Василь Григор’єв
Генеральний директор Lizard Soft

З моменту випуску бібліотеки перевірки автентичності Azure Active Directory (ADAL) інструменти розробника платформи аутентифікації Microsoft постійно розвиваються. Завдяки новим функціям і можливостям, що додаються під час розширення платформи, розробники змогли створювати безпечні застосунки з мінімальними труднощами.

Далі стало відомо, що користувачам необхідна узгоджена підтримка API, OAuth 2.0 і OpenID Connect (OIDC). А також – можливість роботи з обліковими записами Microsoft (MSA), зовнішніми ідентифікаціями та Azure Active Directory Business для профілів користувачів. Це і призвело до створення Microsoft Authentication Library (MSAL).

MSAL дозволяє додати можливості ідентифікації в додаток за кілька хвилин. За допомогою кількох рядків коду можна автентифікувати користувачів і застосунки, а також отримувати токени для доступу до таких ресурсів, як Microsoft Graph, Azure чи навіть до вашого власного API і сервісів.

Стандартний MSAL забезпечує інтеграцію з найновішими можливостями Microsoft Identity Platform.

Закриття ADAL

Рішення про закриття ADAL до 30 червня 2023 року було прийнято з огляду на те, що значні кошти Microsoft вкладає в розвиток MSAL. Тож після заявленого дедлайну підтримка та оновлення ADAL надаватися не будуть. Виключення – критичні проблеми: приміром, серйозні вразливості системи безпеки.

Водночас, оскільки ADAL не отримував нових функцій з 2020 року, сучасні можливості платформи – як-от різні типи облікових записів, коректна обробка відгуків токенів, регулювання, що попереджує оновлення токенів, – підтримуватися не можуть. Так само і всі приклади коду та документації будуть написані винятково для MSAL

Втім припускається, що після 30 червня 2023 року застосунки, які використовують ADAL, таки будуть працювати. Однак Microsoft наполегливо не рекомендує використовувати цю бібліотеку через підвищений ризик для безпеки, адже останні покращення безпеки для таких застосунків поставлятися не будуть.

Міграція застосунків

Перейти на останню версію MSAL рекомендовано для всіх застосунків, які ще залежать від ADAL. Команда Microsoft навіть розробила актуальний посібник з міграції, за допомогою якого можна визначити найкращі підходи до оновлення вашого коду, незалежно від платформи, на якій ви працюєте.

Крім того, вже опублікували інструкції для адміністраторів щодо того, як ідентифікувати додатки ADAL, що працюють в їхньому теннанті.

Перспективи MSAL

MSAL залишиться єдиною бібліотекою, необхідною для надійного отримання токенів і керування ними для облікових записів Azure Active Directory і Microsoft. Вона постачається з розлогою документацією та навчальними посібниками, прикладами коду та постійними оновленнями.

Крім того, ця бібліотека побудована на основі основних сценаріїв, наданих клієнтами для Microsoft:

• Якщо ви створюєте лінійку бізнес-застосунків для свого підприємства:

Співробітники можуть швидко увійти у ваш застосунок за допомогою MSAL, що надає можливість «одноразового входу» у веб-, мобільні та десктопні застосунки. Так само адміністратор зможе легко керувати ідентифікаціями користувачів і безперешкодно застосовувати політики умовного доступу, такі як вимоги MFA, для всіх облікових записів користувачів.

• Якщо ви є постачальником ПО, що створює застосунок SaaS:

MSAL дозволяє максимально ефективно використовувати Microsoft Entra і Azure Active Directory для ваших клієнтів. Хоча Azure AD заснований на стандартах і може підключити будь-який застосунок SaaS, створений на основі відкритих стандартів (приміром, OpenID Connect і SAML), створювати застосунки за допомогою MSAL можна набагато швидше. Водночас забезпечується їхня інноваційна безпека та надійність.

• Якщо ви створюєте бізнес-застосунок для спільної роботи зі своїми партнерами:

MSAL дозволяє вам зареєструватися та увійти у ваш додаток за допомогою зовнішніх ідентифікацій. Ділові партнери можуть зареєструватись та отримати дозвіл на доступ, використовуючи свої нинішні корпоративні облікові дані.

• Якщо ви створюєте веб- чи мобільний застосунок під клієнта:

MSAL підтримує наш сервіс Azure AD B2C, що дозволяє вам створити повноцінний процес керування користувачами в застосунку. Таким чином користувачі можуть зареєструвати новий обліковий запис або увійти за допомогою акаунта в соціальних мережах чи електронної пошти.

В разі, якщо ваших ресурсів буде недостатньо для проведення аудиту цільових корпоративних застосунків на предмет використання бібліотеки ADAL та/або планування оновлення цих застосунків із метою переходу на MSAL, ми рекомендуємо звернутися до довірених партнерів – як-от, Lizard Soft – для швидкої та професійної міграції.

За матеріалами Microsoft.com