaufwand | Niedrig. | Hoch. Für jedes Feature, das Microsoft veröffentlicht, müssen Sie das SDK aktualisieren, um es zu verwenden. |
Security | Die sicherste Option. | Die Sicherheitsverantwortung wird mit Entwicklern geteilt, und bewährte Methoden müssen befolgt werden. Anfällig für Phishingangriffe. |
Unterstützte Sprachen und Frameworks |
|
|
Verfügbarkeit von Funktionen
Die folgende Tabelle zeigt die Verfügbarkeit von Features für die native und browserdelegierte Authentifizierung.
Browserdelegierte Authentifizierung | Native Authentifizierung | |
---|---|---|
Registrieren und Anmelden per E-Mail und Einmal-Passcode (OTP) | ✔️ | ✔️ |
Registrierung und Anmeldung mit E-Mail und Kennwort | ✔️ | ✔️ |
Self-Service-Kennwortzurücksetzung (SSPR) | ✔️ | ✔️ |
Anbieter von benutzerdefinierten Ansprüchen | ✔️ | ✔️ |
Anmeldung mit sozialem Netzwerk als Identitätsanbieter | ✔️ | ❌ |
Multi-Faktor-Authentifizierung mit Einmal-Passcode (OTP) per E-Mail | ✔️ | ❌ |
Multi-Faktor-Authentifizierung mit SMS | ✔️ | ❌ |
Einmaliges Anmelden (Single Sign-On, SSO) | ✔️ | ❌ |
So aktivieren Sie die native Authentifizierung
Sehen Sie sich zunächst die obigen Richtlinien an, wann die native Authentifizierung verwendet werden sollte. Führen Sie dann eine interne Diskussion mit der unternehmensbesitzenden Person, dem Designer- und Entwicklungsteam Ihrer Anwendung, um festzustellen, ob eine native Authentifizierung erforderlich ist.
Wenn Ihr Team festgestellt hat, dass für Ihre Anwendung eine native Authentifizierung erforderlich ist, befolgen Sie diese Schritte, um die native Authentifizierung im Microsoft Entra Admin Center zu aktivieren:
- Melden Sie sich beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Anwendungen>App-Registrierungen und wählen Sie Ihre App aus.
- Navigieren Sie zu Authentifizierung und wählen Sie die Registerkarte Einstellungen.
- Markieren Sie das Feld Native Authentifizierung zulassen und das Feld Öffentlichen Clientflow zulassen.
Sobald Sie sowohl Native Authentifizierung zulassen als auch Öffentliche Clientflows zulassen aktiviert haben, aktualisieren Sie Ihren Konfigurationscode entsprechend.
Aktualisieren Ihres Konfigurationscodes
Nachdem Sie die nativen Authentifizierungs-APIs im Admin Center aktiviert haben, müssen Sie noch den Konfigurationscode Ihrer Anwendung aktualisieren, um native Authentifizierungsflows für Android oder iOS/macOS zu unterstützen. Dazu müssen Sie das Feld „Aufforderungstyp“ zu Ihrer Konfiguration hinzufügen. Aufforderungstypen sind eine Liste von Werten, die die App verwendet, um Microsoft Entra über die unterstützte Authentifizierungsmethode zu informieren. Weitere Informationen zu nativen Authentifizierungsabfragetypen finden Sie hier. Wenn die Konfiguration nicht aktualisiert wird, um native Authentifizierungskomponenten zu integrieren, können die nativen Authentifizierungs-SDKs und -APIs nicht verwendet werden.
Risiko der Aktivierung der nativen Authentifizierung
Die native Authentifizierung von Microsoft Entra unterstützt kein Single Sign-on (SSO), und die Verantwortung für die Gewährleistung der Sicherheit der App liegt bei Ihrem Entwicklungsteam.
Verwenden der nativen Authentifizierung
Sie können Apps, welche die native Authentifizierung nutzen, mithilfe unserer nativen Authentifizierungs-APIs oder des MSAL (Microsoft Authentication Library, Microsoft-Authentifizierungsbibliothek)-SDKs für Android und iOS/macOS erstellen. Wir empfehlen, möglichst MSAL zum Hinzufügen der nativen Authentifizierung zu Ihren Apps zu verwenden.
Weitere Informationen zu Beispielen für die native Authentifizierung und Tutorials finden Sie in der folgenden Tabelle:
Sprache/ Plattform |
Codebeispiel-Anleitung | Anleitung zum Erstellen und Integrieren |
---|---|---|
Android (Kotlin) | • Anmelden von Benutzern | • Anmelden von Benutzern |
iOS (Swift) | • Anmelden von Benutzern | • Anmelden von Benutzern |
macOS (Swift) | • Anmelden von Benutzern | • Anmelden von Benutzern |
Wenn Sie planen, eine mobile App in einem Framework zu erstellen, das derzeit von MSAL nicht unterstützt wird, können Sie unsere Authentifizierungs-API verwenden. Weitere Informationen finden Sie in diesem API-Referenzartikel.