Condividi tramite


Esperienza di consenso per le applicazioni in Microsoft Entra ID

In questo articolo vengono fornite informazioni sull'esperienza utente di consenso dell'applicazione Microsoft Entra. È possibile gestire in modo intelligente le applicazioni per l'organizzazione e/o sviluppare applicazioni con un'esperienza di consenso più semplice.

Il consenso è il processo con cui un utente autorizza un'applicazione ad accedere per proprio conto a risorse protette. A un amministratore o un utente può essere chiesto il consenso per permettere l'accesso ai dati individuali o a quelli dell'organizzazione.

L'esperienza utente effettiva di concessione del consenso varia a seconda dei criteri impostati nel tenant dell'utente, dell'ambito dell'autorità o del ruolo dell'utente e del tipo di autorizzazioni richieste dall'applicazione client. In altre parole, l'esperienza di consenso ricade in parte sotto il controllo degli sviluppatori di applicazioni e degli amministratori del tenant. Gli amministratori hanno la possibilità di impostare e disabilitare i criteri per un tenant o un'app per controllare l'esperienza di consenso nel tenant. Gli sviluppatori di applicazioni possono stabilire quali tipi di autorizzazioni sono richieste e se vogliono fornire agli utenti informazioni dettagliate attraverso il flusso di consenso utente o il flusso di consenso amministratore.

  • Il flusso di consenso utente è quello per cui uno sviluppatore di applicazioni indirizza gli utenti all'endpoint di autorizzazione allo scopo di registrare il consenso per il solo utente corrente.
  • Il flusso di consenso amministratore è quello per cui uno sviluppatore di applicazioni indirizza gli utenti all'endpoint di consenso amministratore allo scopo di registrare il consenso per l'intero tenant. Per garantire il corretto funzionamento del flusso di consenso amministratore, gli sviluppatori di applicazioni devono inserire l'elenco di tutte le autorizzazioni nella proprietà RequiredResourceAccess del manifesto dell'applicazione. Per altre informazioni, vedere Manifesto dell'applicazione.

La richiesta di consenso è stata pensata per garantire che gli utenti abbiano a disposizione informazioni sufficienti per determinare l'affidabilità dell'applicazione client che accede a risorse protette per loro conto. Comprendere i blocchi predefiniti consente agli utenti di concedere il consenso per prendere decisioni più informate e aiutare gli sviluppatori a creare esperienze utente migliori.

La figura e la tabella seguenti includono informazioni sui blocchi predefiniti della richiesta di consenso.

Blocchi predefiniti della richiesta di consenso

# Componente Scopo
1 ID utente Questo ID rappresenta l'utente per conto del quale l'applicazione client sta richiedendo di accedere a risorse protette.
2 Title Il titolo varia a seconda che gli utenti siano inseriti nel flusso di consenso utente o nel flusso di consenso amministratore. Nel flusso di consenso utente il titolo è "Autorizzazioni richieste" mentre nel flusso di consenso amministratore il titolo ha un'altra riga "Accetta per l'organizzazione".
3 Logo dell'app Questa immagine deve consentire agli utenti di avere un'indicazione visiva se l'app in questione è quella a cui intendevano accedere. L'immagine viene fornita dagli sviluppatori dell'applicazione e la relativa proprietà non è convalidata.
4 Nome app Questo valore deve comunicare agli utenti il nome dell'applicazione che sta richiedendo l'accesso ai dati. Si noti che il nome dell'app viene fornito dagli sviluppatori e la relativa proprietà non è convalidata.
5 Nome e verifica dell'autore Il badge blu "verificato" indica che l'autore dell'app ha verificato la propria identità usando un account Microsoft Partner Network e ha completato il processo di verifica. Se l'app viene verificata dall'autore, viene visualizzato il nome dell'editore. Se l'app non è verificata dall'editore, viene visualizzato "Non verificato" anziché un nome dell'editore. Per altre informazioni, vedere Verifica server di pubblicazione. Selezionando il nome dell'editore vengono visualizzate altre informazioni sull'app disponibili, ad esempio il nome dell'editore, il dominio dell'editore, la data di creazione, i dettagli della certificazione e gli URL di risposta.
6 Certificazione Microsoft 365 Il logo della certificazione Microsoft 365 indica che un'app è stata esaminata rispetto ai controlli derivati da framework standard di settore leader e che sono state applicate procedure di sicurezza e conformità avanzate per proteggere i dati dei clienti. Per altre informazioni, vedere La certificazione di Microsoft 365.
7 Informazioni sull'editore Indica se l'applicazione viene pubblicata da Microsoft.
8 Autorizzazioni Questo elenco contiene le autorizzazioni richieste dall'applicazione client. Gli utenti devono sempre valutare i tipi di autorizzazioni richieste per comprendere, in caso di accettazione, a quali dati l'applicazione client sarà autorizzata ad accedere per loro conto. In qualità di sviluppatore di applicazioni, è consigliabile richiedere l'accesso alle autorizzazioni con il privilegio minimo.
9 Descrizione dell'autorizzazione Questo valore viene fornito dal servizio che espone le autorizzazioni. Per visualizzare le descrizioni delle autorizzazioni, è necessario attivare o disattivare la freccia di espansione accanto all'autorizzazione.
10 https://myapps.microsoft.com Questo collegamento consente agli utenti di controllare e rimuovere le applicazioni non Microsoft che attualmente hanno accesso ai dati.
11 Segnalalo qui Questo collegamento viene usato per segnalare un'app sospetta se non si considera attendibile l'app, se si ritiene che l'app stia rappresentando un'altra app, se si ritiene che l'app usi impropriamente i dati o per un altro motivo.

