Esperienza di consenso per le applicazioni in Microsoft Entra ID
In questo articolo vengono fornite informazioni sull'esperienza utente di consenso dell'applicazione Microsoft Entra. È possibile gestire in modo intelligente le applicazioni per l'organizzazione e/o sviluppare applicazioni con un'esperienza di consenso più semplice.
Il consenso è il processo con cui un utente autorizza un'applicazione ad accedere per proprio conto a risorse protette. A un amministratore o un utente può essere chiesto il consenso per permettere l'accesso ai dati individuali o a quelli dell'organizzazione.
L'esperienza utente effettiva di concessione del consenso varia a seconda dei criteri impostati nel tenant dell'utente, dell'ambito dell'autorità o del ruolo dell'utente e del tipo di autorizzazioni richieste dall'applicazione client. In altre parole, l'esperienza di consenso ricade in parte sotto il controllo degli sviluppatori di applicazioni e degli amministratori del tenant. Gli amministratori hanno la possibilità di impostare e disabilitare i criteri per un tenant o un'app per controllare l'esperienza di consenso nel tenant. Gli sviluppatori di applicazioni possono determinare quali tipi di autorizzazioni vengono richiesti. Possono anche decidere se vogliono guidare gli utenti tramite il flusso di consenso dell'utente o il flusso di consenso amministratore.
- Il flusso di consenso utente è quello per cui uno sviluppatore di applicazioni indirizza gli utenti all'endpoint di autorizzazione allo scopo di registrare il consenso per il solo utente corrente.
- Il flusso di consenso amministratore è quello per cui uno sviluppatore di applicazioni indirizza gli utenti all'endpoint di consenso amministratore allo scopo di registrare il consenso per l'intero tenant. Per garantire il corretto funzionamento del flusso di consenso amministratore, gli sviluppatori di applicazioni devono inserire l'elenco di tutte le autorizzazioni nella proprietà
RequiredResourceAccessdel manifesto dell'applicazione. Per altre informazioni, vedere Manifesto dell'applicazione.
Blocchi predefiniti della richiesta di consenso
La richiesta di consenso è stata pensata per garantire che gli utenti abbiano a disposizione informazioni sufficienti per determinare l'affidabilità dell'applicazione client che accede a risorse protette per loro conto. Comprendere i blocchi predefiniti consente agli utenti di concedere il consenso per prendere decisioni più informate e aiutare gli sviluppatori a creare esperienze utente migliori.
La figura e la tabella seguenti includono informazioni sui blocchi predefiniti della richiesta di consenso.
| # | Componente | Scopo |
|---|---|---|
| 1 | ID utente | Questo ID rappresenta l'utente per conto del quale l'applicazione client sta richiedendo di accedere a risorse protette. |
| 2 | Title | Il titolo varia a seconda che gli utenti siano inseriti nel flusso di consenso utente o nel flusso di consenso amministratore. Nel flusso di consenso dell'utente il titolo è "Autorizzazioni richieste" mentre nel flusso di consenso amministratore il titolo ha un'altra riga "Accetta per l'organizzazione". |
| 3 | Logo dell'app | Questa immagine deve consentire agli utenti di avere un'indicazione visiva se l'app in questione è quella a cui intendevano accedere. L'immagine viene fornita dagli sviluppatori dell'applicazione e la relativa proprietà non è convalidata. |
| 4 | Nome app | Questo valore deve comunicare agli utenti il nome dell'applicazione che sta richiedendo l'accesso ai dati. Si noti che il nome dell'app viene fornito dagli sviluppatori e la relativa proprietà non è convalidata. |
| 5 | Nome e verifica dell'autore | Il badge blu "verificato" indica che l'autore dell'app ha verificato la propria identità usando un account Microsoft Partner Network e ha completato il processo di verifica. Se l'app viene verificata dall'autore, viene visualizzato il nome dell'editore. Se l'app non è verificata dall'editore, viene visualizzato "Non verificato" anziché un nome dell'editore. Per altre informazioni, vedere Verifica server di pubblicazione. Se si seleziona il nome dell'editore, vengono visualizzate altre informazioni sull'app disponibili. Le informazioni includono il nome dell'editore, il dominio dell'editore, la data di creazione, i dettagli della certificazione e gli URL di risposta. |
| 6 | Certificazione Microsoft 365 | Il logo della certificazione Microsoft 365 indica che un'app viene esaminata rispetto ai controlli derivati da framework standard di settore leader. Mostra che sono state adottate procedure avanzate per la sicurezza e la conformità per proteggere i dati dei clienti. Per altre informazioni, vedere La certificazione di Microsoft 365. |
| 7 | Informazioni sull'editore | Indica se l'applicazione viene pubblicata da Microsoft. |
| 8 | Autorizzazioni | Questo elenco contiene le autorizzazioni richieste dall'applicazione client. Gli utenti devono sempre valutare i tipi di autorizzazioni richiesti per comprendere quali dati l'applicazione client è autorizzata ad accedere per loro conto. In qualità di sviluppatore di applicazioni, è consigliabile richiedere l'accesso alle autorizzazioni con il privilegio minimo. |
| 9 | Descrizione dell'autorizzazione | Questo valore viene fornito dal servizio che espone le autorizzazioni. Per visualizzare le descrizioni delle autorizzazioni, è necessario attivare o disattivare la freccia di espansione accanto all'autorizzazione. |
| 10 | https://myapps.microsoft.com |
Questo collegamento consente agli utenti di esaminare e rimuovere tutte le applicazioni non Microsoft che attualmente hanno accesso ai dati. |
| 11 | Segnalalo qui | Questo collegamento viene usato per segnalare un'app sospetta se non si considera attendibile l'app, se si ritiene che stia rappresentando un'altra app, se è probabile che usi impropriamente i dati o per qualche altro motivo. |
Scenari comuni ed esperienze di consenso
La sezione seguente descrive gli scenari comuni e l'esperienza di consenso prevista per ognuno di essi.
