Guida introduttiva: Aggiungere l'autenticazione dell'app all'app Web in esecuzione nel servizio app Azure

Informazioni su come abilitare l'autenticazione per l'app Web in esecuzione nel Servizio app di Azure e limitare l'accesso agli utenti dell'organizzazione.

In questa esercitazione apprenderai a:

• Configurare l'autenticazione per l'app Web.
• Limitare l'accesso all'app Web agli utenti dell'organizzazione usando Microsoft Entra come provider di identità.

Autenticazione automatica fornita da servizio app

servizio app fornisce supporto predefinito per l'autenticazione e l'autorizzazione, in modo da poter accedere agli utenti senza codice nell'app Web. L'uso del modulo facoltativo di autenticazione/autorizzazione servizio app semplifica l'autenticazione e l'autorizzazione per l'app. Quando si è pronti per l'autenticazione e l'autorizzazione personalizzati, si crea questa architettura.

L'autenticazione del servizio app fornisce:

• Attivare e configurare facilmente le impostazioni di portale di Azure e app.
• Non sono necessari SDK, linguaggi specifici o modifiche al codice dell'applicazione.
• Sono supportati diversi provider di identità:
  • Microsoft Entra
  • Account Microsoft
  • Facebook
  • Google
  • Twitter

Quando il modulo di autenticazione/autorizzazione è abilitato, ogni richiesta HTTP in ingresso passa attraverso di essa prima di essere gestita dal codice dell'app. Per altre informazioni, vedere Autenticazione e autorizzazione nel servizio app Azure.

1. Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account Azure gratuito prima di iniziare.

2. Creare e pubblicare un'app Web in servizio app

Per questa esercitazione è necessaria un'app Web distribuita nel servizio app. È possibile usare un'app Web esistente oppure seguire una delle guide introduttive per creare e pubblicare una nuova app Web in servizio app:

• ASP.NET Core
• Node.js
• Python
• Java

Indipendentemente dal fatto che si usi un'app Web esistente o ne crei una nuova, tenere presente quanto segue:

• Nome dell'app Web.
• Gruppo di risorse in cui viene distribuita l'app Web.

Questi nomi saranno necessari nel corso di questa esercitazione.

3. Configurare l'autenticazione e l'autorizzazione

Dopo aver eseguito un'app Web in servizio app, abilitare l'autenticazione e l'autorizzazione. Si usa Microsoft Entra come provider di identità. Per altre informazioni, vedere Configurare l'autenticazione di Microsoft Entra per l'applicazione servizio app.

Configurazione della forza lavoro

1. Nel menu del portale di Azure selezionare Gruppi di risorse oppure cercare e selezionare Gruppi di risorse in una pagina qualsiasi.

2. In Gruppi di risorse cercare e selezionare il gruppo di risorse desiderato. In Panoramica selezionare la pagina di gestione dell'app.

   

3. Nel menu a sinistra dell'app selezionare Autenticazione e quindi Aggiungi provider di identità.

4. Nella pagina Aggiungi un provider di identità selezionare Microsoft come provider di identità per accedere alle identità Microsoft e Microsoft Entra.

5. In Tipo di tenant selezionare Configurazione forza lavoro (tenant corrente) per dipendenti e guest aziendali.

6. Per Tipo di registrazione>dell'app Selezionare Crea nuova registrazione app per creare una nuova registrazione dell'app in Microsoft Entra.

7. Immettere un nome visualizzato per l'applicazione. Gli utenti dell'applicazione potrebbero vedere il nome visualizzato quando usano l'app, ad esempio durante l'accesso.

8. Per Registrazione>app Tipi di account supportati selezionare Tenant singolo tenant corrente in modo che solo gli utenti dell'organizzazione possano accedere all'app Web.

9. Nella sezione Controlli aggiuntivi selezionare:

   • Consenti richieste solo da questa applicazione per i requisiti dell'applicazione client
   • Consenti richieste da qualsiasi identità per i requisiti di identità
   • Consentire le richieste solo dal tenant dell'autorità di certificazione per il requisito del tenant

10. Nella sezione impostazioni di autenticazione servizio app impostare:

    • Richiedere l'autenticazione per l'autenticazione
    • Reindirizzamento trovato HTTP 302: consigliato per i siti Web per le richieste non autenticate
    • Casella di archiviazione token

11. Nella parte inferiore della pagina Aggiungi un provider di identità selezionare Aggiungi per abilitare l'autenticazione per l'app Web.

    

    A questo punto si dispone di un'app protetta tramite l'autenticazione e l'autorizzazione del servizio app.

    Nota

    Per consentire gli account di altri tenant, modificare l'URL dell'autorità emittente in 'https://login.microsoftonline.com/common/v2.0' modificando il provider di identità dal pannello 'Autenticazione'.

Configurazione esterna

1. Nel menu del portale di Azure selezionare Gruppi di risorse oppure cercare e selezionare Gruppi di risorse in una pagina qualsiasi.

2. In Gruppi di risorse cercare e selezionare il gruppo di risorse desiderato. In Panoramica selezionare la pagina di gestione dell'app.

   

3. Nel menu a sinistra dell'app selezionare Autenticazione e quindi Aggiungi provider di identità.

4. Nella pagina Aggiungi un provider di identità selezionare Microsoft come provider di identità per accedere alle identità Microsoft e Microsoft Entra.

5. In Tipo di tenant selezionare Configurazione esterna per gli utenti esterni.

6. Selezionare Crea nuova registrazione app per creare una nuova registrazione dell'app.

7. Selezionare un tenant esistente da usare nell'elenco a discesa oppure selezionare Crea nuovo per creare un nuovo tenant esterno.

   

8. (Facoltativo) Nella pagina Crea un tenant aggiungere il nome tenant* e il nome di dominio. Selezionare un percorso e selezionare Rivedi e crea e quindi Crea.

   

9. Selezionare Configura per configurare l'autenticazione esterna.

10. Il browser apre Configura l'autenticazione del cliente. In Configura accesso selezionare Crea nuovo per creare un'esperienza di accesso per gli utenti esterni.

11. Immettere un nome per il flusso utente.

12. Per questa guida introduttiva, selezionare Posta elettronica e password che consente ai nuovi utenti di iscriversi e accedere usando un indirizzo di posta elettronica come nome di accesso e una password come prima credenziale di fattore.

13. Selezionare Crea per creare il flusso utente.

    

14. Selezionare Avanti per personalizzare la personalizzazione.

15. Aggiungere il logo aziendale, selezionare un colore di sfondo e selezionare un layout di accesso.

    

16. Selezionare Avanti. Se il tenant selezionato ha già una configurazione di personalizzazione, è necessario confermare che si vuole eseguirne l'override.

17. Selezionare Configura nella scheda Verifica per confermare l'aggiornamento del tenant esterno.

18. Il browser torna alla pagina Aggiungi un provider di identità.

19. Nella sezione Controlli aggiuntivi selezionare:

    • Consenti richieste solo da questa applicazione per i requisiti dell'applicazione client
    • Consenti richieste da qualsiasi identità per i requisiti di identità
    • Consentire le richieste solo dal tenant dell'autorità di certificazione per il requisito del tenant

20. Nella sezione impostazioni di autenticazione servizio app impostare:

    • Richiedere l'autenticazione per l'autenticazione
    • Reindirizzamento trovato HTTP 302: consigliato per i siti Web per le richieste non autenticate
    • Casella di archiviazione token

21. Nella parte inferiore della pagina Aggiungi un provider di identità selezionare Aggiungi per abilitare l'autenticazione per l'app Web.

    

4. Verificare l'accesso limitato all'app Web

Quando è stato abilitato il modulo di autenticazione/autorizzazione servizio app nella sezione precedente, è stata creata una registrazione dell'app nel tenant esterno o nella forza lavoro. La registrazione dell'app ha il nome visualizzato creato in un passaggio precedente.

1. Per controllare le impostazioni, accedere all'interfaccia di amministrazione di Microsoft Entra come almeno uno sviluppatore di applicazioni. Se si sceglie la configurazione esterna, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno con l'app Web dal menu Sottoscrizioni directory + . Quando si è nel tenant corretto:

2. Passare a Applicazioni> di identità>Registrazioni app e selezionare Applicazioni> Registrazioni app dal menu.

3. Selezionare la registrazione app creata in precedenza.

4. Nella panoramica verificare che l'opzione Tipi di account supportati sia impostata su Solo l'organizzazione personale.

5. Per verificare che l'accesso all'app sia limitato agli utenti dell'organizzazione, passare a Panoramica dell'app Web e selezionare il collegamento Dominio predefinito. In alternativa, avviare un browser in modalità in incognito o privato e passare a https://<app-name>.azurewebsites.net.

   

6. Si dovrebbe essere indirizzati a una pagina di accesso protetta per verificare che gli utenti non autenticati non siano autorizzati ad accedere al sito.

7. Eseguire l'accesso come utente nell'organizzazione per ottenere l'accesso al sito. Si può anche avviare un nuovo browser e provare ad accedere con un account personale per verificare che gli utenti esterni all'organizzazione non siano autorizzati ad accedere.

5. Pulire le risorse

Se tutti i passaggi di questa esercitazione su più parti sono stati completati, è stato creato un servizio app, servizio app piano di hosting e un account di archiviazione in un gruppo di risorse. È stata creata anche una registrazione dell'app in Microsoft Entra ID. Se si sceglie la configurazione esterna, è possibile che sia stato creato un nuovo tenant esterno. Quando non sono più necessarie, eliminare le risorse e la registrazione per non continuare ad accumulare costi.

In questa esercitazione apprenderai a:

• Eliminare le risorse di Azure create durante l'esercitazione.

Eliminare il gruppo di risorse

Nel portale di Azure selezionare Gruppi di risorse dal menu del portale e selezionare il gruppo di risorse che contiene il piano servizio app e servizio app.

Fare clic su Elimina gruppo di risorse per eliminare il gruppo e tutte le risorse al suo interno.

L'esecuzione di questo comando potrebbe richiedere diversi minuti.

Eliminare la registrazione app

Nell'interfaccia di amministrazione di Microsoft Entra selezionare Applicazioni> Registrazioni app. Selezionare quindi l'applicazione creata.

Nella panoramica della registrazione app selezionare Elimina.

Eliminare il tenant esterno

Se è stato creato un nuovo tenant esterno, è possibile eliminarlo. Nell'interfaccia di amministrazione di Microsoft Entra passare a Panoramica delle>identità>Gestisci tenant.

Selezionare il tenant da eliminare e quindi selezionare Elimina.

Potrebbe essere necessario completare le azioni necessarie prima di poter eliminare il tenant. Ad esempio, potrebbe essere necessario eliminare tutti i flussi utente e le registrazioni delle app nel tenant.

Se si è pronti per eliminare il tenant, selezionare Elimina.

Passaggi successivi

Questa esercitazione ha descritto come:

• Configurare l'autenticazione per l'app Web.
• Limitare l'accesso all'app Web agli utenti dell'organizzazione.

servizio app accede all'archiviazione