Autenticazione nativa in Microsoft Entra External ID
Si applica a: cerchio bianco tenant della forza lavoro
tenant esterni (altre)
L'autenticazione nativa di Microsoft Entra consente di avere il controllo completo sulla progettazione dell'esperienza di accesso dell'applicazione per dispositivi mobili e desktop. A differenza delle soluzioni basate su browser, l'autenticazione nativa consente di creare schermate di autenticazione visivamente accattivanti e perfette in pixel che si fondono perfettamente nell'interfaccia dell'app. Con questo approccio, è possibile personalizzare completamente l'interfaccia utente, inclusi elementi di progettazione, posizionamento del logo e layout, garantendo un aspetto coerente e personalizzato.
Il processo di accesso standard dell'app, che si basa sull'autenticazione delegata dal browser, spesso comporta un'interruzione nel processo di autenticazione. Gli utenti vengono reindirizzati temporaneamente a un browser di sistema per l'autenticazione, da riportare all'app solo una volta completato l'accesso.
Anche se l'autenticazione delegata dal browser offre vantaggi come vettori di attacco ridotti e supporto per l'accesso Single Sign-On (SSO), offre opzioni di personalizzazione limitate dell'interfaccia utente.
Metodi di autenticazione disponibili
Attualmente, l'autenticazione nativa supporta il provider di identità dell'account locale per due metodi di autenticazione:
- Email di accesso tramite codice OTP monouso.
- Accesso tramite posta elettronica e password con supporto per la reimpostazione self-service della password (SSPR).
L'autenticazione nativa non supporta ancora provider di identità federati, ad esempio identità di social networking o aziendali.
Quando usare l'autenticazione nativa
Quando si tratta di implementare l'autenticazione per le app per dispositivi mobili e desktop in ID esterno, sono disponibili due opzioni:
- Autenticazione delegata dal browser ospitata da Microsoft.
- Autenticazione nativa basata su SDK completamente personalizzata.
L'approccio scelto dipende dai requisiti specifici dell'app. Anche se ogni app ha esigenze di autenticazione univoche, è necessario tenere presenti alcune considerazioni comuni. Sia che si scelga l'autenticazione nativa o l'autenticazione delegata dal browser, Microsoft Entra External ID supporta entrambi.
La tabella seguente confronta i due metodi di autenticazione per decidere l'opzione più appropriata per l'app.
Disponibilità delle funzionalità
La tabella seguente illustra la disponibilità delle funzionalità per l'autenticazione nativa e delegata dal browser.
Autenticazione delegata dal browser | Autenticazione nativa | |
---|---|---|
iscrizione e accesso con passcode monouso (OTP) tramite posta elettronica | ✔️ | ✔️ |
registrazione e accesso con email e password | ✔️ | ✔️ |
reimpostazione autonoma della password (SSPR) | ✔️ | ✔️ |
provider di dichiarazioni personalizzate | ✔️ | ✔️ |
Accesso con fornitore di identità social | ✔️ | ❌ |
l'autenticazione a più fattori con passcode monouso tramite posta elettronica (OTP) | ✔️ | ❌ |
l'autenticazione a più fattori con SMS | ✔️ | ❌ |
Autenticazione Unica (SSO) | ✔️ | ❌ |
Come abilitare l'autenticazione nativa
Innanzitutto, esaminare le linee guida precedenti su quando usare l'autenticazione nativa. Per determinare se è necessaria l'autenticazione nativa, avere una discussione interna con il responsabile aziendale, il progettista e il team di sviluppo dell'applicazione.
Se il team ha stabilito che l'autenticazione nativa è necessaria per l'applicazione, seguire questa procedura per abilitare l'autenticazione nativa nell'interfaccia di amministrazione di Microsoft Entra:
- Accedi al centro di amministrazione di Microsoft Entra.
- Passare a Applicazioni>Registrazioni delle app e selezionare l'applicazione.
- Passare a Autenticazione e selezionare la scheda Impostazioni.
- Selezionare il campo Consenti autenticazione nativa e il campo Consenti flusso client pubblico.
Dopo aver abilitato sia Consenti autenticazione nativa sia Consenti flusso client pubblico, aggiorna il codice di configurazione di conseguenza.
Aggiornare il codice di configurazione
Dopo aver abilitato le API di autenticazione nativa nell'interfaccia di amministrazione, è comunque necessario aggiornare il codice di configurazione dell'applicazione per supportare i flussi di autenticazione nativi per Android o iOS/macOS. A tale scopo, è necessario aggiungere il campo tipo di verifica alla configurazione. I tipi di sfide sono un elenco di valori che l'app usa per notificare a Microsoft Entra i metodi di autenticazione supportati. Altre informazioni sui tipi di richiesta di autenticazione nativa sono disponibili qui. Se la configurazione non viene aggiornata per integrare i componenti di autenticazione nativa, gli SDK e le API di autenticazione nativa non saranno utilizzabili.
Rischio di abilitazione dell'autenticazione nativa
L'autenticazione nativa di Microsoft Entra non supporta l'accesso Single Sign-On (SSO) e la responsabilità di garantire la sicurezza dell'app risiede nel team di sviluppo.
Come usare l'autenticazione nativa
È possibile creare app che usano l'autenticazione nativa usando le API di autenticazione native o Microsoft Authentication Library (MSAL) SDK per Android e iOS/macOS. Quando possibile, è consigliabile usare MSAL per aggiungere l'autenticazione nativa alle app.
Per altre informazioni sugli esempi di autenticazione nativa ed esercitazioni, vedere la tabella seguente.
Lingua/ Piattaforma |
Guida di esempio di codice | Guida alla costruzione e all'integrazione |
---|---|---|
Android (Kotlin) | • Accedi utenti | • Accedi utenti |
iOS (Swift) | • accedere gli utenti | • accedi gli utenti |
macOS (Swift) | • Accedi utenti | • Accedi utenti |
Se si prevede di creare un'app in un framework attualmente non supportato da MSAL, è possibile usare l'API di autenticazione. Per ulteriori informazioni, consultare questa documentazione sull'API.