Modello di applicazione
Le applicazioni possono consentire l'accesso degli utenti stessi o delegare l'accesso a un provider di identità. Questo articolo illustra i passaggi necessari per registrare un'applicazione con Microsoft Identity Platform.
Registrare un'applicazione
Affinché un provider di identità sappia che un utente ha accesso a una determinata app, sia l'utente che l'applicazione devono essere registrati con il provider di identità. Quando si registra l'applicazione con Microsoft Entra ID, si fornisce una configurazione di identità per l'applicazione che consente l'integrazione con Microsoft Identity Platform. La registrazione dell'app consente anche di:
- Personalizza il branding della tua applicazione nella finestra di dialogo di accesso. Questa personalizzazione è importante perché l'accesso è la prima esperienza che un utente avrà con la tua app.
- Decidere se si vuole consentire agli utenti di accedere solo se appartengono all'organizzazione. Questa architettura è nota come applicazione a tenant singolo. In alternativa, è possibile consentire agli utenti di accedere usando qualsiasi account aziendale o dell'istituto di istruzione, noto come applicazione multi-tenant. È anche possibile consentire account Microsoft personali o un account di social networking da LinkedIn, Google e così via.
- Richiedere autorizzazioni per l'ambito. Ad esempio, è possibile richiedere l'ambito "user.read", che concede l'autorizzazione per leggere il profilo dell'utente connesso.
- Definire gli ambiti che definiscono l'accesso all'API Web. In genere, quando un'app vuole accedere all'API, dovrà richiedere le autorizzazioni per gli ambiti definiti.
- Condividere un segreto con Microsoft Identity Platform che dimostra l'identità dell'app. L'uso di un segreto è rilevante nel caso in cui l'app sia un'applicazione client riservata. Un'applicazione client riservata è un'applicazione che può contenere credenziali in modo sicuro, ad esempio un client Web . Per archiviare le credenziali, è necessario un server back-end attendibile.
Dopo la registrazione dell'app, viene assegnato un identificatore univoco che condivide con Microsoft Identity Platform quando richiede token. Se l'app è un'applicazione client riservata, condividerà anche il segreto o la chiave pubblica a seconda che siano stati usati certificati o segreti.
Microsoft Identity Platform rappresenta le applicazioni usando un modello che soddisfa due funzioni principali:
- Identificare l'app in base ai protocolli di autenticazione supportati.
- Specificare tutti gli identificatori, gli URL, i segreti e le informazioni correlate necessarie per l'autenticazione.
Piattaforma di identità Microsoft
- Contiene tutti i dati necessari per supportare l'autenticazione in fase di esecuzione.
- Contiene tutti i dati per decidere quali risorse potrebbe essere necessario accedere a un'app e in quali circostanze deve essere soddisfatta una determinata richiesta.
- Fornisce l'infrastruttura per l'implementazione del provisioning delle applicazioni all'interno del tenant dello sviluppatore dell'applicazione e di qualsiasi altro tenant di Microsoft Entra.
- Gestisce il consenso dell'utente durante la richiesta del token e facilita il provisioning dinamico delle app attraverso i tenant.
il consenso è il processo di un proprietario della risorsa che concede l'autorizzazione a un'applicazione client per accedere alle risorse protette, sotto specifiche autorizzazioni, a nome del proprietario della risorsa. Microsoft Identity Platform abilita:
- Utenti e amministratori possono concedere o negare dinamicamente il consenso per l'app di accedere alle risorse per loro conto.
- Gli amministratori decidono in definitiva quali app possono eseguire e quali utenti possono usare app specifiche e come si accede alle risorse della directory.
Applicazioni multitenant
Importante
Le applicazioni multi-tenant (MTA) non funzionano oltre i limiti del cloud a causa della separazione delle autorità dell'entità servizio all'interno di ogni cloud. Ad esempio, se l'oggetto applicazione è ospitato nel cloud commerciale, l'oggetto servizio associato viene creato localmente durante il processo di onboarding del cliente. Questo processo non riesce quando si superano i limiti del cloud perché gli URL dell'autorità differiscono (ad esempio, .com
e .us
), causando un'incompatibilità.
In Microsoft Identity Platform un oggetto applicazione descrive un'applicazione. In fase di distribuzione, Microsoft Identity Platform usa l'oggetto applicazione come progetto per creare un'entità servizio , che rappresenta un'istanza concreta di un'applicazione all'interno di una directory o di un tenant. L'entità servizio definisce le operazioni che l'app può effettivamente eseguire in una directory di destinazione specifica, chi può usarla, a quali risorse ha accesso e così via. Microsoft Identity Platform crea un'entità servizio da un oggetto applicazione tramite il consenso.
Il diagramma seguente illustra un flusso di provisioning semplificato di Microsoft Identity Platform basato sul consenso. Vengono visualizzati due inquilini: «A» e «B».
- Tenant A è il proprietario dell'applicazione.
- Il tenant B sta generando un'istanza dell'applicazione tramite un principal del servizio.
In questo flusso di provisioning:
- Un utente del tenant B tenta di accedere con l'app. L'endpoint di autorizzazione richiede un token per l'applicazione.
- Le credenziali utente vengono acquisite e verificate per l'autenticazione.
- All'utente viene richiesto di fornire il consenso per l'app per ottenere l'accesso al tenant B.
- Microsoft Identity Platform usa l'oggetto applicazione nel tenant A come progetto per la creazione di un'entità servizio nel tenant B.
- L'utente riceve il token richiesto.
È possibile ripetere questo processo per altri tenant. Tenant A mantiene lo schema per l'applicazione (oggetto applicativo). Gli utenti e gli amministratori di tutti gli altri tenant in cui è stato dato il consenso all'app mantengono il controllo su ciò che l'applicazione è permessa di fare tramite l'oggetto principale di servizio corrispondente in ogni tenant. Per ulteriori informazioni, vedere Oggetti dell'applicazione e principali del servizio nella piattaforma di identità Microsoft.
Passaggi successivi
Per altre informazioni sull'autenticazione e l'autorizzazione in Microsoft Identity Platform, vedere gli articoli seguenti:
- Per informazioni sui concetti di base relativi all'autenticazione e all'autorizzazione, vedere autenticazione e autorizzazione.
- Per informazioni su come i token di accesso, i token di aggiornamento e i token ID vengono usati nell'autenticazione e nell'autorizzazione, vedere token di sicurezza.
- Per saperne di più sul flusso di accesso delle app Web, desktop e mobili, vedere flusso di accesso delle app.
- Per informazioni sull'autorizzazione corretta tramite attestazioni di token, vedere Api e applicazioni sicure convalidando le attestazioni
Per altre informazioni sul modello di applicazione, vedere gli articoli seguenti:
- Per ulteriori informazioni sugli oggetti applicazione e sui principali del servizio nella piattaforma Microsoft Identity, vedere Come e perché le applicazioni vengono aggiunte a Microsoft Entra ID.
- Per ulteriori informazioni sulle app a tenant singolo e sulle app a più tenant, consulta Tenancy in Microsoft Entra ID.
- Per altre informazioni su come Microsoft Entra ID fornisce anche Azure Active Directory B2C in modo che le organizzazioni possano accedere agli utenti, in genere clienti, usando identità di social networking come un account Google, vedere documentazione di Azure Active Directory B2C.