Authentification native dans ID externe Microsoft Entra
S’applique à :
Locataires de main-d’œuvre 
Locataires externes (en savoir plus)
L’authentification native de Microsoft Entra vous permet d’avoir un contrôle total sur la conception des expériences de connexion de votre application mobile et de bureau. Contrairement aux solutions basées sur un navigateur, l’authentification native vous permet de créer des écrans d’authentification visuellement attrayants et parfaits en pixels qui se fondent en toute transparence dans l’interface de votre application. Avec cette approche, vous pouvez entièrement personnaliser l’interface utilisateur, notamment les éléments de conception, le positionnement du logo et la disposition, ce qui garantit une apparence cohérente et personnalisée.
Le processus standard de connexion à l’application, qui s’appuie sur l’authentification déléguée par navigateur, entraîne souvent une transition perturbatrice pendant l’authentification. Les utilisateurs sont redirigés temporairement vers un navigateur système pour l’authentification uniquement afin de rediriger ensuite vers l’application lorsque la connexion est terminée.
Bien que l’authentification déléguée par navigateur offre des avantages tels que des vecteurs d’attaque réduits et la prise en charge de l’authentification unique (SSO), cela propose des options de personnalisation d’interface utilisateur limitées et une expérience utilisateur médiocre.
Méthodes d'authentification disponibles
Actuellement, l’authentification native prend en charge le fournisseur d’identité de compte local pour deux méthodes d’authentification :
- E-mail avec connexion par code secret à usage unique (OTP).
- Connexion par e-mail et mot de passe avec prise en charge de la réinitialisation de mot de passe en libre-service (SSPR).
L’authentification native ne prend pas encore en charge les fournisseurs d’identité fédérés, tels que les identités sociales ou d’entreprise.
Quand utiliser l’authentification native mobile
Quand il s’agit d’implémenter l’authentification pour les applications mobiles et de bureau sur l’ID externe, vous avez deux options :
- Authentification déléguée par navigateur hébergée par Microsoft.
- Authentification native basée sur le KIT de développement logiciel (SDK) entièrement personnalisée.
L’approche que vous choisissez dépend des exigences spécifiques de votre application. Bien que chaque application ait des besoins d’authentification uniques, il y a certaines considérations courantes à prendre en compte. Que vous choisissiez l’authentification native ou l’authentification déléguée par navigateur, l’ID externe Microsoft Entra prend en charge les deux.
Le tableau suivant compare les deux méthodes d’authentification pour vous aider à choisir l’option appropriée pour votre application.
| Authentification déléguée par navigateur | Authentification native | |
|---|---|---|
| Expérience d’authentification utilisateur | Les utilisateurs sont dirigés vers un navigateur système ou un navigateur incorporé pour l’authentification uniquement pour être ensuite redirigés vers l’application lorsque la connexion est terminée. Cette méthode est recommandé si la redirection n’a pas d’impact négatif sur l’expérience de l’utilisateur final. | Les utilisateurs bénéficient d’un parcours d’inscription et de connexion riche et natif sans jamais quitter l’application. |
| Expérience de personnalisation | Les options de personnalisation et de personnalisation gérées sont disponibles, en tant que fonctionnalité prête à l’emploi. | Cette approche centrée sur l’API offre un niveau élevé de personnalisation, offrant une grande flexibilité dans la conception et la possibilité de créer des interactions et des flux personnalisés. |
| Applicabilité | Adaptée à la main-d’œuvre, à B2B et aux applications B2C, elle peut être utilisée pour les applications natives, les applications monopage et les applications web. | Pour les applications internes des clients, lorsque la même entité gère le serveur d’autorisation et l’application et que l’utilisateur les perçoit comme une seule et même entité. |
| Effort de mise en service | Faible. Utilisation prête à l’emploi. | Élevé. Le développeur génère, possède et gère l’expérience d’authentification. |
| Effort de maintenance | Faible. | Élevé. Pour chaque fonctionnalité que Microsoft publie, vous devez mettre à jour le Kit de développement logiciel (SDK) pour l’utiliser. |
| Sécurité | Option la plus sécurisée. | La responsabilité de sécurité est partagée avec les développeurs et les bonnes pratiques doivent être suivies. Elle est sujette aux attaques par hameçonnage. |
| Langages et infrastructures pris en charge |
|
|
Disponibilité des fonctionnalités
Le tableau suivant montre la disponibilité des fonctionnalités pour l’authentification déléguée par le navigateur et native.
