Condividi tramite

Panoramica tecnica e delle funzionalità di Azure Active Directory B2C

Importante

A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.

Questo articolo è complementare a Informazioni su Azure Active Directory B2C e fornisce un'introduzione più approfondita al servizio. Verranno illustrate le risorse principali utilizzate nel servizio, le relative funzionalità e verrà illustrato come consentono di offrire un'esperienza di identità completamente personalizzata per i clienti nelle applicazioni.

Tenant di Azure AD B2C

In Azure Active Directory B2C (Azure AD B2C), un tenant rappresenta l'organizzazione ed è una directory di utenti. Ogni tenant di Azure AD B2C è distinto e separato dagli altri tenant di Azure AD B2C. Un tenant di Azure AD B2C è anche diverso da un tenant di Microsoft Entra, che potrebbe essere già disponibile.

Le risorse principali usate in un tenant di Azure AD B2C sono:

  • Directory : questa è la posizione in cui Azure AD B2C archivia le credenziali degli utenti, i dati del profilo e le registrazioni delle applicazioni.
  • Registrazioni delle applicazioni : è possibile registrare le applicazioni Web, per dispositivi mobili e native con Azure AD B2C per abilitare la gestione delle identità. È anche possibile registrare tutte le API che si desidera proteggere con Azure AD B2C.
  • Flussi utente e criteri personalizzati : vengono usati per creare esperienze di identità per le applicazioni con flussi utente predefiniti e criteri personalizzati completamente configurabili:
    • I flussi utente consentono di abilitare rapidamente le attività di identità comuni, ad esempio l'iscrizione, l'accesso e la modifica del profilo.
    • I criteri personalizzati ti consentono di creare flussi di lavoro di identità complessi univoci per la tua organizzazione, i clienti, i dipendenti, i partner e i cittadini.
  • Opzioni di accesso: Azure AD B2C offre varie opzioni di iscrizione e accesso per gli utenti delle applicazioni:
    • Accesso tramite nome utente, indirizzo di posta elettronica e telefono: è possibile configurare gli account locali di Azure AD B2C per consentire l'iscrizione e l'accesso con un nome utente, un indirizzo di posta elettronica, un numero di telefono o una combinazione di metodi.
    • Provider di identità social: è possibile federarsi con provider social come Facebook, LinkedIn o X.
    • Provider di identità esterni : è anche possibile eseguire la federazione con protocolli di identità standard come OAuth 2.0, OpenID Connect e altri.
  • Chiavi : aggiungere e gestire le chiavi di crittografia per la firma e la convalida di token, segreti client, certificati e password.

Un tenant di Azure AD B2C è la prima risorsa che è necessario creare per iniziare a usare Azure AD B2C. Scopri come:

Account in Azure AD B2C

Azure AD B2C definisce diversi tipi di account utente. Microsoft Entra ID, Microsoft Entra B2B e Azure Active Directory B2C condividono questi tipi di account.

  • Account aziendale : gli utenti con account aziendali possono gestire le risorse in un tenant e, con un ruolo di amministratore, possono anche gestire i tenant. Gli utenti con account aziendali possono creare nuovi account consumer, reimpostare le password, bloccare/sbloccare gli account e impostare le autorizzazioni o assegnare un account a un gruppo di sicurezza.
  • Account ospite - si tratta di utenti esterni invitati al tenant come ospiti. Uno scenario tipico per invitare un utente guest al tenant di Azure AD B2C consiste nel condividere le responsabilità di amministrazione.
  • Account consumer : si tratta di account gestiti dai flussi utente di Azure AD B2C e dai criteri personalizzati.

Screenshot della pagina di gestione utenti di Azure AD B2C nel portale di Azure.
Figura: directory degli utenti all'interno di un tenant di Azure AD B2C nel portale di Azure.

Account dei consumatori

Con un account consumer , gli utenti possono accedere alle applicazioni protette con Azure AD B2C. Gli utenti con account consumer non possono, tuttavia, accedere alle risorse di Azure, ad esempio il portale di Azure.