L'app richiede un'autorizzazione a cui l'utente ha il diritto di concedere
In questo scenario di consenso, l'utente accede a un'app che richiede un set di autorizzazioni compreso nell'ambito dell'autorità dell'utente. L'utente viene indirizzato al flusso di consenso dell'utente.
Gli amministratori visualizzano un altro controllo nella richiesta di consenso tradizionale che consente loro di fornire il consenso per conto dell'intero tenant. Il controllo è disattivato per impostazione predefinita, quindi solo quando gli amministratori selezionano in modo esplicito la casella viene concesso il consenso per conto dell'intero tenant. La casella di controllo viene visualizzata solo per almeno il ruolo di Amministratore con privilegi , quindi l'Amministratore Cloud e l'Amministratore dell'App non visualizzano questa casella di controllo.
Gli utenti visualizzano la richiesta di consenso tradizionale.
L'app richiede un'autorizzazione che l'utente non ha il diritto di concedere
In questo scenario di consenso, l'utente accede a un'app che richiede almeno un'autorizzazione esterna all'ambito dell'autorità dell'utente.
Gli amministratori visualizzano un altro controllo nella richiesta di consenso tradizionale che consente di dare il consenso per conto di tutto il tenant.
Agli utenti che non sono amministratori viene impedito di concedere il consenso all'applicazione e viene chiesto all'amministratore di accedere all'app. Se il flusso di lavoro di consenso amministratore è abilitato nel tenant dell'utente, gli utenti possono inviare una richiesta di approvazione dell'amministratore dalla richiesta di consenso. Per altre informazioni sul flusso di lavoro del consenso amministratore, vedere Flusso di lavoro di consenso amministratore.
L'utente viene indirizzato al flusso di consenso amministratore
In questo scenario di consenso, l'utente passa a o viene indirizzato al flusso di consenso amministratore.
Gli utenti amministratori visualizzano la richiesta di consenso dell'amministratore. Il titolo e le descrizioni delle autorizzazioni sono stati modificati in questo prompt; le modifiche evidenziano il fatto che accettare questo prompt concede all'app l'accesso ai dati richiesti per conto dell'intero tenant dell'organizzazione.
Agli utenti viene impedito di concedere il consenso all'applicazione e viene chiesto all'amministratore di accedere all'app.
Consenso amministratore tramite l'interfaccia di amministrazione di Microsoft Entra
In questo scenario, un amministratore acconsente a tutte le autorizzazioni richieste da un'applicazione, che può includere autorizzazioni delegate per conto di tutti gli utenti nel tenant. L'amministratore concede il consenso tramite la pagina delle autorizzazioni API della registrazione dell'applicazione nell'interfaccia di amministrazione di Microsoft Entra.
Tutti gli utenti del tenant non visualizzano la finestra di dialogo di consenso a meno che l'applicazione non richieda nuove autorizzazioni. Per informazioni sui ruoli di amministratore che possono fornire il consenso per le autorizzazioni delegate, vedere Autorizzazioni del ruolo di amministratore in Microsoft Entra ID.
Importante
La concessione del consenso esplicito tramite il pulsante Concedi autorizzazioni è attualmente necessaria per le applicazioni a pagina singola che usano MSAL.js. In caso contrario, l'applicazione non funziona quando viene richiesto il token di accesso.
Problemi comuni
Questa sezione descrive i problemi comuni relativi all'esperienza di consenso e ai possibili suggerimenti per la risoluzione dei problemi.
Errore 403
- Il caso è uno scenario delegato ? Di quali autorizzazioni dispone un utente?
- Sono state aggiunte le autorizzazioni necessarie per usare l'endpoint?
- Controllare il token per verificare se sono presenti attestazioni necessarie per chiamare l'endpoint.
- Quali autorizzazioni vengono concesse? Chi ha fornito il consenso?
L'utente non è in grado di fornire il consenso
- Controllare se l'amministratore del tenant ha disabilitato il consenso utente per la tua organizzazione
- Verificare se le autorizzazioni richieste sono autorizzazioni con restrizioni di amministratore.
L'utente è ancora bloccato anche dopo il consenso dell'amministratore
- Controllare se le autorizzazioni statiche sono configurate per essere un superset di autorizzazioni richieste in modo dinamico.
- Controllare se l'assegnazione dell'utente è necessaria per l'app.
Risolvere gli errori noti
Per la procedura di risoluzione dei problemi, vedere Errore imprevisto durante l'esecuzione del consenso a un'applicazione.
Contenuto correlato
- Ottenere una panoramica dettagliata del modo in cui il framework di consenso di Microsoft Entra implementa il consenso.
- Per un maggiore approfondimento, scopri come un'applicazione multi-tenant può usare il framework di consenso per implementare il consenso "utente" e "amministratore", supportando modelli di applicazioni multilivello più avanzati.
- Informazioni su come configurare il dominio di pubblicazione dell'app.