Autenticazione nativa in Microsoft Entra per ID esterno
Si applica a: 
Tenant della forza lavoro 
Tenant esterni (altre informazioni)
L'autenticazione nativa di Microsoft Entra consente di avere il controllo completo sulla progettazione delle esperienze di accesso dell'applicazione per dispositivi mobili. A differenza delle soluzioni basate su browser, l'autenticazione nativa consente di creare schermate di autenticazione visivamente accattivanti e identiche alla progettazione che si fondono perfettamente nell'interfaccia dell'app. Con questo approccio, è possibile personalizzare completamente l'interfaccia utente, inclusi elementi di progettazione, posizionamento del logo e layout, garantendo un aspetto coerente e personalizzato.
Il processo di accesso standard dell'app, che si basa sull'autenticazione delegata dal browser, spesso comporta una transizione non agevole durante l'autenticazione. Gli utenti vengono reindirizzati temporaneamente a un browser di sistema per l'autenticazione, per poi essere reindirizzati all'app solo una volta completato l'accesso.
Anche se l'autenticazione delegata dal browser offre vantaggi come vettori di attacco ridotti e supporto per l'accesso Single Sign-On (SSO), fornisce opzioni di personalizzazione limitate dell'interfaccia utente e un'esperienza utente di bassa qualità.
Metodi di autenticazione disponibili
Attualmente, l'autenticazione nativa supporta il provider di identità dell'account locale per due metodi di autenticazione:
- Accesso tramite messaggio di posta elettronica con passcode monouso (OTP).
- Accesso tramite posta elettronica e password con supporto per la reimpostazione della password self-service (SSPR).
L'autenticazione nativa non supporta ancora provider di identità federati, ad esempio identità di social network o aziendali.
Quando usare l'autenticazione nativa
Quando occorre implementare l'autenticazione per le app per dispositivi mobili e desktop sull'ID esterno, sono disponibili due opzioni:
- Autenticazione delegata dal browser ospitata da Microsoft.
- Autenticazione nativa basata su SDK completamente personalizzata.
L'approccio scelto dipende dai requisiti specifici dell'app. Anche se ogni app ha esigenze di autenticazione univoche, è necessario tenere presenti alcune considerazioni comuni. Sia che si scelga l'autenticazione nativa o l'autenticazione delegata dal browser, Microsoft Entra per ID esterno supporti entrambi.
La tabella seguente confronta i due metodi di autenticazione per decidere l'opzione più appropriata per l'app.
| Autenticazione delegata dal browser | Autenticazione nativa | |
|---|---|---|
| Esperienza di autenticazione dell'utente | Gli utenti vengono indirizzati a un browser di sistema o a un browser incorporato per l'autenticazione solo per essere reindirizzati all'app al termine dell'accesso. Questo metodo è consigliato se il reindirizzamento non influisce negativamente sull'esperienza dell'utente finale. | Gli utenti dispongono di un percorso completo di iscrizione e accesso nativo senza mai uscire dall'app. |
| Esperienza di personalizzazione | Le opzioni di personalizzazione e branding gestite sono disponibili come funzionalità predefinita. | Questo approccio incentrato sull'API offre un elevato livello di personalizzazione, fornendo una vasta flessibilità nella progettazione e la possibilità di creare interazioni e flussi personalizzati. |
| Applicabilità | Adatto per le app di risorse, B2B e B2C, può essere usato per app native, applicazioni a pagina singola e app Web. | Per le app proprietarie della clientela, quando la stessa entità gestisce il server di autorizzazione e l'app e l'utente li percepisce entrambi come la stessa entità. |
| Passaggio allo stato live | Basso. Pronto all'uso. | Elevato. Lo sviluppatore compila, possiede e mantiene l'esperienza di autenticazione. |
| Attività di manutenzione | Basso. | Elevato. Per ogni funzionalità rilasciata da Microsoft, è necessario aggiornare l'SDK per usarla. |
| Sicurezza | Opzione più sicura. | La responsabilità della sicurezza viene condivisa con gli sviluppatori e devono essere seguite le procedure consigliate. È soggetto ad attacchi di phishing. |
| Lingue e framework supportati |
|
|
Disponibilità di funzionalità
La tabella seguente illustra la disponibilità delle funzionalità per l'autenticazione nativa e delegata dal browser.
