Condividi tramite


Registrare un'app nel tenant esterno

Si applica a: Cerchio bianco con un simbolo X grigio. Tenant della forza lavoro Cerchio verde con un segno di spunta bianco. Tenant esterni (altre informazioni)

Microsoft Entra per ID esterno consente all'organizzazione di gestire le identità dei clienti e di controllare in modo sicuro l'accesso alle applicazioni e alle API pubbliche. Applicazioni in cui i clienti possono acquistare prodotti, sottoscrivere servizi o accedere al proprio account e ai propri dati. I clienti devono poter accedere una sola volta solo tramite un dispositivo o un Web browser e avere accesso a tutte le applicazioni per cui sono state concesse le autorizzazioni.

Per abilitare l'accesso dell'applicazione con ID esterno, è necessario registrare l'app con l’ID esterno. La registrazione dell'app stabilisce una relazione di trust tra l'app e l’ID esterno. Durante la registrazione dell'app, viene specificato l'URI di reindirizzamento. L'URI di reindirizzamento è l'endpoint a cui gli utenti vengono reindirizzati dall’ID esterno dopo l'autenticazione. Il processo di registrazione dell'app genera un ID applicazione, noto anche come ID client, che identifica in modo univoco l'app.

L'ID esterno supporta l'autenticazione per varie architetture di applicazioni moderne, ad esempio app Web o app a pagina singola. Poiché l'interazione di ogni tipo di applicazione con il tenant esterno è diversa, è necessario specificare il tipo di applicazione da registrare.

Questo articolo illustra come registrare un'applicazione nel tenant esterno.

Prerequisiti

Scegliere il tipo di app

Registrare l'app a pagina singola

L'ID esterno supporta l'autenticazione per le app a pagina singola (SPA).

La procedura seguente mostra come registrare l'app a pagina singola nell'Interfaccia di amministrazione di Microsoft Entra:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come sviluppatore di applicazioni.

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Applicazioni>Registrazioni app.

  4. Seleziona + Nuova registrazione.

  5. Nella pagina Registra un'applicazione visualizzata immettere le informazioni sulla registrazione dell'applicazione:

    1. Nella sezione Nome immettere un nome di applicazione significativo che viene visualizzato agli utenti dell'app, ad esempio ciam-client-app.

    2. In Tipi di account supportati selezionare Account solo in questa directory organizzativa.

    3. In URI di reindirizzamento (facoltativo)selezionare Applicazione a pagina singola (SPA) e quindi, nella casella URL immettere http://localhost:3000/.

  6. Selezionare Registra.

  7. Al termine della registrazione viene visualizzato il riquadro Panoramica dell'applicazione. Registrare l'ID directory (tenant) e l'ID applicazione (client) da usare nel codice sorgente dell'applicazione.

Informazioni sull'URI di reindirizzamento

L'URI di reindirizzamento è l'endpoint a cui l'utente viene inviato dal server di autorizzazione (in questo caso Microsoft Entra ID) dopo aver completato l'interazione con l'utente e a cui viene inviato un token di accesso o un codice di autorizzazione dopo l'autorizzazione.

In un'applicazione di produzione, si tratta in genere di un endpoint accessibile pubblicamente in cui l'app è in esecuzione, ad esempio https://contoso.com/auth-response.

Durante lo sviluppo di app, è possibile aggiungere l'endpoint in cui l'applicazione è in ascolto localmente, ad esempio http://localhost:3000. È possibile aggiungere e modificare gli URI di reindirizzamento nelle applicazioni registrate in qualsiasi momento.

Agli URL di reindirizzamento si applicano le restrizioni seguenti:

  • L'URL di risposta deve iniziare con lo schema https, a meno che non si usi un URL di reindirizzamento localhost.

  • L'URL di risposta rileva la distinzione tra maiuscole e minuscole. Le maiuscole e le minuscole devono corrispondere a quelle nel percorso URL dell'applicazione in esecuzione. Se, ad esempio, l'applicazione include come parte del percorso .../abc/response-oidc, non specificare .../ABC/response-oidc nell'URL di risposta. Poiché il Web browser rileva la distinzione tra maiuscole e minuscole nei percorsi, è possibile che i cookie associati a .../abc/response-oidc vengano esclusi se reindirizzati all'URL .../ABC/response-oidc senza la corrispondenza tra maiuscole e minuscole.

  • L'URL di risposta deve includere o escludere la barra finale come previsto dall'applicazione. Ad esempio, https://contoso.com/auth-response e https://contoso.com/auth-response/ potrebbero essere considerati come URL non corrispondenti nell'applicazione.

