Condividi tramite

Pianificazione della gestione delle identità e degli accessi dei clienti

  • Articolo

Si applica a: Cerchio bianco con simbolo X grigio. Tenant delle risorse Cerchio verde con segno di spunta bianco. Tenant esterni (altre informazioni)

Microsoft Entra per ID esterno è una soluzione personalizzabile ed estendibile per aggiungere la gestione delle identità e degli accessi del cliente (CIAM) all'app. Poiché si basa sulla piattaforma Microsoft Entra, è possibile trarre vantaggio dalla coerenza nell'integrazione delle app, nella gestione dei tenant e nelle operazioni intercorrenti tra personale e scenari dei clienti. Quando si progetta la configurazione, è importante comprendere i componenti di un tenant esterno e le funzionalità di Microsoft Entra disponibili per gli scenari dei clienti.

Questo articolo fornisce un framework generale per l'integrazione dell'app e la configurazione dell'ID esterno. Descrive le funzionalità disponibili in un tenant esterno e delinea le importanti considerazioni sulla pianificazione per ogni passaggio dell'integrazione.

L'aggiunta dell'accesso sicuro all'app e la configurazione di una gestione delle identità e degli accessi dei clienti prevede quattro passaggi principali:

Diagramma che mostra una panoramica dei passaggi.

Questo articolo descrive ciascuno di questi passaggi e descrive importanti considerazioni sulla pianificazione. Nella tabella seguente selezionare un passaggio per informazioni dettagliate e considerazioni sulla pianificazione oppure passare direttamente alle guide pratiche.

Procedi Guide pratiche
Passaggio 1: Creare un tenant esterno Creare un tenant esterno
Oppure avviare una versione di valutazione gratuita
Passaggio 2: Registrare l'applicazione Registrare l'applicazione
Passaggio 3: Integrare un flusso di accesso con l'app Creare un flusso utente
Aggiungere l'app al flusso utente
Passaggio 4: Personalizzare e proteggere l'accesso Personalizzare il branding
Aggiungere provider di identità
Raccogliere attributi durante l'iscrizione
Aggiungere attributi al token
Aggiungere l'autenticazione a più fattori (MFA)

Passaggio 1: Creare un tenant esterno

Diagramma che mostra il passaggio 1 nel flusso di configurazione.

Un tenant esterno è la prima risorsa da creare per iniziare a lavorare con Microsoft Entra per ID esterno. Il tenant esterno è il sito in cui si registra l'applicazione. Contiene anche un elenco in cui si gestiscono le identità e l’accesso dei clienti, separato dal tenant del personale.

Quando si crea un tenant esterno, è possibile impostare la posizione geografica corretta e il nome di dominio. Se attualmente si usa Azure AD B2C, il nuovo modello di forza lavoro e tenant esterni non influisce sui tenant Azure AD B2C esistenti.

Account utente in un tenant esterno

L’elenco in un tenant esterno contiene account utente amministratore e cliente. È possibile creare e gestire gli account amministratore per il tenant esterno. Gli account cliente vengono in genere creati tramite l'iscrizione self-service, ma è possibile creare e gestire gli account clienti locali.

Gli account cliente hanno un set predefinito di autorizzazioni. I clienti non possono accedere alle informazioni su altri utenti nel tenant esterno. Per impostazione predefinita, i clienti non possono accedere alle informazioni su altri utenti, gruppi o dispositivi.

Come creare un tenant esterno

Passaggio 2: Registrare l'applicazione

Diagramma che mostra il passaggio 2 nel flusso di configurazione.

Prima che le applicazioni possano interagire con l'ID esterno, è necessario registrarle nel tenant esterno. Microsoft Entra ID esegue la gestione delle identità e degli accessi solo per le applicazioni registrate. La registrazione dell'app stabilisce una relazione di trust e consente di integrare l'app con ID esterno.

Quindi, per completare la relazione di trust tra Microsoft Entra ID e l'app, aggiornare il codice sorgente dell'applicazione con i valori assegnati durante la registrazione dell'app, ad esempio l'ID applicazione (client), il sottodominio della directory (tenant) e il segreto client.

Sono disponibili guide di esempio di codice e guide approfondite all'integrazione per diversi tipi e lingue di app. A seconda del tipo di app che si desidera registrare, è possibile trovare materiale sussidiario nella pagina Esempi per tipo e lingua di app.

Come registrare l’applicazione

Passaggio 3: Integrare un flusso di accesso con l'app

Diagramma che mostra il passaggio 3 nel flusso di configurazione.

Dopo aver configurato il tenant esterno e registrato l'applicazione, creare un flusso utente di iscrizione e accesso. Integrare quindi l'applicazione con il flusso utente in modo che tutti gli utenti che accedono a tale applicazione passino attraverso l'esperienza di iscrizione e accesso ideata.

