Esercitazione: Registrare un'applicazione Web in Azure Active Directory B2C

Prima che le applicazioni possano interagire con Azure Active Directory B2C (Azure AD B2C), devono essere registrate in un tenant gestito. Questa esercitazione mostra come registrare un'applicazione Web usando il portale di Azure.

Per "applicazione Web" si intende a un'applicazione Web tradizionale che esegue la maggior parte della logica dell'applicazione sul server. Possono essere compilati usando framework come ASP.NET Core, Spring (Java), Flask (Python) ed Express (Node.js).

Importante

Se invece si usa un'applicazione a pagina singola, come Angular, Vue o React, vedere Registrare un'applicazione a pagina singola in Azure Active Directory B2C.

Se invece si usa un'app nativa ,ad esempio iOS, Android, desktop per dispositivi mobili & , vedere come registrare un'applicazione client nativa.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Se non è ancora stato creato un tenant Azure AD B2C, crearlo ora. Usare un tenant Azure AD B2C esistente.

Registrare un'applicazione Web

Per registrare un'applicazione Web nel tenant di Azure AD B2C, è possibile usare la nuova esperienza unificata Registrazioni app oppure l'esperienza legacy Applicazioni (legacy). Altre informazioni sulla nuova esperienza.

  1. Accedi al portale di Azure.

  2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.

  3. Nel portale di Azure cercare e selezionare Azure AD B2C.

  4. Selezionare Registrazioni app e quindi Nuova registrazione.

  5. Immettere un nome per l'applicazione. Ad esempio, webapp1.

  6. Sotto Tipi di account supportati, seleziona Account in qualsiasi provider di identità o directory dell'organizzazione (per autenticare gli utenti con flussi utente).

  7. In URI di reindirizzamento, selezionare Web, quindi immettere https://jwt.ms nella casella di testo URL.

    L'URI di reindirizzamento è l'endpoint a cui l'utente viene inviato dal server di autorizzazione (in questo caso Azure AD B2C) dopo aver completato l'interazione con l'utente e a cui viene inviato un token di accesso o un codice di autorizzazione dopo l'autorizzazione. In un'applicazione di produzione, si tratta in genere di un endpoint accessibile pubblicamente in cui l'app è in esecuzione, ad esempio https://contoso.com/auth-response. A scopo di test come questa esercitazione, è possibile impostarlo su https://jwt.ms, un'applicazione Web di proprietà di Microsoft che visualizza il contenuto decodificato di un token (il contenuto del token non lascia mai il browser). Durante lo sviluppo di app, è possibile aggiungere l'endpoint in cui l'applicazione è in ascolto localmente, ad esempio https://localhost:5000. È possibile aggiungere e modificare gli URI di reindirizzamento nelle applicazioni registrate in qualsiasi momento.

    Agli URL di reindirizzamento si applicano le restrizioni seguenti:

    • L'URL di risposta deve iniziare con lo schema https, a meno che non si usi un URL di reindirizzamento localhost.
    • L'URL di risposta rileva la distinzione tra maiuscole e minuscole. Le maiuscole e le minuscole devono corrispondere a quelle nel percorso URL dell'applicazione in esecuzione. Se, ad esempio, l'applicazione include come parte del percorso .../abc/response-oidc, non specificare .../ABC/response-oidc nell'URL di risposta. Poiché il Web browser rileva la distinzione tra maiuscole e minuscole nei percorsi, è possibile che i cookie associati a .../abc/response-oidc vengano esclusi se reindirizzati all'URL .../ABC/response-oidc senza la corrispondenza tra maiuscole e minuscole.
    • L'URL di risposta deve includere o escludere la barra finale come previsto dall'applicazione. Ad esempio, https://contoso.com/auth-response e https://contoso.com/auth-response/ potrebbero essere considerati come URL non corrispondenti nell'applicazione.
  8. In Autorizzazioni, selezionare la casella di controllo Concedere il consenso amministratore alle autorizzazioni OpenID e offline_access.

  9. Seleziona Registro.

Suggerimento

Se le app create in Registrazioni app non vengono visualizzate, aggiornare il portale.

Creare un segreto client

Per un'applicazione Web è necessario creare un segreto dell'applicazione, Il segreto client è noto anche come password dell'applicazione. Il segreto verrà usato dall'applicazione per scambiare un codice di autorizzazione per un token di accesso.

  1. Nella pagina Azure AD B2C - Registrazioni app selezionare l'applicazione creata, ad esempio webapp1.
  2. Nel menu a sinistra, in Gestisci, selezionare Certificati e segreti.
  3. Selezionare Nuovo segreto client.
  4. Immettere una descrizione per il segreto client nella casella Descrizione. Ad esempio, clientsecret1.
  5. In Scadenzaselezionare una durata per la quale il segreto è valido, quindi selezionare Aggiungi.
  6. Registrare il valore del segreto da usare nel codice dell'applicazione client. Questo valore del segreto non viene mai più visualizzato dopo aver lasciato questa pagina. Questo valore viene usato come segreto dell'applicazione nel codice dell'applicazione.

Nota

A scopo di sicurezza, è possibile eseguire periodicamente il rollover del segreto dell'applicazione o immediatamente in caso di emergenza. Qualsiasi applicazione che si integra con Azure AD B2C deve essere preparata per gestire un evento di rollover dei segreti, indipendentemente dalla frequenza con cui può verificarsi. È possibile impostare due segreti dell'applicazione, consentendo all'applicazione di continuare a usare il segreto precedente durante un evento di rotazione dei segreti dell'applicazione. Per aggiungere un altro segreto client, ripetere i passaggi in questa sezione.

Abilitare la concessione implicita del token ID

Se si registra questa app e la si configura con https://jwt.ms/ l'app per testare un flusso utente o criteri personalizzati, è necessario abilitare il flusso di concessione implicita nella registrazione dell'app:

  1. Nel menu a sinistra, in Gestisci, selezionare Autenticazione.

  2. In Flussi di concessione implicita e ibridi selezionare entrambe le caselle di controllo Token di accesso (usati per i flussi impliciti) e Token ID (usati per i flussi impliciti e ibridi).

  3. Seleziona Salva.

Passaggi successivi

In questo articolo si è appreso come:

  • Registrare un'applicazione Web
  • Creare un segreto client

Informazioni su come creare flussi utente in Azure Active Directory B2C