Scenari di autenticazione e raccomandazioni
Se si dispone di un'app Web o di un'API in esecuzione nel servizio app di Azure è possibile limitare l'accesso in base all'identità degli utenti o delle applicazioni che lo richiedono. Il servizio app offre diverse soluzioni di autenticazione che consentono di raggiungere questo obiettivo. Questo articolo illustra le diverse opzioni di autenticazione, i relativi vantaggi e svantaggi e la soluzione di autenticazione da usare per scenari specifici.
Soluzioni di autenticazione
- Autenticazione predefinita del servizio app di Azure: consente di far accedere gli utenti e farli accedere ai dati scrivendo codice minimo o nessun codice nell'app Web, nell'API RESTful o nel back-end per dispositivi mobili. È integrato direttamente nella piattaforma e non richiede un linguaggio, una libreria, un'esperienza di sicurezza o persino un codice da usare.
- Microsoft Authentication Library (MSAL): consente agli sviluppatori di acquisire token di sicurezza da Microsoft Identity Platform per autenticare gli utenti e accedere alle API Web protette. Disponibile per più piattaforme e framework supportati, si tratta di librerie per utilizzo generico che possono essere usate in vari ambienti ospitati. Gli sviluppatori possono anche eseguire l’integrazione con più provider di accesso, ad esempio Microsoft Entra, Facebook, Google, X.
- Microsoft.Identity.Web : un MSAL.NET di wrapping della libreria di livello superiore, fornisce un set di astrazioni di base ASP.NET che semplificano l'aggiunta del supporto dell'autenticazione alle app Web e alle API Web che si integrano con Microsoft Identity Platform. Fornisce un livello di praticità API a superficie singola che collega ASP.NET Core, il middleware di autenticazione e MSAL.NET. Questa libreria può essere usata nelle app in vari ambienti ospitati. È possibile eseguire l'integrazione con più provider di accesso, ad esempio Microsoft Entra, Facebook, Google, X.
Raccomandazioni per gli scenari
La tabella seguente elenca ogni soluzione di autenticazione e alcuni fattori importanti per l'uso.
| Metodo di autenticazione | Utilizzo di |
|---|---|
| Autenticazione del servizio app predefinito | * Si vuole meno codice di proprietà da gestire. * La lingua e gli SDK dell'app non forniscono l'accesso o l'autorizzazione dell'utente. * Non è possibile modificare il codice dell'app, ad esempio durante la migrazione di app legacy. * È necessario gestire l'autenticazione tramite la configurazione e non il codice. * È necessario far accedere utenti esterni o social. |
| Microsoft Authentication Library (MSAL) | * È necessaria una soluzione di codice in uno dei diversi linguaggi * È necessario aggiungere logica di autorizzazione personalizzata. * È necessario supportare il consenso incrementale. * Sono necessarie informazioni sull'utente connesso nel codice. * È necessario far accedere utenti esterni o social. * L'app deve gestire il token di accesso in scadenza senza far eseguire di nuovo l'accesso all'utente. |
| Microsoft.Identity.Web | * Si ha un'app ASP.NET Core. * È necessario il supporto per l'accesso Single Sign-On nell'IDE durante lo sviluppo locale. * È necessario aggiungere logica di autorizzazione personalizzata. * È necessario supportare il consenso incrementale. * È necessario l'accesso condizionale nell'app Web. * Sono necessarie informazioni sull'utente connesso nel codice. * È necessario far accedere utenti esterni o social. * L'app deve gestire il token di accesso in scadenza senza far eseguire di nuovo l'accesso all'utente. |
Nella tabella seguente sono elencati gli scenari di autenticazione e le soluzioni di autenticazione da usare.
| Scenario | Autenticazione predefinita del servizio app | Libreria di Autenticazione Microsoft | Microsoft.Identity.Web |
|---|---|---|---|
| Hai bisogno di un modo rapido e semplice per limitare l'accesso agli utenti dell'organizzazione? | ✅ | ❌ | ❌ |
| Impossibile modificare il codice dell'applicazione (scenario di migrazione delle app)? | ✅ | ❌ | ❌ |
| La lingua e le librerie dell'app supportano l'accesso/autorizzazione dell'utente? | ❌ | ✅ | ✅ |
| Anche se è possibile usare una soluzione di codice, si preferisce non usare le librerie? Non si desidera il carico di manutenzione? | ✅ | ❌ | ❌ |
| L'app Web deve fornire il consenso incrementale? | ❌ | ✅ | ✅ |
| È necessario l'accesso condizionale nell'app Web? | ❌ | ❌ | ✅ |
| L'app deve gestire il token di accesso in scadenza senza eseguire di nuovo l'accesso dell'utente (usare un token di aggiornamento)? | ✅ | ✅ | ✅ |
| È necessaria una logica di autorizzazione personalizzata o informazioni sull'utente connesso? | ❌ | ✅ | ✅ |
| È necessario accedere agli utenti da provider di identità esterni o di social networking? | ✅ | ✅ | ✅ |
| È disponibile un'app ASP.NET Core? | ✅ | ❌ | ✅ |
| Si dispone di un'app a pagina singola o di un'app Web statica? | ✅ | ✅ | ✅ |
| Si desidera l’integrazione con Visual Studio? | ❌ | ❌ | ✅ |
| È necessario il supporto per l'accesso Single Sign-On nell'IDE durante lo sviluppo locale? | ❌ | ❌ | ✅ |
Passaggi successivi
Per iniziare a usare l'autenticazione predefinita del servizio app, leggere:
Per iniziare a usare Microsoft Authentication Library (MSAL),leggere:
- Aggiungere l'accesso con Microsoft a un'app Web
- Consentire solo all'utente autenticato di accedere a un'API Web
- Far accedere gli utenti a un'applicazione a pagina singola (SPA)
Per iniziare a usare Microsoft.Identity.Web, leggere:
- Far accedere agli utenti a un'app Web
- Proteggere un'API Web
- Far accedere agli utenti a un'app Blazor Server
Maggiori informazioni su Autenticazione e autorizzazione integrate del servizio app