Per integrare l'applicazione con un flusso utente, aggiungere l'applicazione alle proprietà del flusso utente e aggiornare il codice dell'applicazione con le informazioni sul tenant e l'endpoint di autorizzazione.

Flusso di autenticazione

Quando un cliente tenta di accedere all'applicazione, l'applicazione invia una richiesta di autorizzazione all'endpoint fornito quando è stata associata l'app al flusso utente. Il flusso utente definisce e controlla l'esperienza di accesso dell'utente.

Se l'utente accede per la prima volta, viene visualizzata l'esperienza di iscrizione. L’utente immette informazioni in base agli attributi utente predefiniti o personalizzati che si è scelto di raccogliere.

Quando l’iscrizione è completata, Microsoft Entra ID genera un token e reindirizza il cliente all'applicazione. Nell’elenco viene creato un account cliente a lui dedicato.

Flusso utente di iscrizione e di accesso

Quando si pianifica l'esperienza di iscrizione e accesso, stabilire i requisiti:

  • Numero di flussi utente. Ciascuna applicazione può avere un solo flusso utente di iscrizione e accesso. Se sono presenti più applicazioni, è possibile usare un singolo flusso utente per tutte. In alternativa, se si desidera un'esperienza diversa per ogni applicazione, è possibile creare più flussi utente. Il valore massimo è 10 flussi utente per tenant esterno.

  • Personalizzazione aziendale e della lingua Sebbene la configurazione delle personalizzazioni della lingua e del branding aziendali venga descritta più avanti, nel passaggio 4, è possibile effettuare la configurazione in qualsiasi momento, prima o dopo l'integrazione di un'app con un flusso utente. Se si configura il branding dell'azienda prima di creare il flusso utente, le pagine di accesso riflettono tale personalizzazione. In caso contrario, le pagine di accesso riflettono un branding neutro e predefinito.

  • Attributi da raccogliere. Nelle impostazioni del flusso utente è possibile selezionare da un set di attributi utente predefiniti che si vuole raccogliere dai clienti. Il cliente immette le informazioni nella pagina di iscrizione che vengono poi memorizzate insieme al profilo nella directory Per raccogliere altre informazioni, è possibile definire attributi personalizzati e aggiungerli al flusso utente.

  • Consenso a termini e condizioni. È possibile usare attributi utente personalizzati per richiedere agli utenti di accettare i termini e le condizioni. Ad esempio, è possibile aggiungere caselle di controllo al modulo di iscrizione e includere collegamenti alle condizioni per l'utilizzo e all'informativa sulla privacy.

  • Requisiti per le attestazioni di token. Se l'applicazione richiede attributi utente specifici, è possibile includerli nel token inviato all'applicazione.

  • Provider di identità basati su social network. È possibile configurare provider di identità di social networking Google e Facebook e aggiungerli al flusso utente come opzioni di accesso.

Come integrare un flusso utente con l'app

Passaggio 4: Personalizzare e proteggere l'accesso

Diagramma che mostra il passaggio 4 nel flusso di configurazione.

Quando si pianifica la configurazione del branding aziendale, delle personalizzazioni della lingua e delle estensioni personalizzate, tenere presenti i punti seguenti:

  • Informazioni personalizzate distintive dell'azienda Per personalizzare l'esperienza utente finale, dopo aver creato un nuovo tenant esterno è possibile modificare l'aspetto delle applicazioni basate sul Web per i clienti che effettuano l'iscrizione o l'accesso. In Microsoft Entra ID, il branding Microsoft predefinito viene visualizzato nelle pagine di accesso prima di personalizzare qualsiasi impostazione. Esso rappresenta l'aspetto globale che si applica a tutti gli accessi al tenant. Ulteriori informazioni sulla personalizzazione dell'aspetto dell'accesso.

  • Estensione delle attestazioni del token di autenticazione. L'ID esterno è progettato per la flessibilità. È possibile utilizzare un'estensione di autenticazione personalizzata per aggiungere le richieste provenienti dai sistemi esterni al token dell’applicazione prima che venga emesso per l'applicazione. Altre informazioni su aggiunta di una logica di business personalizzata con estensioni di autenticazione personalizzate.

  • Autenticazione a più fattori (MFA) Inoltre, è possibile abilitare la sicurezza dell'accesso alle applicazioni applicando l'autenticazione a più fattori (MFA), che aggiunge un secondo livello critico di sicurezza agli accessi utente richiedendo la verifica tramite passcode monouso via posta elettronica. Altre informazioni sui metodi di autenticazione MFA disponibili.

  • Autenticazione nativa. L'autenticazione nativa consente di ospitare l'interfaccia utente nell'applicazione client anziché delegare l'autenticazione ai browser. Altre informazioni sull'autenticazione nativa nell’ID esterno.

  • Sicurezza e governance. Informazioni sulle funzionalità di sicurezza e governance disponibili nel tenant esterno, ad esempio Microsoft Entra ID Protection.

Come personalizzare e proteggere l'accesso

Passaggi successivi