Un account consumer può essere associato ai seguenti tipi di identità:

  • Identità locale , con il nome utente e la password archiviati localmente nella directory di Azure AD B2C. Queste identità sono spesso dette "account locali".
  • Identità di social networking o aziendali , in cui l'identità dell'utente è gestita da un provider di identità federato. Ad esempio, Facebook, Google, Microsoft, ADFS o Salesforce.

Un utente con un account consumer può accedere con più identità. Ad esempio nome utente, e-mail, ID dipendente, ID governativo e altri. Un singolo account può avere più identità, sia locali che sociali.

Identità degli account consumer.
Figura: Un singolo account consumer con più identità in Azure AD B2C

Per altre informazioni, vedere Panoramica degli account utente in Azure Active Directory B2C.

Opzioni di accesso all'account locale

Azure AD B2C offre vari modi in cui è possibile autenticare un utente. Gli utenti possono accedere a un account locale utilizzando nome utente e password, verifica telefonica (nota anche come autenticazione senza password). L'iscrizione tramite posta elettronica è abilitata per impostazione predefinita nelle impostazioni del provider di identità dell'account locale.

Scopri di più sulle opzioni di accesso o su come configurare il provider di identità dell'account locale.

Attributi del profilo utente

Azure AD B2C consente di gestire gli attributi comuni dei profili degli account consumer. Ad esempio, visualizza nome, cognome, nome, città e altri.

È anche possibile estendere lo schema ID Microsoft Entra sottostante per archiviare informazioni aggiuntive sugli utenti. Ad esempio, il paese o l'area geografica di residenza, la lingua preferita e le preferenze, ad esempio se si desidera iscriversi a una newsletter o abilitare l'autenticazione a più fattori. Per altre informazioni, vedere:

Accesso tramite fornitori di identità esterni

È possibile configurare Azure AD B2C per consentire agli utenti di accedere all'applicazione con le credenziali dei provider di identità aziendali e di social networking. Azure AD B2C può essere federato con i provider di identità che supportano i protocolli OAuth 1.0, OAuth 2.0, OpenID Connect e SAML. Ad esempio, Facebook, account Microsoft, Google, X e Active Directory Federation Service (AD FS).

Diagramma che mostra i loghi aziendali per un campione di provider di identità esterni.

Con i provider di identità esterni, è possibile offrire ai consumatori la possibilità di accedere con gli account social o aziendali esistenti, senza dover creare un nuovo account solo per l'applicazione.

Nella pagina di iscrizione o accesso, Azure AD B2C presenta un elenco di provider di identità esterni che l'utente può scegliere per l'accesso. Una volta selezionato uno dei provider di identità esterni, vengono reindirizzati al sito Web del provider selezionato per completare il processo di accesso. Dopo che l'utente ha eseguito l'accesso con successo, viene reindirizzato ad Azure AD B2C per l'autenticazione dell'account nell'applicazione.

Diagramma che mostra un esempio di accesso da dispositivo mobile con un account social (Facebook).

Per altre informazioni sui provider di identità, vedere Aggiungere provider di identità alle applicazioni in Azure Active Directory B2C.

Esperienze di identità: flussi utente o criteri personalizzati

In Azure AD B2C è possibile definire la logica di business seguita dagli utenti per ottenere l'accesso all'applicazione. Ad esempio, è possibile determinare la sequenza dei passaggi seguiti dagli utenti quando accedono, si registrano, modificano il proprio profilo o reimpostano una password. Dopo aver completato la sequenza, l'utente acquisisce un token e ottiene l'accesso all'applicazione.

In Azure AD B2C sono disponibili due modi per offrire esperienze utente di identità:

  • Flussi utente : si tratta di criteri predefiniti, integrati e configurabili forniti in modo da poter creare esperienze di iscrizione, accesso e modifica dei criteri in pochi minuti.

  • Criteri personalizzati : consentono di creare percorsi utente personalizzati per scenari complessi di esperienza di identità.