Dopo aver registrato l'applicazione, viene assegnata l'autorizzazione User.Read . Tuttavia, poiché il tenant è un tenant esterno, gli utenti del cliente stessi non possono fornire il consenso a questa autorizzazione. L'amministratore deve fornire il consenso a questa autorizzazione per conto di tutti gli utenti nel tenant:

  1. Nella pagina Registrazioni app, selezionare l'applicazione creata (ad esempio ciam-client-app) per aprire la relativa pagina Panoramica.

  2. In Gestisci selezionare Autorizzazioni API.

    1. Selezionare Concedi consenso amministratore per <nome del tenant>, quindi selezionare .
    2. Selezionare Aggiorna, quindi verificare che Concesso per <il nome> del tenant venga visualizzato in Stato per l'autorizzazione.

Concedere autorizzazioni API (facoltativo):

Se l'applicazione a pagina singola deve chiamare un'API, è necessario concedere le autorizzazioni dell'API SPA in modo che possa chiamare l'API. È anche necessario registrare l'API Web che è necessario chiamare.

Per concedere all'app client (ciam-client-app) le autorizzazioni API, seguire questa procedura:

  1. Nella pagina Registrazioni app selezionare l'applicazione creata (ad esempio ciam-client-app) per aprire la relativa pagina Panoramica.

  2. In Gestisci selezionare Autorizzazioni API.

  3. In Autorizzazioni configurate selezionare Aggiungi un'autorizzazione.

  4. Selezionare la scheda API usate dall'organizzazione.

  5. Nell'elenco delle API, selezionare l'API, ad esempio ciam-ToDoList-api.

  6. Selezionare l'opzione Autorizzazioni delegate.

  7. Nell'elenco delle autorizzazioni selezionare ToDoList.Read, ToDoList.ReadWrite (usare la casella di ricerca, se necessario).

  8. Selezionare il pulsante Aggiungi autorizzazioni. A questo punto, le autorizzazioni sono state assegnate correttamente. Poiché il tenant è un tenant del cliente, nemmeno gli utenti consumer stessi possono fornire il consenso a queste autorizzazioni. Per risolvere questo problema, l'amministratore deve fornire il consenso a queste autorizzazioni per conto di tutti gli utenti nel tenant:

    1. Selezionare Concedi consenso amministratore per <nome del tenant>, quindi selezionare .

    2. Selezionare Aggiorna, quindi verificare che Concesso per <nome del tenant> venga visualizzato in Stato per entrambi gli ambiti.

  9. Nell'elenco Autorizzazioni configurate, selezionare le autorizzazioni ToDoList.Read e ToDoList.ReadWrite, una alla volta, quindi copiare l'URI completo dell'autorizzazione per un uso successivo. L'URI completo dell'autorizzazione ha un aspetto simile a api://{clientId}/{ToDoList.Read} o api://{clientId}/{ToDoList.ReadWrite}.

Per informazioni su come esporre le autorizzazioni aggiungendo un collegamento, passare alla sezione API Web.

Testare il flusso utente (facoltativo)

Per testare un flusso utente con questa registrazione dell'app, abilitare il flusso di concessione implicita per l'autenticazione.

Importante

Il flusso implicito deve essere usato solo a scopo di test e non per autenticare gli utenti nelle app di produzione. Al termine del test, è consigliabile rimuoverlo.

Per abilitare il flusso implicito, seguire questa procedura:

  1. Accedere all’Interfaccia di amministrazione di Microsoft Entra almeno come sviluppatore di applicazioni.
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Applicazioni>Registrazioni app.
  4. Selezionare la registrazione dell'app creata.
  5. In Gestisci selezionare Autenticazione.
  6. In Concessione implicita e flussi ibridi selezionare la casella di controllo token ID (usati per i flussi impliciti e ibridi).
  7. Seleziona Salva.

Trovare l'ID applicazione (client)

Dopo aver registrato una nuova applicazione, è possibile trovare l'ID applicazione (client) dalla panoramica nell'Interfaccia di amministrazione di Microsoft Entra.

  1. Nella pagina Registrazioni app selezionare la scheda Tutte le applicazioni o Applicazioni di proprietà.

  2. Selezionare l'applicazione per aprire la pagina Panoramica.

  3. In Essenziali saranno disponibili tutti i dettagli dell'app, incluso l'ID applicazione (client).

    Screenshot che mostra l'ID applicazione (client).

Passaggi successivi