La sezione seguente descrive gli scenari comuni e l'esperienza di consenso prevista per ognuno di essi.

L'app richiede un'autorizzazione a cui l'utente ha il diritto di concedere

In questo scenario di consenso, l'utente accede a un'app che richiede un set di autorizzazioni compreso nell'ambito dell'autorità dell'utente. L'utente viene indirizzato al flusso di consenso dell'utente.

Gli amministratori visualizzano un altro controllo nella richiesta di consenso tradizionale che consentirà di fornire il consenso per conto dell'intero tenant. Il controllo è disattivato per impostazione predefinita, quindi solo quando gli amministratori selezionano in modo esplicito la casella verrà concesso il consenso per conto dell'intero tenant. La casella di controllo verrà visualizzata solo per almeno il ruolo Amministratore ruolo con privilegi, quindi Amministratore cloud e Amministratore app non visualizzeranno questa casella di controllo.

Richiesta di consenso per lo scenario 1a

Gli utenti visualizzano la richiesta di consenso tradizionale.

Screenshot che mostra la richiesta di consenso tradizionale.

L'app richiede un'autorizzazione che l'utente non ha il diritto di concedere

In questo scenario di consenso, l'utente accede a un'app che richiede almeno un'autorizzazione esterna all'ambito dell'autorità dell'utente.

Gli amministratori visualizzano un altro controllo nella richiesta di consenso tradizionale che consentirà loro il consenso per conto dell'intero tenant.

Richiesta di consenso per lo scenario 1a

Agli utenti che non sono amministratori viene impedito di concedere il consenso all'applicazione e viene chiesto all'amministratore di accedere all'app. Se il flusso di lavoro di consenso amministratore è abilitato nel tenant dell'utente, gli utenti possono inviare una richiesta di approvazione dell'amministratore dalla richiesta di consenso. Per altre informazioni sul flusso di lavoro del consenso amministratore, vedere Flusso di lavoro di consenso amministratore.

Screenshot della richiesta di consenso che informa l'utente di chiedere a un amministratore di accedere all'app.

In questo scenario di consenso, l'utente passa a o viene indirizzato al flusso di consenso amministratore.

Gli utenti amministratori visualizzano la richiesta di consenso dell'amministratore. In questa richiesta il titolo e le descrizioni delle autorizzazioni risultano modificati. Le modifiche evidenziano il fatto che l'accettazione di questa richiesta concederà all'app l'accesso ai dati richiesti per conto dell'intero tenant.

Richiesta di consenso per lo scenario 3a

Agli utenti viene impedito di concedere il consenso all'applicazione e viene chiesto all'amministratore di accedere all'app.

Screenshot della richiesta di consenso che informa l'utente di chiedere a un amministratore di accedere all'app.

In questo scenario, un amministratore acconsente a tutte le autorizzazioni richieste da un'applicazione, che può includere autorizzazioni delegate per conto di tutti gli utenti nel tenant. L'amministratore concede il consenso tramite la pagina delle autorizzazioni API della registrazione dell'applicazione nell'interfaccia di amministrazione di Microsoft Entra.

Screenshot del consenso esplicito dell'amministratore tramite l'interfaccia di amministrazione di Microsoft Entra.

Tutti gli utenti del tenant non vedranno la finestra di dialogo di consenso a meno che l'applicazione non richieda nuove autorizzazioni. Per informazioni sui ruoli di amministratore che possono fornire il consenso per le autorizzazioni delegate, vedere Autorizzazioni del ruolo di amministratore in Microsoft Entra ID.

Importante

La concessione del consenso esplicito tramite il pulsante Concedi autorizzazioni è attualmente necessaria per le applicazioni a pagina singola che usano MSAL.js. In caso contrario, l'applicazione non funziona quando viene richiesto il token di accesso.

Problemi comuni

Questa sezione descrive i problemi comuni relativi all'esperienza di consenso e ai possibili suggerimenti per la risoluzione dei problemi.

  • Errore 403

    • Si tratta di uno scenario delegato? Di quali autorizzazioni dispone un utente?
    • Sono state aggiunte le autorizzazioni necessarie per usare l'endpoint?
    • Controllare il token per verificare se sono presenti attestazioni necessarie per chiamare l'endpoint.
    • Per quali autorizzazioni è stato fornito il consenso? Chi ha fornito il consenso?
  • L'utente non è in grado di fornire il consenso

    • Controllare se l'amministratore tenant ha disabilitato il consenso dell'utente per l'organizzazione
    • Verificare se le autorizzazioni richieste sono autorizzazioni con restrizioni di amministratore.
  • L'utente resta bloccato anche dopo che l'amministratore ha fornito il consenso

    • Controllare se le autorizzazioni statiche sono configurate per essere un superset di autorizzazioni richieste in modo dinamico.
    • Controllare se l'assegnazione dell'utente è necessaria per l'app.

Risolvere gli errori noti

Per la procedura di risoluzione dei problemi, vedere Errore imprevisto durante l'esecuzione del consenso a un'applicazione.

Vedi anche