Lo screenshot seguente mostra l'interfaccia utente delle impostazioni del flusso utente e i file di configurazione dei criteri personalizzati.

Screenshot che mostra l'interfaccia utente delle impostazioni del flusso utente e un file di configurazione della politica personalizzata.

Per altre informazioni sui flussi utente e sui criteri personalizzati e per decidere quale metodo funzionerà meglio per le esigenze aziendali, vedere Panoramica dei flussi utente e dei criteri personalizzati.

Interfaccia utente

In Azure AD B2C è possibile creare le esperienze di identità degli utenti in modo che le pagine visualizzate si integrino perfettamente con l'aspetto del marchio. È possibile ottenere il controllo quasi completo del contenuto HTML e CSS presentato agli utenti quando procedono attraverso i percorsi di identità dell'applicazione. Con questa flessibilità, è possibile mantenere la coerenza visiva e del marchio tra l'applicazione e Azure AD B2C.

Annotazioni

La personalizzazione delle pagine di cui viene eseguito il rendering da terze parti quando si usano account di social networking è limitata alle opzioni fornite da tale provider di identità e non rientra nel controllo di Azure AD B2C.

Per informazioni sulla personalizzazione dell'interfaccia utente, vedere:

Dominio personalizzato

È possibile personalizzare il dominio Azure AD B2C negli URI di reindirizzamento per l'applicazione. Il dominio personalizzato consente di creare un'esperienza senza soluzione di continuità in modo che le pagine visualizzate si fondano perfettamente con il nome di dominio dell'applicazione. Dal punto di vista dell'utente, rimangono nel dominio durante il processo di accesso anziché reindirizzare al dominio predefinito di Azure AD B2C .b2clogin.com.

Per ulteriori informazioni, vedere Abilitare i domini personalizzati.

Localizzazione

La personalizzazione della lingua in Azure AD B2C consente di adattarsi a lingue diverse in base alle esigenze dei clienti. Microsoft fornisce localizzazioni per 36 lingue, ma è anche possibile fornire localizzazioni personalizzate per qualsiasi lingua.

Screenshot di tre pagine di accesso che mostrano il testo dell'interfaccia utente in diverse lingue.

Vedere il funzionamento della localizzazione in Personalizzazione della lingua in Azure Active Directory B2C.

Verifica tramite posta elettronica

Azure AD B2C garantisce indirizzi di posta elettronica validi richiedendo ai clienti di verificarli durante i flussi di iscrizione e reimpostazione della password. In questo modo si impedisce inoltre agli attori malintenzionati di utilizzare processi automatizzati per generare account fraudolenti nelle applicazioni.

Screenshot che mostrano il processo di verifica dell'e-mail.

È possibile personalizzare l'e-mail inviata agli utenti che si iscrivono per utilizzare le applicazioni. Utilizzando un provider di posta elettronica di terze parti, è possibile utilizzare il proprio modello di posta elettronica e l'indirizzo e l'oggetto del mittente, nonché supportare la localizzazione e le impostazioni personalizzate della password monouso (OTP). Per altre informazioni, vedere:

Aggiungere la logica di business personalizzata e chiamare le API RESTful

È possibile eseguire l'integrazione con un'API RESTful sia nei flussi utente che nei criteri personalizzati. La differenza è che, nei flussi utente, si effettuano chiamate in posizioni specifiche, mentre nei criteri personalizzati si aggiunge la propria logica di business al percorso. Questa funzionalità consente di recuperare e utilizzare i dati da origini di identità esterne. Azure AD B2C può scambiare dati con un servizio RESTful per:

  • Visualizza messaggi di errore personalizzati e intuitivi.
  • Convalidare l'input dell'utente per impedire che dati non validi persistano nella directory utente. Ad esempio, è possibile modificare i dati inseriti dall'utente, ad esempio scrivere in maiuscolo il nome se lo ha inserito in minuscolo.
  • Arricchisci i dati degli utenti integrandoli ulteriormente con la tua applicazione line-of-business aziendale.
  • Utilizzando le chiamate RESTful, è possibile inviare notifiche push, aggiornare i database aziendali, eseguire un processo di migrazione degli utenti, gestire le autorizzazioni, controllare i database e altro ancora.

