Condividi tramite


Autenticazione nativa in Microsoft Entra External ID

Si applica a: cerchio bianco con un simbolo X grigio. tenant della forza lavoro cerchio verde con un simbolo di segno di spunta bianco. tenant esterni (altre)

L'autenticazione nativa di Microsoft Entra consente di avere il controllo completo sulla progettazione dell'esperienza di accesso dell'applicazione per dispositivi mobili e desktop. A differenza delle soluzioni basate su browser, l'autenticazione nativa consente di creare schermate di autenticazione visivamente accattivanti e perfette in pixel che si fondono perfettamente nell'interfaccia dell'app. Con questo approccio, è possibile personalizzare completamente l'interfaccia utente, inclusi elementi di progettazione, posizionamento del logo e layout, garantendo un aspetto coerente e personalizzato.

Il processo di accesso standard dell'app, che si basa sull'autenticazione delegata dal browser, spesso comporta un'interruzione nel processo di autenticazione. Gli utenti vengono reindirizzati temporaneamente a un browser di sistema per l'autenticazione, da riportare all'app solo una volta completato l'accesso.

Anche se l'autenticazione delegata dal browser offre vantaggi come vettori di attacco ridotti e supporto per l'accesso Single Sign-On (SSO), offre opzioni di personalizzazione limitate dell'interfaccia utente.

Metodi di autenticazione disponibili

Attualmente, l'autenticazione nativa supporta il provider di identità dell'account locale per due metodi di autenticazione:

  • Email di accesso tramite codice OTP monouso.
  • Accesso tramite posta elettronica e password con supporto per la reimpostazione self-service della password (SSPR).

L'autenticazione nativa non supporta ancora provider di identità federati, ad esempio identità di social networking o aziendali.

Quando usare l'autenticazione nativa

Quando si tratta di implementare l'autenticazione per le app per dispositivi mobili e desktop in ID esterno, sono disponibili due opzioni:

  • Autenticazione delegata dal browser ospitata da Microsoft.
  • Autenticazione nativa basata su SDK completamente personalizzata.

L'approccio scelto dipende dai requisiti specifici dell'app. Anche se ogni app ha esigenze di autenticazione univoche, è necessario tenere presenti alcune considerazioni comuni. Sia che si scelga l'autenticazione nativa o l'autenticazione delegata dal browser, Microsoft Entra External ID supporta entrambi.

La tabella seguente confronta i due metodi di autenticazione per decidere l'opzione più appropriata per l'app.

Autenticazione delegata dal browser Autenticazione nativa
Esperienza di autenticazione dell'utente Gli utenti vengono indirizzati a un browser di sistema o a un browser incorporato per l'autenticazione solo per essere reindirizzati all'app al termine dell'accesso. Questo metodo è consigliato se il reindirizzamento non influisce negativamente sull'esperienza dell'utente finale. Gli utenti hanno un percorso completo di iscrizione e accesso nativo senza mai uscire dall'app.
esperienza di personalizzazione Le opzioni di branding e personalizzazione gestite sono disponibili come funzionalità predefinite. Questo approccio incentrato sulle API offre un elevato livello di personalizzazione, offrendo una vasta flessibilità nella progettazione e la possibilità di creare interazioni e flussi personalizzati.
applicabilità Adatto per le app di forza lavoro, B2B e B2C, può essere usato per app native, applicazioni a pagina singola e app Web. Per le app proprietarie dei clienti, quando la stessa entità gestisce il server di autorizzazione e l'app e l'utente li percepisce entrambi come la stessa entità.
Sforzo per il go-live Basso. Usalo direttamente fuori dalla scatola. Alto. Lo sviluppatore compila, possiede e mantiene l'esperienza di autenticazione.
lavoro di manutenzione Basso. Alto. Per ogni funzionalità rilasciata da Microsoft, è necessario aggiornare l'SDK per usarla.
sicurezza Opzione più sicura. La responsabilità della sicurezza viene condivisa con gli sviluppatori e devono essere seguite le procedure consigliate. È soggetto a attacchi di phishing.
Linguaggi e framework supportati
  • ASP.NET Core
  • Android (Kotlin, Java)
  • iOS/macOS (Swift, Objective-C)
  • JavaScript
  • Reagire
  • Angular
  • Nodejs
  • Pitone
  • Giava
  • Android (Kotlin, Java)
  • iOS/macOS (Swift, Objective-C)
Per altri linguaggi e piattaforme, è possibile usare l'API di autenticazione nativa .