| Authentification déléguée par navigateur | Authentification native | |
|---|---|---|
| Inscription et connexion avec un code secret à usage unique (OTP) par e-mail | ✔️ | ✔️ |
| Inscription et connexion avec un e-mail et un mot de passe | ✔️ | ✔️ |
| Réinitialisation de mot de passe en libre-service (SSPR) | ✔️ | ✔️ |
| Fournisseur de revendications personnalisé | ✔️ | ✔️ |
| Connexion par le fournisseur d'identité social | ✔️ | ❌ |
| Authentification multifacteur avec un code secret à usage unique (OTP) par e-mail | ✔️ | ❌ |
| Authentification multifacteur avec SMS | ✔️ | ❌ |
| Authentification unique (SSO) | ✔️ | ❌ |
Comment activer l’authentification native
Tout d’abord, passez en revue les instructions ci-dessus sur le moment où utiliser l’authentification native. Ensuite, discutez en interne avec le propriétaire, le concepteur et l’équipe de développement de votre application pour déterminer si l’authentification native est nécessaire.
Si votre équipe a déterminé que l’authentification native est nécessaire pour votre application, procédez comme suit pour activer l’authentification native dans le centre d’administration Microsoft Entra :
- Connectez-vous au Centre d’administration Microsoft Entra.
- Accédez à Applications>Inscriptions d’applications et sélectionnez votre application.
- Accédez à Authentification et sélectionnez l’onglet Paramètres.
- Sélectionnez Autoriser l’authentification native et le champ Autoriser le flux client public.
Une fois que vous avez activé Autoriser l’authentification native et Autoriser le flux client public, mettez à jour votre code de configuration en conséquence.
Mettre à jour votre code de configuration
Après avoir activé les API d’authentification native dans le centre d’administration, vous devez toujours mettre à jour le code de configuration de votre application pour prendre en charge les flux d’authentification native pour Android ou iOS/macOS. Pour ce faire, vous devez ajouter le champ de type de demande à votre configuration. Les types de demandes sont une liste de valeurs que l’application utilise pour notifier à Microsoft Entra la méthode d’authentification qu’elle prend en charge. Vous trouverez plus d’informations sur les types de demandes d’authentification native ici. Si la configuration n’est pas mise à jour pour intégrer des composants d’authentification native, les Kits de développement logiciel (SDK) et API d’authentification native ne pourront pas être utilisés.
Risque d’activation de l’authentification native
L’authentification native de Microsoft Entra ne prend pas en charge l’authentification unique (SSO) et la responsabilité de garantir la sécurité de l’application incombe à votre équipe de développement.
Comment utiliser l’authentification native
Vous pouvez créer des applications qui utilisent l’authentification native avec nos API d’authentification native ou avec le Kit de développement logiciel (SDK) de la bibliothèque d’authentification Microsoft (MSAL) pour Android et iOS/macOS. Dans la mesure du possible, nous vous recommandons d’utiliser la bibliothèque MSAL pour ajouter l’authentification native à vos applications.
Pour plus d’informations concernant les exemples et didacticiels sur l’authentification native, consultez le tableau suivant.
| Langage/ Plateforme |
Guide d’exemples de code | Guide de création et d’intégration |
|---|---|---|
| Android (Kotlin) | • Connecter des utilisateurs | • Connecter des utilisateurs |
| iOS (Swift) | • Connecter des utilisateurs | • Connecter des utilisateurs |
| macOS (Swift) | • Connecter des utilisateurs | • Connecter des utilisateurs |
Si vous envisagez de créer une application sur une infrastructure qui n’est pas prise en charge par MSAL pour le moment, vous pouvez utiliser notre API d’authentification. Pour plus d’informations, suivez cet article de référence sur l’API.