I programmi fedeltà sono un altro scenario abilitato dal supporto di Azure AD B2C per la chiamata delle API REST. Ad esempio, il servizio RESTful può ricevere l'indirizzo di posta elettronica di un utente, eseguire query sul database dei clienti, quindi restituire il numero di fedeltà dell'utente ad Azure AD B2C.

I dati restituiti possono essere archiviati nell'account di directory dell'utente in Azure AD B2C. I dati possono quindi essere ulteriormente valutati nei passaggi successivi del criterio o essere inclusi nel token di accesso.

Diagramma che mostra l'integrazione line-of-business in un'applicazione per dispositivi mobili.

È possibile aggiungere una chiamata API REST in qualsiasi passaggio di un percorso utente definito da un criterio personalizzato. Ad esempio, è possibile chiamare un'API REST:

  • Durante l'accesso, appena prima che Azure AD B2C convalidi le credenziali
  • Subito dopo l'accesso
  • Prima che Azure AD B2C crei un nuovo account nella directory
  • Dopo che Azure AD B2C ha creato un nuovo account nella directory
  • Prima che Azure AD B2C rilasci un token di accesso

Per altre informazioni, vedere Informazioni sui connettori API in Azure AD B2C.

Protocolli e token

  • Per le applicazioni, Azure AD B2C supporta i protocolli OAuth 2.0, OpenID Connect e SAML per i percorsi utente. L'applicazione avvia il percorso utente inviando richieste di autenticazione ad Azure AD B2C. Il risultato di una richiesta ad Azure AD B2C è un token di sicurezza, ad esempio un token ID, un token di accesso o un token SAML. Questo token di sicurezza definisce l'identità dell'utente all'interno dell'applicazione.

  • Per le identità esterne, Azure AD B2C supporta la federazione con qualsiasi provider di identità OAuth 1.0, OAuth 2.0, OpenID Connect e SAML.

Il diagramma seguente illustra come Azure AD B2C può comunicare usando vari protocolli all'interno dello stesso flusso di autenticazione:

Diagramma della federazione di un'app client basata su OIDC con un IdP basato su SAML.

  1. L'applicazione relying party avvia una richiesta di autorizzazione ad Azure AD B2C usando OpenID Connect.
  2. Quando un utente dell'applicazione sceglie di accedere usando un provider di identità esterno che usa il protocollo SAML, Azure AD B2C richiama il protocollo SAML per comunicare con tale provider di identità.
  3. Dopo che l'utente ha completato l'operazione di accesso con il provider di identità esterno, Azure AD B2C restituisce il token all'applicazione relying party usando OpenID Connect.

Integrazione di applicazioni

Quando un utente desidera accedere all'applicazione, l'applicazione avvia una richiesta di autorizzazione a un flusso utente o a un endpoint personalizzato fornito da criteri. Il flusso utente o i criteri personalizzati definiscono e controllano l'esperienza dell'utente. Quando completano un flusso utente, ad esempio il flusso di iscrizione o di accesso , Azure AD B2C genera un token, quindi reindirizza l'utente all'applicazione. Questo token è specifico di Azure AD B2C e non deve essere confuso con il token rilasciato da provider di identità di terze parti quando si usano account di social networking. Per informazioni su come usare token di terze parti, vedere Passare un token di accesso del provider di identità all'applicazione in Azure Active Directory B2C.

App per dispositivi mobili con frecce che mostrano il flusso tra la pagina di accesso di Azure AD B2C.

Più applicazioni possono usare lo stesso flusso utente o criteri personalizzati. Una singola applicazione può usare più flussi utente o criteri personalizzati.

Ad esempio, per accedere a un'applicazione, l'applicazione usa il flusso utente di iscrizione o accesso . Dopo aver eseguito l'accesso, l'utente potrebbe voler modificare il proprio profilo, quindi l'applicazione avvia un'altra richiesta di autorizzazione, questa volta utilizzando il flusso utente di modifica del profilo .

