Modello di applicazione

Le applicazioni possono far accedere autonomamente gli utenti o delegare l'accesso a un provider di identità. Questo articolo illustra i passaggi necessari per registrare un'applicazione con Microsoft Identity Platform.

Registrare un'applicazione

Affinché un provider di identità sappia che un utente ha accesso a una determinata app, sia l'utente che l'applicazione devono essere registrati con il provider di identità. Quando si registra l'applicazione con Microsoft Entra ID, si fornisce una configurazione di identità per l'applicazione che ne consente l'integrazione con Microsoft Identity Platform. La registrazione dell'app consente anche di:

• Personalizzare l'applicazione nella finestra di dialogo di accesso. Questa personalizzazione è importante perché l'accesso è la prima esperienza che un utente avrà con l'app.
• Decidere se consentire agli utenti di accedere solo se appartengono all'organizzazione. Questa architettura è nota come applicazione a tenant singolo. In alternativa, è possibile consentire agli utenti di accedere usando qualsiasi account aziendale o dell'istituto di istruzione, in un'architettura nota come applicazione multi-tenant. È anche possibile consentire l'uso di account Microsoft personali o un account di social networking di LinkedIn, Google e così via.
• Richiedere le autorizzazioni per l'ambito. Ad esempio, è possibile richiedere l'ambito "user.read", che concede l'autorizzazione per leggere il profilo dell'utente connesso.
• Definire gli ambiti che definiscono l'accesso all'API Web. In genere, quando un'app vuole accedere all'API, dovrà richiedere autorizzazioni per gli ambiti definiti.
• Condividere un segreto con Microsoft Identity Platform che dimostri l'identità dell'app. L'uso di un segreto è appropriato nel caso in cui l'app sia un'applicazione client riservata. Un'applicazione client riservata è un'applicazione che può contenere credenziali in modo sicuro, ad esempio un client Web. Per archiviare le credenziali è necessario un server back-end attendibile.

Dopo la registrazione, all'app viene assegnato un identificatore univoco che condivide con Microsoft Identity Platform quando richiede token. Se l'app è un'applicazione client riservata, condividerà anche il segreto o la chiave pubblica a seconda che siano stati usati certificati o segreti.

Microsoft Identity Platform rappresenta le applicazioni usando un modello che soddisfa due funzioni principali:

• Identificare l'app in base ai protocolli di autenticazione supportati.
• Specificare tutti gli identificatori, gli URL, i segreti e le informazioni correlate necessarie per l'autenticazione.

Microsoft Identity Platform:

• Mantiene tutti i dati necessari per supportare l'autenticazione in fase di esecuzione.
• Mantiene tutti i dati per decidere a quali risorse un'app potrebbe avere bisogno di accedere e in quali circostanze una determinata richiesta deve essere soddisfatta.
• Fornisce l'infrastruttura per l'implementazione del provisioning di app all'interno del tenant dello sviluppatore dell'app e a qualsiasi altro tenant Microsoft Entra.
• Gestisce il consenso utente durante il tempo di richiesta del token e facilita il provisioning dinamico delle app tra tenant.

Il consenso è il processo di un proprietario della risorsa che concede l'autorizzazione per un'applicazione client per accedere alle risorse protette, in autorizzazioni specifiche, per conto del proprietario della risorsa. Microsoft Identity Platform:

• Consente a utenti e amministratori di concedere o negare dinamicamente il consenso all'app per accedere alle risorse per loro conto.
• Consente agli amministratori di decidere in ultima analisi quali app possono essere eseguite e quali utenti possono usare app specifiche, nonché come accedere alle risorse della directory.

App multi-tenant

In Microsoft Identity Platform un oggetto applicazione descrive un'applicazione. In fase di distribuzione, Microsoft Identity Platform usa l'oggetto applicazione come progetto per creare un'entità servizio, che rappresenta un'istanza concreta di un'applicazione all'interno di una directory o di un tenant. L'entità servizio definisce quello che l'app può effettivamente eseguire in una directory di destinazione specifica, chi può usarla, a quali risorse può accedere e così via. Microsoft Identity Platform crea un'entità servizio da un oggetto applicazione tramite il consenso.

Il diagramma seguente illustra un flusso di provisioning di Microsoft Identity Platform semplificato basato su consenso. Mostra due tenant: A e B.

• Il tenant A è il proprietario dell'applicazione.
• Il tenant B crea istanze dell'applicazione tramite un'entità servizio.

In questo flusso di provisioning:

1. Un utente del tenant B prova a eseguire l'accesso con l'app. L'endpoint di autorizzazione richiede un token per l'applicazione.
2. Le credenziali dell'utente vengono acquisite e verificate per l'autenticazione.
3. All'utente viene richiesto di specificare il consenso per l'app per ottenere l'accesso al tenant B.
4. Microsoft Identity Platform usa l'oggetto applicazione del tenant A come progetto per creare un'entità servizio nel tenant B.
5. L'utente riceve il token richiesto.

È possibile ripetere questo processo per più tenant. Il tenant A mantiene il progetto per l'app (oggetto applicazione). Gli utenti e gli amministratori di tutti gli altri tenant in cui all'app viene dato il consenso mantengono il controllo su quello che l'applicazione è autorizzata a eseguire tramite l'oggetto entità servizio corrispondente in ogni tenant. Per altre informazioni, vedere Oggetti applicazione e entità servizio in Microsoft Identity Platform.

Passaggi successivi

Per altre informazioni sull'autenticazione e l'autorizzazione in Microsoft Identity Platform, vedere gli articoli seguenti:

• Per informazioni sui concetti di base relativi all'autenticazione e all'autorizzazione, vedere Autenticazione e autorizzazione.
• Per informazioni su come vengono usati i token di accesso, i token di aggiornamento e i token ID nell'autenticazione e nell'autorizzazione, vedere Token di sicurezza.
• Per informazioni sul flusso di accesso delle app Web, desktop e per dispositivi mobili, vedere Flusso di accesso delle app.
• Per informazioni sull'autorizzazione corretta tramite attestazioni di token, vedere Proteggere le applicazioni e le API convalidando le attestazioni

Per altre informazioni sul modello di applicazione, vedere gli articoli seguenti:

• Per altre informazioni sugli oggetti applicazione e sulle entità servizio in Microsoft Identity Platform, vedere Come e perché le applicazioni vengono aggiunte all'ID Microsoft Entra.
• Per altre informazioni sulle app a tenant singolo e sulle app multi-tenant, vedere Tenancy in Microsoft Entra ID.
• Per altre informazioni su come Microsoft Entra ID fornisce anche Azure Active Directory B2C in modo che le organizzazioni possano accedere agli utenti, in genere clienti, usando identità di social networking come un account Google, vedere la documentazione di Azure Active Directory B2C.