Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Warning
Tok ověřování pomocí přihlašovacích údajů vlastníka prostředku (ROPC) byl pro veřejné klientské aplikace označen jako zastaralý z důvodu bezpečnostních rizik. Microsoft doporučuje používat bezpečnější tok ověřování. Postupujte podle oficiálních pokynů k migraci z ROPC.
Níže uvedený obsah platí pro všechny knihovny MSAL, nejen knihovny MSAL Python.
Metoda ověřování pomocí uživatelského jména a hesla se nedoporučuje.
Společnost Microsoft doporučuje, abyste nepoužívali tok ověřování pomocí uživatelského jména a hesla. Ve většině scénářů jsou k dispozici a doporučeny bezpečnější alternativy. Tento tok vyžaduje velmi vysoký stupeň důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky nejsou přijatelné. Další informace o tom, proč se chcete vyhnout použití tohoto grantu, najdete v článku o tom, proč Microsoft pracuje na tom, aby hesla byla věcí minulosti.
Omezení
- Při návrhu a zásadách funguje ověřování pomocí uživatelského jména a hesla jenom pro pracovní a školní účty, ale ne pro účty Microsoft (MSA). Tady najdete definici těchto 2 typů účtů.
- Ověřování pomocí uživatelského jména a hesla není kompatibilní s podmíněným přístupem a vícefaktorovým ověřováním, protože se nejedná o interaktivní tok, Microsoft identity platform nemá možnost prezentovat webové dialogové okno pro interakci koncového uživatele. V důsledku toho platí, že pokud vaše aplikace běží v tenantovi Microsoft Entra, kde správce tenanta vyžaduje vícefaktorové ověřování (mnoho organizací to dělá), tento tok nebude fungovat.
- Protože ověřování heslem uživatelského jména je neinteraktivní tok:
- uživatel vaší aplikace musel dříve souhlasit s používáním aplikace.
- nebo správce klienta musel již dříve udělit souhlas s používáním aplikace všem uživatelům v klientovi.
- To znamená, že:
- Buď jste jako vývojář pro sebe stiskli tlačítko Grant na portálu Azure,
- nebo správce tenanta stiskl tlačítko Udělit nebo odvolat souhlas správce pro {tenant domain} na kartě Oprávnění rozhraní API registrace aplikace (viz Přidání oprávnění pro přístup k webovým rozhraním API).
- nebo jste uživatelům poskytli způsob, jak udělit souhlas s aplikací (viz Žádost o souhlas jednotlivého uživatele)
- nebo jste správci tenanta poskytli způsob, jak udělit souhlas s aplikací (viz souhlas správce).
Recommendations
I když se rozhodnete použít ověřování pomocí uživatelského jména, neměli byste zachovat heslo koncového uživatele. Po úspěšném ověření hesla počátečního uživatelského jména se mezipaměť tokenů MSAL spustí a automaticky se do mezipaměti zapamní obnovovací token (RT). Odteď může vaše aplikace jednoduše volat MSAL acquire_token_silent() , aby získala nový přístupový token bez uživatelského jména a hesla.
Setup
Microsoft identity platform podporuje tok hesel uživatelského jména ve veřejné klientské aplikaci a důvěrné klientské aplikaci. Pokud potřebujete aplikaci nakonfigurovat jako veřejnou klientskou aplikaci, zapněte přepínač na následujícím snímku obrazovky a povolte ji.