Dela via


Autentiseringsflöden som stöds i MSAL

Microsoft Authentication Library (MSAL) stöder flera auktoriseringsbidrag och associerade tokenflöden för användning av olika programtyper och scenarier.

Autentiseringsflöde Gör Programtyper som stöds
Auktoriseringskod Användaren loggar in och får åtkomst till webb-API:er för användarens räkning. * Skrivbordet
* Mobil
* Ensidesapp (SPA) (kräver PKCE)
* Webb
Klientautentiseringsuppgifter Åtkomst till webb-API:er med hjälp av själva programmets identitet. Används vanligtvis för server-till-server-kommunikation och automatiserade skript som inte kräver någon användarinteraktion. Daemon
Enhetskod Användarinloggning och åtkomst till webb-API:er för användarens räkning på indatabegränsade enheter, till exempel smarta TV-apparater och IoT-enheter (Internet of Things). Används också av CLI-program (Command Line Interface). Desktop, Mobile
Implicit beviljande Användarens inloggning och åtkomst till webb-API:er för användarens räkning. Det implicita beviljandeflödet rekommenderas inte längre – använd auktoriseringskod med proof key for Code Exchange (PKCE) i stället. * Ensidesapp (SPA)
* Webb
Å OBO:s vägnar Åtkomst från ett "överordnat" webb-API till ett "nedströms"-webb-API för användarens räkning. Användarens identitet och delegerade behörigheter skickas vidare till det underordnade API:et från det överordnade API:et. Webb-API
Användarnamn/lösenord (ROPC) Tillåter att ett program loggar in användaren genom att direkt hantera deras lösenord. ROPC-flödet rekommenderas INTE. Desktop, Mobile
Integrerad Windows-autentisering (IWA) Tillåter att program på domän- eller Microsoft Entra-ID-anslutna datorer hämtar en token tyst (utan interaktion med användargränssnittet från användaren). Desktop, Mobile

Token

Ditt program kan använda ett eller flera autentiseringsflöden. Varje flöde använder vissa tokentyper för autentisering, auktorisering och tokenuppdatering, och vissa använder även en auktoriseringskod.

Autentiseringsflöde eller åtgärd Kräver ID-token Åtkomsttoken Uppdateringstoken Auktoriseringskod
Auktoriseringskodflöde
Klientautentiseringsuppgifter ✅ (endast app)
Enhetskodflöde
Implicit flöde
On-Behalf-Of-flöde Åtkomsttoken
Användarnamn/lösenord (ROPC) Användarnamn, lösenord
Hybrid-OIDC-flöde
Inlösen av uppdateringstoken Uppdateringstoken

Interaktiv och icke-interaktiv autentisering

Flera av dessa flöden stöder både interaktivt och icke-interaktivt tokenförvärv.

  • Interaktiv – Användaren kan uppmanas att ange indata från auktoriseringsservern. Om du till exempel vill logga in, utföra multifaktorautentisering (MFA) eller ge medgivande till fler behörigheter för resursåtkomst.
  • Icke-interaktiv – Användaren kanske inte uppmanas att ange indata. Programmet kallas även för tyst tokenförvärv och försöker hämta en token med hjälp av en metod där auktoriseringsservern kanske inte uppmanar användaren att ange indata.

Ditt MSAL-baserade program bör först försöka hämta en token tyst och återgå till den interaktiva metoden endast om det icke-interaktiva försöket misslyckas. Mer information om det här mönstret finns i Hämta och cachelagrar token med hjälp av Microsoft Authentication Library (MSAL).

Auktoriseringskod

OAuth 2.0-auktoriseringskoden kan användas av webbappar, ensidesappar (SPA) och inbyggda program (mobil och skrivbord) för att få åtkomst till skyddade resurser som webb-API:er.

När användare loggar in på webbprogram får programmet en auktoriseringskod som det kan lösa in för en åtkomsttoken för att anropa webb-API:er.

Diagram över auktoriseringskodflöde

I föregående diagram, programmet:

  1. Begär en auktoriseringskod som löstes in för en åtkomsttoken.
  2. Använder åtkomsttoken för att anropa ett webb-API, till exempel Microsoft Graph.

Begränsningar för auktoriseringskod

  • Ensidesprogram kräver proof key for Code Exchange (PKCE) när du använder auktoriseringskodens beviljandeflöde. PKCE stöds av MSAL.