| Autenticazione delegata dal browser | Autenticazione nativa | |
|---|---|---|
| Accedere e disconnettersi con passcode monouso (OTP) tramite posta elettronica. | ✔️ | ✔️ |
| Accedere e disconnettersi con indirizzo di posta elettronica e password | ✔️ | ✔️ |
| Reimpostazione della password self-service | ✔️ | ✔️ |
| Provider di attestazioni personalizzate | ✔️ | ✔️ |
| Accedere tramite provider di identità basato su social network | ✔️ | ❌ |
| Autenticazione a più fattori con passcode monouso (OTP) tramite posta elettronica | ✔️ | ❌ |
| Autenticazione a due fattori con SMS | ✔️ | ❌ |
| Single sign-on (SSO) | ✔️ | ❌ |
Come abilitare l'autenticazione nativa
Prima di tutto, esaminare le linee guida precedenti su quando usare l'autenticazione nativa. Quindi rivolgersi al proprietario aziendale, al designer e al team di sviluppo dell'applicazione per determinare se è necessaria l'autenticazione nativa, .
Se il team ha stabilito che l'autenticazione nativa è necessaria per l'applicazione, seguire questa procedura per abilitarla nell'interfaccia di amministrazione di Microsoft Entra:
- Accedi all'Interfaccia di amministrazione di Microsoft Entra.
- Passare ad Applicazioni>Registrazioni app e selezionare l'applicazione.
- Passare ad Autenticazione e selezionare la scheda Impostazioni .
- Selezionare Consenti autenticazione nativa e il campo Consenti flusso client pubblico.
Dopo aver abilitato sia Consenti autenticazione nativa che Consenti flusso client pubblico, aggiornare il codice di configurazione di conseguenza.
Aggiornare il codice di configurazione
Dopo aver abilitato le API di autenticazione nativa nell'interfaccia di amministrazione, è comunque necessario aggiornare il codice di configurazione dell'applicazione per supportare i flussi di autenticazione nativi per Android o iOS/macOS. A tale scopo, è necessario aggiungere il campo tipo di verifica alla configurazione. I tipi di verifica sono un elenco di valori che l'app usa per notificare a Microsoft Entra il metodo di autenticazione supportato. Ulteriori informazioni sui tipi di verifica dell'autenticazione nativa sono disponibili qui. Se la configurazione non viene aggiornata per integrare i componenti di autenticazione nativa, gli SDK e le API di autenticazione nativa non saranno utilizzabili.
Rischio di abilitare l'autenticazione nativa
L'autenticazione nativa di Microsoft Entra non supporta l'accesso SSO (Single Sign-On) e la responsabilità di garantire la sicurezza dell'applicazione spetta al team di sviluppo.
Come usare l'autenticazione nativa
È possibile creare app che usano l'autenticazione nativa tramite le API di autenticazione native o l'SDK MSAL (Microsoft Authentication Library) per Android e iOS/macOS. Quando possibile, è consigliabile usare MSAL per aggiungere l'autenticazione nativa alle applicazioni.
Per ulteriori informazioni sugli esempi di autenticazione nativa e sulle esercitazioni, consultare la tabella seguente.
| Lingua/ Piattaforma |
Guida al codice di esempio | Guida di compilazione e integrazione |
|---|---|---|
| Android (Kotlin) | • Consentire l'accesso degli utenti | • Consentire l'accesso degli utenti |
| iOS (Swift) | • Consentire l'accesso degli utenti | • Consentire l'accesso degli utenti |
| macOS (Swift) | • Consentire l'accesso degli utenti | • Consentire l'accesso degli utenti |
Se si prevede di creare un'applicazione su un framework attualmente non supportato da MSAL, è possibile usare l'API di autenticazione. Per ulteriori informazioni, fare riferimento a questo articolo sulle API.