Ověření uživatelským jménem a heslem

Warning

Tok ověřování pomocí přihlašovacích údajů vlastníka prostředku (ROPC) byl pro veřejné klientské aplikace označen jako zastaralý z důvodu bezpečnostních rizik. Microsoft doporučuje používat bezpečnější tok ověřování. Postupujte podle oficiálních pokynů k migraci z ROPC.

Níže uvedený obsah platí pro všechny knihovny MSAL, nejen knihovny MSAL Python.

Společnost Microsoft doporučuje, abyste nepoužívali tok ověřování pomocí uživatelského jména a hesla. Ve většině scénářů jsou k dispozici a doporučeny bezpečnější alternativy. Tento tok vyžaduje velmi vysoký stupeň důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky nejsou přijatelné. Další informace o tom, proč se chcete vyhnout použití tohoto grantu, najdete v článku o tom, proč Microsoft pracuje na tom, aby hesla byla věcí minulosti.

Omezení

  • Při návrhu a zásadách funguje ověřování pomocí uživatelského jména a hesla jenom pro pracovní a školní účty, ale ne pro účty Microsoft (MSA). Tady najdete definici těchto 2 typů účtů.
  • Ověřování pomocí uživatelského jména a hesla není kompatibilní s podmíněným přístupem a vícefaktorovým ověřováním, protože se nejedná o interaktivní tok, Microsoft identity platform nemá možnost prezentovat webové dialogové okno pro interakci koncového uživatele. V důsledku toho platí, že pokud vaše aplikace běží v tenantovi Microsoft Entra, kde správce tenanta vyžaduje vícefaktorové ověřování (mnoho organizací to dělá), tento tok nebude fungovat.
  • Protože ověřování heslem uživatelského jména je neinteraktivní tok:
    • uživatel vaší aplikace musel dříve souhlasit s používáním aplikace.
    • nebo správce klienta musel již dříve udělit souhlas s používáním aplikace všem uživatelům v klientovi.
    • To znamená, že:

Recommendations

I když se rozhodnete použít ověřování pomocí uživatelského jména, neměli byste zachovat heslo koncového uživatele. Po úspěšném ověření hesla počátečního uživatelského jména se mezipaměť tokenů MSAL spustí a automaticky se do mezipaměti zapamní obnovovací token (RT). Odteď může vaše aplikace jednoduše volat MSAL acquire_token_silent() , aby získala nový přístupový token bez uživatelského jména a hesla.

Setup

Microsoft identity platform podporuje tok hesel uživatelského jména ve veřejné klientské aplikaci a důvěrné klientské aplikaci. Pokud potřebujete aplikaci nakonfigurovat jako veřejnou klientskou aplikaci, zapněte přepínač na následujícím snímku obrazovky a povolte ji.

Nastavení veřejné aplikace