Disponibilità delle funzionalità

La tabella seguente illustra la disponibilità delle funzionalità per l'autenticazione nativa e delegata dal browser.

Autenticazione delegata dal browser Autenticazione nativa
iscrizione e accesso con passcode monouso (OTP) tramite posta elettronica ✔️ ✔️
registrazione e accesso con email e password ✔️ ✔️
reimpostazione autonoma della password (SSPR) ✔️ ✔️
provider di dichiarazioni personalizzate ✔️ ✔️
Accesso con fornitore di identità social ✔️
l'autenticazione a più fattori con passcode monouso tramite posta elettronica (OTP) ✔️
l'autenticazione a più fattori con SMS ✔️
Autenticazione Unica (SSO) ✔️

Come abilitare l'autenticazione nativa

Innanzitutto, esaminare le linee guida precedenti su quando usare l'autenticazione nativa. Per determinare se è necessaria l'autenticazione nativa, avere una discussione interna con il responsabile aziendale, il progettista e il team di sviluppo dell'applicazione.

Se il team ha stabilito che l'autenticazione nativa è necessaria per l'applicazione, seguire questa procedura per abilitare l'autenticazione nativa nell'interfaccia di amministrazione di Microsoft Entra:

  1. Accedi al centro di amministrazione di Microsoft Entra.
  2. Passare a Applicazioni>Registrazioni delle app e selezionare l'applicazione.
  3. Passare a Autenticazione e selezionare la scheda Impostazioni.
  4. Selezionare il campo Consenti autenticazione nativa e il campo Consenti flusso client pubblico.

Dopo aver abilitato sia Consenti autenticazione nativa sia Consenti flusso client pubblico, aggiorna il codice di configurazione di conseguenza.

Aggiornare il codice di configurazione

Dopo aver abilitato le API di autenticazione nativa nell'interfaccia di amministrazione, è comunque necessario aggiornare il codice di configurazione dell'applicazione per supportare i flussi di autenticazione nativi per Android o iOS/macOS. A tale scopo, è necessario aggiungere il campo tipo di verifica alla configurazione. I tipi di sfide sono un elenco di valori che l'app usa per notificare a Microsoft Entra i metodi di autenticazione supportati. Altre informazioni sui tipi di richiesta di autenticazione nativa sono disponibili qui. Se la configurazione non viene aggiornata per integrare i componenti di autenticazione nativa, gli SDK e le API di autenticazione nativa non saranno utilizzabili.

Rischio di abilitazione dell'autenticazione nativa

L'autenticazione nativa di Microsoft Entra non supporta l'accesso Single Sign-On (SSO) e la responsabilità di garantire la sicurezza dell'app risiede nel team di sviluppo.

Come usare l'autenticazione nativa

È possibile creare app che usano l'autenticazione nativa usando le API di autenticazione native o Microsoft Authentication Library (MSAL) SDK per Android e iOS/macOS. Quando possibile, è consigliabile usare MSAL per aggiungere l'autenticazione nativa alle app.

Per altre informazioni sugli esempi di autenticazione nativa ed esercitazioni, vedere la tabella seguente.

Lingua/
Piattaforma
Guida di esempio di codice Guida alla costruzione e all'integrazione
Android (Kotlin) Accedi utenti Accedi utenti
iOS (Swift) accedere gli utenti accedi gli utenti
macOS (Swift) Accedi utenti Accedi utenti

Se si prevede di creare un'app in un framework attualmente non supportato da MSAL, è possibile usare l'API di autenticazione. Per ulteriori informazioni, consultare questa documentazione sull'API.