  • OAuth 2.0-specifikationen kräver att du använder en auktoriseringskod för att endast lösa in en åtkomsttoken en gång.

    Om du försöker hämta en åtkomsttoken flera gånger med samma auktoriseringskod returneras ett fel som liknar följande av Microsofts identitetsplattform. Tänk på att vissa bibliotek och ramverk begär auktoriseringskoden automatiskt, och att begära en kod manuellt i sådana fall leder också till det här felet.

    AADSTS70002: Error validating credentials. AADSTS54005: OAuth2 Authorization code was already redeemed, please retry with a new valid code or use an existing refresh token.

Klientautentiseringsuppgifter

Med OAuth 2-klientens autentiseringsuppgifter kan du komma åt webbaserade resurser med hjälp av identiteten för ett program. Den här typen av beviljande används ofta för S2S-interaktioner (server-till-server) som måste köras i bakgrunden, utan omedelbar interaktion från en användare. Dessa typer av program kallas ofta för daemoner eller tjänster.

Med beviljandeflödet för klientautentiseringsuppgifter kan en webbtjänst (en konfidentiell klient) använda sina egna autentiseringsuppgifter, i stället för att personifiera en användare, för att autentisera när en annan webbtjänst anropas. I det här scenariot är klienten vanligtvis en webbtjänst på mellannivå, en daemontjänst eller en webbplats. För en högre säkerhetsnivå tillåter Microsofts identitetsplattform även att den anropande tjänsten använder ett certifikat (i stället för en delad hemlighet) som autentiseringsuppgifter.

Programhemligheter

Diagram över konfidentiell klient med lösenord

I föregående diagram, programmet:

  1. Hämtar en token med hjälp av en programhemlighet eller autentiseringsuppgifter för lösenord.
  2. Använder token för att göra resursbegäranden.

Certifikat

Diagram över konfidentiell klient med certifikat

I föregående diagram, programmet:

  1. Hämtar en token med hjälp av certifikatautentiseringsuppgifter.
  2. Använder token för att göra resursbegäranden.

Den här typen av klientautentiseringsuppgifter måste vara:

  • Registrerad med Azure AD.
  • Skickades in när du skapade det konfidentiella klientprogramobjektet i koden.

Begränsningar för klientautentiseringsuppgifter

Det konfidentiella klientflödet stöds inte på mobila plattformar som Android, iOS eller Universell Windows-plattform (UWP). Mobila program anses vara offentliga klientprogram som inte kan garantera konfidentialiteten för autentiseringshemligheter.

Enhetskod

Med OAuth 2-enhetskodflödet kan användare logga in på indatabegränsade enheter som smarta TV-apparater, IoT-enheter (Internet of Things) och skrivare. Interaktiv autentisering med Microsoft Entra-ID kräver en webbläsare. Om enheten eller operativsystemet inte tillhandahåller någon webbläsare kan enhetskodflödet använda en annan enhet, till exempel en dator eller mobiltelefon, för att logga in interaktivt.

Genom att använda enhetskodflödet hämtar programmet token via en tvåstegsprocess som är utformad för dessa enheter och operativsystem.

Diagram över enhetskodflöde

I diagrammet ovan händer följande:

  1. När användarautentisering krävs tillhandahåller appen en kod och ber användaren att använda en annan enhet som en internetansluten smartphone för att besöka en URL (till exempel https://microsoft.com/devicelogin). Användaren uppmanas sedan att ange koden och fortsätter genom en normal autentiseringsupplevelse, inklusive medgivandefrågor och multifaktorautentisering, om det behövs.
  2. Vid lyckad autentisering tar det begärande programmet emot nödvändiga token från Microsofts identitetsplattform och använder dem för att utföra de webb-API-anrop som krävs.

Begränsningar för enhetskod

  • Enhetskodflödet är endast tillgängligt för offentliga klientprogram.
  • När du initierar ett offentligt klientprogram i MSAL använder du något av följande utfärdarformat:
    • Klientbaserad: https://login.microsoftonline.com/{tenant}/, där {tenant} är antingen DET GUID som representerar klientorganisations-ID:t eller ett domännamn som är associerat med klientorganisationen.
    • Arbets- och skolkonton: https://login.microsoftonline.com/organizations/.

Implicit beviljande

Det implicita beviljandet har ersatts av auktoriseringskodflödet med PKCE som önskat och säkrare flöde för tokenbeviljande för enkelsidiga program på klientsidan (SPA). Om du skapar ett SPA använder du auktoriseringskodflödet med PKCE i stället.