Autenticazione a più fattori (MFA)

Azure AD B2C Multifactor Authentication (MFA) consente di proteggere l'accesso ai dati e alle applicazioni mantenendo la semplicità per gli utenti. Fornisce una maggiore sicurezza richiedendo una seconda forma di autenticazione e fornisce un'autenticazione avanzata offrendo una gamma di metodi di autenticazione facili da usare.

Gli utenti potrebbero essere sottoposti o meno all'autenticazione multifattoriale in base alle decisioni di configurazione che puoi prendere come amministratore.

Per altre informazioni, vedere Abilitare l'autenticazione a più fattori in Azure Active Directory B2C.

Accesso condizionale

Le funzionalità di rilevamento dei rischi di Microsoft Entra ID Protection, inclusi gli utenti a rischio e gli accessi a rischio, vengono rilevate e visualizzate automaticamente nel tenant di Azure AD B2C. È possibile creare criteri di accesso condizionale che usano questi rilevamenti dei rischi per determinare le azioni correttive e applicare i criteri dell'organizzazione.

Diagramma che mostra il flusso di accesso condizionale.

Azure AD B2C valuta ogni evento di accesso e garantisce che tutti i requisiti dei criteri siano soddisfatti prima di concedere l'accesso all'utente. Gli utenti o gli accessi rischiosi possono essere bloccati o sottoposti a una correzione specifica, ad esempio l'autenticazione a più fattori (MFA). Per ulteriori informazioni, vedere Identity Protection e Accesso Condizionale.

Complessità delle password

Durante l'iscrizione o la reimpostazione della password, gli utenti devono fornire una password che soddisfi le regole di complessità. Per impostazione predefinita, Azure AD B2C applica criteri per le password complesse. Azure AD B2C offre anche opzioni di configurazione per specificare i requisiti di complessità delle password usate dai clienti quando usano gli account locali.

Screenshot dell'interfaccia utente per l'esperienza di complessità delle password.

Per altre informazioni, vedere Configurare i requisiti di complessità per le password in Azure AD B2C.

Forza la reimpostazione della password

In qualità di amministratore tenant di Azure AD B2C, è possibile reimpostare la password di un utente se l'utente dimentica la password. In alternativa, è possibile impostare un criterio per forzare gli utenti a reimpostare periodicamente la password. Per ulteriori informazioni, consulta Configurare un flusso di reimpostazione forzata della password.

Forza il flusso di reimpostazione della password.

Blocco intelligente dell'account

Per evitare tentativi di individuazione delle password di forza bruta, Azure AD B2C usa una strategia sofisticata per bloccare gli account in base all'indirizzo IP della richiesta, alle password immesse e a diversi altri fattori. La durata del blocco viene aumentata automaticamente in base al rischio e al numero di tentativi.

Screenshot dell'interfaccia utente per il blocco dell'account con frecce che evidenziano la notifica di blocco.

Per altre informazioni sulla gestione delle impostazioni di protezione con password, vedere Attenuare gli attacchi alle credenziali in Azure AD B2C.

Proteggi le risorse e le identità dei clienti

Azure AD B2C è conforme agli impegni in materia di sicurezza, privacy e altri impegni descritti nel Centro protezione di Microsoft Azure.

Le sessioni vengono modellate come dati crittografati, con la chiave di decrittografia nota solo per il servizio token di sicurezza di Azure AD B2C. Viene utilizzato un algoritmo di crittografia forte, AES-192. Tutti i percorsi di comunicazione sono protetti con TLS per garantire riservatezza e integrità. Il nostro servizio token di sicurezza utilizza un certificato EV (Extended Validation) per TLS. In generale, il servizio token di sicurezza attenua gli attacchi XSS (Cross-Site Scripting) non effettuando il rendering di input non attendibili.

Diagramma dei dati sicuri in transito e a riposo.

