Condividi tramite


App Web

Avviso

Questo contenuto riguarda l'endpoint di Azure AD v1.0 meno recente. Per i nuovi progetti, usare Microsoft Identity Platform.

Le app Web sono applicazioni che autenticano un utente in un Web browser per un'applicazione Web. In questo scenario, l'applicazione Web indirizza il browser dell'utente per accedervi ad Azure AD. Azure AD restituisce una risposta di accesso tramite il browser dell'utente, che contiene attestazioni sull'utente in un token di sicurezza. Questo scenario supporta l'accesso mediante i protocolli OpenID Connect, SAML 2.0 e WS-Federation.

Diagramma

Flusso di autenticazione da browser ad applicazione Web

Flusso del protocollo

  1. Quando un utente visita l'applicazione e deve eseguire l'accesso, viene reindirizzato tramite una richiesta di accesso all'endpoint di autenticazione in Azure AD.
  2. L'utente accede nella pagina di accesso.
  3. Se l'autenticazione ha esito positivo, Azure AD crea un token di autenticazione e restituisce una risposta di accesso all'URL di risposta dell'applicazione configurato nel portale di Azure. Per un'applicazione di produzione, questo URL di risposta deve essere HTTPS. Il token restituito include le attestazioni sull'utente e Azure AD richieste dall'applicazione per convalidare il token.
  4. L'applicazione convalida il token usando le informazioni sulla chiave di firma pubblica e sull'autorità emittente disponibili nel documento metadati federazione per Azure AD. In seguito alla convalida del token da parte dell’applicazione, inizia una nuova sessione con l'utente. La sessione consente all'utente di accedere all'applicazione fino alla scadenza.

Esempi di codice

Vedere gli esempi di codice per gli scenari da Web browser ad applicazione Web. Consultare spesso questa pagina perché vengono aggiunti regolarmente nuovi esempi.

Registrazione delle app

Per registrare un'app Web, vedere Registrare un'app.

  • Singolo tenant: se si sta creando un'applicazione solo per l'organizzazione, è necessario registrarla nella directory dell'azienda usando il portale di Azure.
  • Multi-tenant: se si sta creando un'applicazione che può essere usata dagli utenti esterni all'organizzazione, deve essere registrata nella directory dell'azienda, ma deve essere registrata anche nella directory di ogni organizzazione che utilizzerà l'applicazione. Per rendere disponibile l'applicazione nella propria directory, è possibile includere un processo di accesso per i clienti che permetta loro di concedere il consenso all'applicazione. Al momento dell'iscrizione all'applicazione, viene visualizzata una finestra di dialogo in cui sono indicate le autorizzazioni richieste dall'applicazione e quindi viene presentata l'opzione per il consenso. A seconda delle autorizzazioni richieste, è possibile che il consenso debba essere fornito da un amministratore dell'altra organizzazione. Quando l'utente o l'amministratore acconsente, l'applicazione viene registrata nella directory.

Scadenza del token

La sessione dell'utente scade quando scade la durata del token rilasciato da Azure AD. Se necessario, l'applicazione può abbreviare questo periodo di validità, ad esempio disconnettendo gli utenti dopo un determinato tempo di inattività. Quando la sessione scade, all'utente viene chiesto di accedere di nuovo.

Passaggi successivi