Ensideswebbappar som skrivits i JavaScript (inklusive ramverk som Angular, Vue.js eller React.js) laddas ned från servern och koden körs direkt i webbläsaren. Eftersom deras kod på klientsidan körs i webbläsaren och inte på en webbserver, har de andra säkerhetsegenskaper än traditionella webbprogram på serversidan. Innan tillgängligheten för Proof Key for Code Exchange (PKCE) för auktoriseringskodflödet användes det implicita beviljandeflödet av SPA:er för bättre svarstider och effektivitet vid hämtar åtkomsttoken.

Med implicit beviljandeflöde för OAuth 2 kan appen hämta åtkomsttoken från Microsofts identitetsplattform utan att utföra ett utbyte av serverautentiseringsuppgifter på serversidan. Det implicita beviljandeflödet gör att en app kan logga in användaren, underhålla en session och hämta token för andra webb-API:er inifrån JavaScript-koden som laddas ned och körs av användaragenten (vanligtvis en webbläsare).

Diagram över implicit beviljandeflöde

Begränsningar för implicit beviljande

Det implicita beviljandeflödet inkluderar inte programscenarier som använder plattformsoberoende JavaScript-ramverk som Electron eller React Native. Plattformsoberoende ramverk som dessa kräver ytterligare funktioner för interaktion med de interna skrivbords- och mobilplattformar som de körs på.

Token som utfärdas via implicit flödesläge har en längdbegränsning eftersom de returneras till webbläsaren i URL:en (där response_mode är antingen query eller fragment). Vissa webbläsare begränsar längden på URL:en i webbläsarfältet och misslyckas när den är för lång. Därför innehåller groups inte dessa implicita flödestoken eller wids anspråk.

Å OBO:s vägnar

Flödesflödet OAuth 2 för autentisering används när ett program anropar en tjänst eller ett webb-API som i sin tur behöver anropa en annan tjänst eller ett annat webb-API med hjälp av en delegerad användaridentitet och behörigheter som måste spridas via begärandekedjan. För att mellannivåtjänsten ska kunna göra autentiserade begäranden till den underordnade tjänsten måste den skydda en åtkomsttoken från Microsofts identitetsplattform för den begärande användarens räkning.

Diagram över flödets räkning

I diagrammet ovan händer följande:

  1. Programmet hämtar en åtkomsttoken för webb-API:et.
  2. En klient (webb-, skrivbords-, mobil- eller ensidesprogram) anropar ett skyddat webb-API och lägger till åtkomsttoken som en ägartoken i autentiseringshuvudet för HTTP-begäran. Webb-API:et autentiserar användaren.
  3. När klienten anropar webb-API:et begär webb-API:et en annan token åt användaren.
  4. Det skyddade webb-API:et använder den här token för att anropa ett underordnat webb-API för användarens räkning. Webb-API:et kan också senare begära token för andra underordnade API:er (men fortfarande för samma användares räkning).

Användarnamn/lösenord (ROPC)

Varning

Flödet för autentiseringsuppgifter för resursägarens lösenord (ROPC) rekommenderas inte längre. ROPC kräver en hög grad av förtroende och exponering av autentiseringsuppgifter. Använd endast ROPC om ett säkrare flöde inte kan användas. Mer information finns i Vad är lösningen på det växande problemet med lösenord?.

Med OAuth 2-resursägarens lösenordsuppgifter (ROPC) kan ett program logga in användaren genom att direkt hantera sitt lösenord. I ditt skrivbordsprogram kan du använda flödet användarnamn/lösenord för att hämta en token tyst. Inget användargränssnitt krävs när du använder programmet.

Vissa programscenarier, till exempel DevOps, kan vara användbara för ROPC, men du bör undvika det i alla program där du tillhandahåller ett interaktivt användargränssnitt för användarinloggning.

Diagram över användarnamn/lösenordsflödet

I föregående diagram, programmet:

  1. Hämtar en token genom att skicka användarnamnet och lösenordet till identitetsprovidern.
  2. Anropar ett webb-API med hjälp av token.

Om du vill hämta en token tyst på Windows domänanslutna datorer rekommenderar vi att du använder Web Account Manager (WAM) i stället för ROPC. I andra scenarier använder du enhetskodflödet.

Begränsningar för ROPC

Följande begränsningar gäller för program som använder ROPC-flödet:

  • Enkel inloggning stöds inte.
  • Multifaktorautentisering (MFA) stöds inte.
    • Kontakta klientadministratören innan du använder det här flödet – MFA är en vanlig funktion.
  • Villkorlig åtkomst stöds inte.
  • ROPC fungerar endast för arbets- och skolkonton.
  • Personliga Microsoft-konton (MSA) stöds inte av ROPC.
  • ROPC stöds i .NET Desktop- och .NET-program.
  • ROPC stöds inte i Universell Windows-plattform-program (UWP).
  • ROPC i Microsoft Entra Externt ID stöds endast för lokala konton.

Integrerad Windows-autentisering (IWA)

Kommentar

Integrerad Windows-autentisering har ersatts med ett mer tillförlitligt sätt att få token tyst – WAM. WAM kan logga in den aktuella Windows-användaren tyst. Det här arbetsflödet kräver inte någon komplex konfiguration och fungerar även för personliga konton (Microsoft). Internt kommer Windows Broker (WAM) att prova flera strategier för att hämta en token för den aktuella Windows-användaren, inklusive IWA och lösa in PRT. Detta eliminerar de flesta begränsningarna med IWA.

MSAL stöder integrerad Windows-autentisering (IWA) för skrivbords- och mobilprogram som körs på domänanslutna eller Microsoft Entra ID-anslutna Windows-datorer. Genom att använda IWA hämtar dessa program en token tyst utan att användaren behöver använda användargränssnittet.

Diagram över integrerad Windows-autentisering

I föregående diagram, programmet:

  1. Hämtar en token med hjälp av integrerad Windows-autentisering.
  2. Använder token för att göra resursbegäranden.

Begränsningar för IWA

  • Kompatibilitet. Integrerad Windows-autentisering (IWA) är aktiverad för .NET Desktop-, .NET- och Universell Windows-plattform-appar (UWP). IWA stöder endast ADFS-federerade användare – användare som skapats i Active Directory och som backas upp av Microsoft Entra ID. Användare som skapats direkt i Microsoft Entra-ID utan Active Directory-stöd (hanterade användare) kan inte använda det här autentiseringsflödet.
  • Multifaktorautentisering (MFA). Icke-interaktiv IWA-autentisering (tyst) kan misslyckas om MFA är aktiverat i Microsoft Entra ID-klientorganisationen och en MFA-utmaning utfärdas av Microsoft Entra ID. Om IWA misslyckas bör du återgå till en interaktiv autentiseringsmetod enligt beskrivningen tidigare. Microsoft Entra-ID använder AI för att avgöra när tvåfaktorautentisering krävs. Tvåfaktorautentisering krävs vanligtvis när en användare loggar in från ett annat land/en annan region, när den är ansluten till ett företagsnätverk utan att använda ett VPN, och ibland när de är anslutna via ett VPN. Eftersom MFA:s konfigurations- och utmaningsfrekvens kan ligga utanför din kontroll som utvecklare bör ditt program hantera ett fel i anskaffningen av tyst IWA-token.
  • URI-begränsningar för utfärdare. Den utfärdare som skickades in när det offentliga klientprogrammet skapades måste vara något av:
    • https://login.microsoftonline.com/{tenant}/ – Den här utfärdaren anger ett program med en klientorganisation vars inloggningspublik är begränsad till användarna i den angivna Microsoft Entra-ID-klientorganisationen. Värdet {tenant} kan vara klientorganisations-ID i GUID-formulär eller det domännamn som är associerat med klientorganisationen.
    • https://login.microsoftonline.com/organizations/ – Den här utfärdaren anger ett program med flera klientorganisationer vars inloggningspublik är användare i alla Microsoft Entra-ID-klientorganisationer.
  • Personliga konton. Utfärdarvärden får inte innehålla /common eller /consumers eftersom personliga Microsoft-konton (MSA) inte stöds av IWA.
  • Krav för medgivande. Eftersom IWA är ett tyst flöde måste användaren av ditt program tidigare ha samtyckt till att använda programmet eller så måste klientadministratören tidigare ha samtyckt till att alla användare i klientorganisationen använder programmet. För att uppfylla något av kraven måste en av dessa åtgärder ha slutförts:

Nästa steg

Nu när du har granskat de autentiseringsflöden som stöds av MSAL kan du lära dig mer om att hämta och cachelagra de token som används i dessa flöden.