Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il sistema di autenticazione di backup di Microsoft Entra offre resilienza alle applicazioni che usano protocolli e flussi supportati. Per altre informazioni sul sistema di autenticazione di backup, vedere Sistema di autenticazione di backup di Microsoft Entra ID.
Requisiti dell'applicazione per la protezione
Le applicazioni devono comunicare con un nome host supportato per l'ambiente Azure specificato e usare i protocolli attualmente supportati dal sistema di autenticazione di backup. L'uso di librerie di autenticazione, ad esempio Microsoft Authentication Library (MSAL), garantisce che si usino protocolli di autenticazione supportati dal sistema di autenticazione di backup.
Nomi host supportati dal sistema di autenticazione di backup
| Ambiente di Azure | Nome host supportato |
|---|---|
| Servizio Commerciale di Azure | login.microsoftonline.com |
| Azure Government (Servizi governativi di Azure) | login.microsoftonline.us |
Protocolli di autenticazione supportati dal sistema di autenticazione di backup
OAuth 2.0 e OpenID Connect (OIDC)
Linee guida comuni
Tutte le applicazioni che usano i protocolli OAuth (Open Authorization) 2.0 o OIDC devono rispettare le procedure seguenti per garantire la resilienza:
- L'applicazione usa MSAL o rispetta rigorosamente le specifiche OpenID Connect & OAuth2. Microsoft consiglia di usare le librerie MSAL appropriate per la piattaforma e il caso d'uso. L'uso di queste librerie garantisce che l'uso di API e modelli di chiamata sia supportabile dal sistema di autenticazione di backup.
- L'applicazione usa un set fisso di ambiti anziché il consenso dinamico durante l'acquisizione di token di accesso.
- L'applicazione non usa l'autorizzazione tramite credenziali di password del proprietario della risorsa. Questo tipo di concessione non sarà supportato dal sistema di autenticazione di backup per qualsiasi tipo di client. Microsoft consiglia vivamente di passare a flussi di concessione alternativi per migliorare la sicurezza e la resilienza.
- L'applicazione non si basa sull'endpoint UserInfo. Passare all'uso di un token ID riduce invece la latenza eliminando fino a due richieste di rete e usando il supporto esistente per la resilienza dei token ID all'interno del sistema di autenticazione di backup.
Applicazioni native
Le applicazioni native sono applicazioni client pubbliche eseguite direttamente su dispositivi desktop o mobili e non in un Web browser. Vengono registrati come clienti pubblici durante la registrazione dell'applicazione nel centro di amministrazione di Microsoft Entra e nel portale di Azure.
Le applicazioni native sono protette dal sistema di autenticazione di backup quando sono soddisfatte tutte le condizioni seguenti:
- L'applicazione mantiene la cache dei token per almeno tre giorni. Le applicazioni devono usare il percorso della cache dei token del dispositivo o l'API di serializzazione della cache dei token per rendere persistente la cache dei token anche quando l'utente chiude l'applicazione.
- L'applicazione usa l'API AcquireTokenSilent di MSAL per recuperare i token usando i token di aggiornamento memorizzati nella cache. L'uso dell'API AcquireTokenInteractive potrebbe non riuscire ad acquisire un token dal sistema di autenticazione di backup se è necessaria l'interazione dell'utente.
Il sistema di autenticazione di backup attualmente non supporta la concessione di autorizzazioni del dispositivo.
Applicazioni Web a pagina singola
Le applicazioni Web a pagina singola (SPA) hanno un supporto limitato nel sistema di autenticazione di backup. Gli SPA che usano il flusso di concessione implicito e richiedono solo token ID OpenID Connect sono protetti. Solo le app che usano MSAL.js 1.x o implementano direttamente il flusso di concessione implicita possono usare questa protezione, perché MSAL.js 2.x non supporta il flusso implicito.
Il sistema di autenticazione di backup attualmente non supporta il flusso del codice di autorizzazione con la chiave di prova per lo scambio di codice.
Applicazioni e servizi Web
Il sistema di autenticazione di backup attualmente non supporta applicazioni Web e servizi configurati come client riservati. La protezione per il flusso di concessione del codice di autorizzazione e l'acquisizione successiva di token tramite token di aggiornamento e segreti client o credenziali del certificato non sono attualmente supportate. Il flusso on-behalf-of di OAuth 2.0 non è attualmente supportato.
Accesso Single Sign-On (SSO) per SAML 2.0
Il sistema di autenticazione di backup supporta parzialmente il protocollo Single Sign-On (SSO) SAML (Security Assertion Markup Language) 2.0. I flussi che usano il flusso avviato da SAML 2.0 Identity Provider (IdP) sono protetti dal sistema di autenticazione di backup. Le applicazioni che usano il flusso avviato dal provider di servizi (SP) non sono attualmente protette dal sistema di autenticazione di backup.
Protocolli di autenticazione delle identità del carico di lavoro supportati dal sistema di autenticazione di backup
OAuth 2.0
Identità gestita
Le applicazioni che usano identità gestite per acquisire i token di accesso di Microsoft Entra sono protette. Microsoft consiglia l'uso delle identità gestite assegnate dall'utente nella maggior parte degli scenari. Questa protezione si applica sia alle identità gestite assegnate dall'utente che dal sistema.
Principale del servizio
Il sistema di autenticazione di backup attualmente non supporta l'autenticazione dell'identità del carico di lavoro basata sull'entità servizio usando il flusso di concessione delle credenziali client. Microsoft consiglia di usare la versione di MSAL appropriata per la piattaforma in uso in modo che l'applicazione sia protetta dal sistema di autenticazione di backup quando la protezione diventa disponibile.