Autenticazione e autorizzazione in Microsoft Entra ID
Microsoft Entra ID fornisce il servizio di autenticazione e autorizzazione supportando protocolli di autenticazione moderni, ad esempio OAuth 2.0 e OpenID Connect, in modo conforme agli standard. È possibile usare librerie open source, come Microsoft Authentication Library (MSAL) e altre librerie conformi agli standard, con Microsoft Entra ID.
Nello scenario del portale per i dipendenti si apprende che l'organizzazione usa Microsoft Entra ID come provider di identità per l'autenticazione e l'autorizzazione.
In questa unità vengono fornite informazioni sull'autenticazione e sull'autorizzazione e su come sono supportate in Microsoft Entra ID.
Autenticazione
L'autenticazione è il processo con cui si stabilisce e si verifica l'identità dell'utente finale che accede a un'applicazione.
Microsoft Entra ID usa il protocollo OpenID Connect per gestire l'autenticazione. OpenID Connect consente alle applicazioni di ottenere informazioni di base sull'utente e sulla sessione autenticati.
Autorizzazione
L'autorizzazione è il processo con cui si verifica che un utente autenticato abbia l'autorizzazione per eseguire un'operazione o accedere ad alcuni dati.
Il protocollo OAuth 2.0 viene usato per fornire flussi di autorizzazioni per applicazioni diverse in Microsoft Entra ID.
Registrazione dell'applicazione
Microsoft Entra ID richiede la registrazione dell'applicazione prima di poter fornire servizi di gestione delle identità e degli accessi. La registrazione dell'applicazione stabilisce una relazione di trust tra l'applicazione e il provider di identità. È possibile creare una registrazione dell'applicazione tramite il portale di Azure, usando l'interfaccia della riga di comando di Azure e persino a livello di codice usando le API Microsoft Graph.
La registrazione dell'applicazione consente di specificare il nome dell'applicazione, il tipo di applicazione (Web, desktop e così via) e i destinatari dell'accesso, ovvero gli account utente a cui si vuole consentire l'accesso. I destinatari dell'accesso includono:
- Account solo in questa directory organizzativa se si sta creando un'applicazione che verrà usata solo dagli utenti nel tenant dell'organizzazione (tenant singolo).
- Account in qualsiasi directory organizzativa se si vuole che gli utenti in qualsiasi tenant Microsoft Entra usino l'applicazione (multi-tenant).
- Account in qualsiasi directory organizzativa e account Microsoft personali per il set più ampio di clienti (multi-tenant che supporta anche gli account personali Microsoft).
- Solo account Microsoft personali che verranno usati solo dagli utenti di account Microsoft personali (ad esempio account Hotmail, Live, Skype, Xbox).
Durante la registrazione dell'applicazione, è anche possibile configurare credenziali, URI di reindirizzamento e altre impostazioni di autenticazione.
Al termine della registrazione di un'applicazione, si riceve un ID applicazione (client) che identifica in modo univoco l'applicazione in Microsoft Entra ID. Questo ID viene usato nel codice dell'applicazione o nella libreria di autenticazione, come parte delle richieste effettuate a Microsoft Entra ID.