Accesso ai dati degli utenti

I tenant di Azure AD B2C condividono molte caratteristiche con i tenant aziendali di Microsoft Entra usati per dipendenti e partner. Gli aspetti condivisi includono meccanismi per la visualizzazione dei ruoli amministrativi, l'assegnazione dei ruoli e le attività di controllo.

È possibile assegnare ruoli per controllare chi può eseguire determinate azioni amministrative in Azure AD B2C, tra cui:

  • Creare e gestire tutti gli aspetti dei flussi utente
  • Creare e gestire lo schema degli attributi disponibile per tutti i flussi utente
  • Configurare i provider di identità per l'utilizzo nella federazione diretta
  • Creare e gestire i criteri del framework di attendibilità in Identity Experience Framework (criteri personalizzati)
  • Gestire i segreti per la federazione e la crittografia in Identity Experience Framework (criteri personalizzati)

Per altre informazioni sui ruoli di Microsoft Entra, incluso il supporto del ruolo di amministrazione di Azure AD B2C, vedere Autorizzazioni del ruolo di amministratore nell'ID Microsoft Entra.

Controllo e log

Azure AD B2C crea log di controllo contenenti informazioni sulle attività relative alle risorse, ai token rilasciati e all'accesso amministratore. È possibile utilizzare i log di controllo per comprendere l'attività della piattaforma e diagnosticare i problemi. Le voci del log di controllo sono disponibili subito dopo l'attività che ha generato l'evento.

In un log di controllo, disponibile per il tenant di Azure AD B2C o per un utente specifico, è possibile trovare informazioni tra cui:

  • Attività relative all'autorizzazione di un utente all'accesso alle risorse B2C (ad esempio, un amministratore che accede a un elenco di policy B2C)
  • Attività correlate agli attributi della directory recuperate quando un amministratore accede tramite il portale di Azure
  • Operazioni di creazione, lettura, aggiornamento ed eliminazione (CRUD) su applicazioni B2C
  • Operazioni CRUD su chiavi archiviate in un contenitore di chiavi B2C
  • Operazioni CRUD su risorse B2C (ad esempio, politiche e provider di identità)
  • Convalida delle credenziali utente e rilascio dei token

Per altre informazioni sui log di controllo, vedere Accesso ai log di controllo di Azure AD B2C.

Analisi di utilizzo

Azure AD B2C consente di individuare quando gli utenti si iscrivono o accedono all'app, dove si trovano gli utenti e quali browser e sistemi operativi usano.

Integrando Azure Application Insights nei criteri personalizzati di Azure AD B2C, è possibile ottenere informazioni dettagliate sul modo in cui gli utenti si iscrivono, accedono, reimpostano la password o modificano il profilo. Con queste conoscenze, puoi prendere decisioni basate sui dati per i tuoi prossimi cicli di sviluppo.

Per altre informazioni, vedere Tenere traccia del comportamento degli utenti in Azure Active Directory B2C usando Application Insights.

Disponibilità a livello di area e residenza dei dati

Il servizio Azure AD B2C è disponibile a livello generale in tutto il mondo con l'opzione per la residenza dei dati nelle aree, come specificato in Prodotti disponibili per area. La residenza dei dati è determinata dal paese o dall'area geografica selezionata al momento della creazione del tenant.

Scopri di più sul servizio Azure Active Directory B2C, sulla disponibilità dell'area e sulla residenza dei dati e sul contratto di servizio per Azure Active Directory B2C.

Automazione con l'API Microsoft Graph

Usare l'API MS Graph per gestire la directory di Azure AD B2C. È anche possibile creare la directory di Azure AD B2C stessa. Puoi gestire utenti, provider di identità, flussi utente, criteri personalizzati e altro ancora.

Altre informazioni su come gestire Azure AD B2C con Microsoft Graph.

Limiti e restrizioni del servizio Azure AD B2C

Scopri di più sui limiti e le restrizioni del servizio Azure AD B2C

Passaggi successivi

Ora che hai una visione più approfondita delle funzionalità e degli aspetti tecnici di Azure Active Directory B2C: