Nuova esperienza di Registrazioni app per Azure Active Directory B2C

  • Articolo

La nuova esperienza di Registrazioni app per Azure Active Directory B2C (Azure AD B2C) è ora disponibile a livello generale. Se si ha familiarità con l'esperienza delle applicazioni per la registrazione di applicazioni per Azure AD B2C, denominata "esperienza legacy", questa guida illustra come iniziare a usare la nuova esperienza.

Panoramica

In precedenza, era necessario gestire le applicazioni rivolte ai consumer di Azure AD B2C separatamente dalle altre app usando l'esperienza legacy. Ciò significava esperienze di creazione di app diverse in posizioni diverse in Azure.

La nuova esperienza mostra tutte le registrazioni dell'app Azure AD B2C e le registrazioni dell'app Microsoft Entra in un'unica posizione e offre un modo coerente per gestirle. Dalla creazione di un'app rivolta ai clienti alla gestione di un'app con autorizzazioni di Microsoft Graph per la gestione delle risorse, è sufficiente apprendere un modo per eseguire le operazioni.

È possibile raggiungere la nuova esperienza passando a Registrazioni app in un tenant di Azure AD B2C sia da Azure AD B2C che dai servizi MICROSOFT Entra ID nel portale di Azure.

L'esperienza di Registrazioni app di Azure AD B2C si basa sull'esperienza di registrazione delle app generale per qualsiasi tenant di Microsoft Entra, ma è personalizzata per i tenant di Azure AD B2C.

Cosa non cambia?

  • Le applicazioni e le configurazioni correlate sono disponibili così come sono nella nuova esperienza. Non è necessario registrare nuovamente le applicazioni e gli utenti delle applicazioni non dovranno eseguire di nuovo l'accesso.

Nota

Per visualizzare tutte le applicazioni create in precedenza, passare al pannello Registrazioni app e selezionare la scheda Tutte le applicazioni. Verranno visualizzate le app create nell'esperienza legacy, la nuova esperienza e quelle create nel servizio Microsoft Entra.

Nuove funzionalità principali

  • Un elenco di app unificato mostra tutte le applicazioni che eseguono l'autenticazione con Azure AD B2C e l'ID Microsoft Entra in un'unica posizione. Inoltre, è possibile sfruttare le funzionalità già disponibili per le applicazioni Microsoft Entra, tra cui la data di creazione , lo stato certificati e segreti , la barra di ricerca e molto altro ancora.

  • La registrazione combinata delle app consente di registrare rapidamente un'app, indipendentemente dal fatto che si tratti di un'app rivolta ai clienti o di un'app per accedere a Microsoft Graph.

  • Il riquadro Endpoint consente di identificare rapidamente gli endpoint pertinenti per lo scenario, tra cui la configurazione di OpenID Connect, i metadati SAML, l'API Microsoft Graph e gli endpoint del flusso utente OAuth 2.0.

  • Le autorizzazioni API ed espongono un'API offrono un ambito, un'autorizzazione e una gestione del consenso più estesi. È ora anche possibile assegnare le autorizzazioni MS Graph a un'app.

  • I proprietari e il manifesto sono ora disponibili per le app che eseguono l'autenticazione con Azure AD B2C. È possibile aggiungere proprietari per le registrazioni e modificare direttamente le proprietà dell'applicazione usando l'editor del manifesto.

Nuovi tipi di account supportati

Nella nuova esperienza si seleziona un tipo di account di supporto dalle opzioni seguenti:

  • Account solo in questa directory organizzativa
  • Account in qualsiasi directory organizzativa (qualsiasi directory di Microsoft Entra - Multi-tenant)
  • Account in qualsiasi provider di identità o directory organizzativa (per autenticare gli utenti con flussi utente)

Per comprendere i diversi tipi di account, selezionare Guida per scegliere nell'esperienza di creazione.

Nell'esperienza legacy, le app sono state sempre create come applicazioni rivolte ai clienti. Per tali app, il tipo di account è impostato su Account in qualsiasi provider di identità o directory organizzativa (per l'autenticazione degli utenti con flussi utente).

Nota

Questa opzione è necessaria per poter eseguire i flussi utente di Azure AD B2C per autenticare gli utenti per questa applicazione. Informazioni su come registrare un'applicazione da usare con i flussi utente.

È anche possibile usare questa opzione per usare Azure AD B2C come provider di servizi SAML. Altre informazioni.

Applicazioni per scenari DevOps

È possibile usare gli altri tipi di account per creare un'app per gestire gli scenari DevOps, ad esempio usando Microsoft Graph per caricare i criteri di Identity Experience Framework o effettuare il provisioning degli utenti. Informazioni su come registrare un'applicazione Microsoft Graph per gestire le risorse di Azure AD B2C.

È possibile che non vengano visualizzate tutte le autorizzazioni di Microsoft Graph, perché molte di queste autorizzazioni non si applicano agli utenti consumer di Azure B2C. Altre informazioni sulla gestione degli utenti con Microsoft Graph.

L'ambito openid è necessario in modo che Azure AD B2C possa consentire agli utenti di accedere a un'app. L'ambito offline_access è necessario per rilasciare token di aggiornamento per un utente. Questi ambiti sono stati aggiunti in precedenza e dato il consenso amministratore per impostazione predefinita. È ora possibile aggiungere facilmente le autorizzazioni per questi ambiti durante il processo di creazione assicurando che l'opzione Concedi il consenso amministratore a openid e offline_access autorizzazioni sia selezionata. In caso contrario, le autorizzazioni di Microsoft Graph possono essere aggiunte con il consenso amministratore nelle impostazioni delle autorizzazioni API per un'app esistente.

Altre informazioni sulle autorizzazioni e sul consenso.

Piattaforme/Autenticazione: URL di risposta/URI di reindirizzamento

Nell'esperienza legacy i vari tipi di piattaforma sono stati gestiti in Proprietà come URL di risposta per app Web/API e URI di reindirizzamento per i client nativi. I "client nativi" sono noti anche come "client pubblici" e includono app per iOS, macOS, Android e altri tipi di applicazioni per dispositivi mobili e desktop.

Nella nuova esperienza gli URL di risposta e gli URI di reindirizzamento sono entrambi denominati URI di reindirizzamento e sono disponibili nella sezione Autenticazione di un'app. Registrazioni app non sono limitati a essere un'app Web o un'applicazione nativa. È possibile usare la stessa registrazione dell'app per tutti questi tipi di piattaforma registrando i rispettivi URI di reindirizzamento.

Gli URI di reindirizzamento devono essere associati a un tipo di app, web o pubblico (per dispositivi mobili e desktop). Altre informazioni sugli URI di reindirizzamento

Le piattaforme iOS/macOS e Android sono un tipo di client pubblico. Offrono un modo semplice per configurare le app iOS/macOS o Android con gli URI di reindirizzamento corrispondenti da usare con MSAL. Altre informazioni sulle opzioni di configurazione dell'applicazione.

Certificati e segreti dell'applicazione

Nella nuova esperienza, invece di Chiavi, si usa il pannello Certificati e segreti per gestire certificati e segreti. I certificati e i segreti consentono alle applicazioni di identificarsi al servizio di autenticazione quando ricevono token in un percorso indirizzabile Web (usando uno schema HTTPS). È consigliabile usare un certificato anziché un segreto client per scenari di credenziali client durante l'autenticazione con Microsoft Entra ID. I certificati non possono essere usati per eseguire l'autenticazione con Azure AD B2C.

Funzionalità non applicabili nei tenant di Azure AD B2C

Le seguenti funzionalità di registrazioni dell'app Microsoft Entra non sono applicabili o disponibili nei tenant di Azure AD B2C:

  • Ruoli e amministratori : attualmente non disponibile per Azure AD B2C.
  • Personalizzazione: la personalizzazione dell'interfaccia utente/esperienza utente è configurata nell'esperienza di personalizzazione aziendale o come parte di un flusso utente. Informazioni su come personalizzare l'interfaccia utente in Azure Active Directory B2C.
  • Verifica del dominio dell'editore: l'app è registrata in .onmicrosoft.com, che non è un dominio verificato. Inoltre, il dominio dell'editore viene usato principalmente per concedere il consenso dell'utente, che non si applica alle app di Azure AD B2C per l'autenticazione utente. Altre informazioni sul dominio del server di pubblicazione.
  • Configurazione del token: il token viene configurato come parte di un flusso utente anziché come app.
  • L'esperienza guide introduttive non è attualmente disponibile per i tenant di Azure AD B2C.

Limiti

La nuova esperienza presenta le limitazioni seguenti:

  • Al momento, Azure AD B2C non distingue tra la possibilità di rilasciare token di accesso o ID per i flussi impliciti; entrambi i tipi di token sono disponibili per il flusso di concessione implicita se l'opzione Token ID è selezionata nel pannello Autenticazione .
  • La modifica del valore per gli account supportati non è supportata nell'interfaccia utente. Sarà necessario usare il manifesto dell'app, a meno che non si passi da Microsoft Entra a tenant singolo e multi-tenant.

Passaggi successivi

Per iniziare a usare la nuova esperienza di registrazione dell'app: