Condividi tramite

Esercitazione: preparare il tenant esterno per l'accesso degli utenti in una Web app Node.js

  • Articolo

Questa serie di esercitazioni illustra come creare un'app Web Node.js e prepararla per l'autenticazione usando l'interfaccia di amministrazione di Microsoft Entra. Si userà la Library Microsoft Authentication per JavaScript per autenticare l'app con il tenant esterno. Infine, si eseguirà l'applicazione e si testeranno le esperienze di accesso e disconnessione. illustra come preparare il tenant esterno per consentire agli utenti di accedere a un'applicazione Web Node.js.

In questa esercitazione si apprenderà come:

  • Registrare un'applicazione Web nell'interfaccia di amministrazione di Microsoft Entra.
  • Creare un flusso di accesso e disconnessione utente nell'interfaccia di amministrazione di Microsoft Entra.
  • Associare l'applicazione Web al flusso utente.

Se è già stata registrata un'applicazione Web nell'interfaccia di amministrazione di Microsoft Entra ed è stata associata a un flusso utente, è possibile ignorare i passaggi descritti in questo articolo e passare a Preparare l'app Web Node.js.

Prerequisiti

  • Un tenant esterno. Se non è disponibile, creare un tenant di prova o un tenant con una sottoscrizione prima di iniziare.
  • Questo account di Azure deve disporre delle autorizzazioni per gestire le applicazioni. Uno dei seguenti ruoli di Microsoft Entra include le autorizzazioni necessarie:
    • Amministratore di applicazioni
    • Sviluppatore di applicazioni
    • Amministratore applicazione cloud

Registrare l'app Web

Per consentire all'applicazione di accedere agli utenti con Microsoft Entra, Microsoft Entra External ID deve essere a conoscenza dell'applicazione creata. La registrazione dell'app stabilisce una relazione di trust tra l'app e Microsoft Entra. Quando si registra un'applicazione, l'ID esterno genera un identificativo univoco noto come ID applicazione (client), un valore usato per identificare l'app durante la creazione di richieste di autenticazione.

I passaggi seguenti illustrano come registrare l'app nell'interfaccia di amministrazione di Microsoft Entra:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra In qualità di almeno Sviluppatore di applicazioni.

  2. Se si ha accesso a più tenant, usare l'iconaImpostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Applicazioni>Registrazioni app.

  4. Seleziona + Nuova registrazione.

  5. Nella pagina Registra un'applicazione che viene visualizzata;

    1. Immettere il Nome di un'applicazione significativa da mostrare agli utenti dell'app, come ad esempio ciam-client-app.
    2. In Tipi di account supportati selezionare Account solo in questa directory organizzativa.

  6. Selezionare Registra.

  7. Il riquadro Panoramica dell'applicazione compare al termine della registrazione. Registrare l'ID applicazione (client) da usare nel codice sorgente dell'applicazione.

Per specificare il tipo di app per la registrazione dell'app, seguire questa procedura:

  1. In Gestisci selezionare Autenticazione.
  2. Nella pagina Configurazioni della piattaforma selezionare Aggiungere una piattaforma, quindi selezionare l'opzione Web.
  3. Per gli URI di reindirizzamento immettere http://localhost:3000/auth/redirect.
  4. Selezionare Configurare per salvare le modifiche.

Aggiungere un segreto client dell'app

Creare un segreto client per l'applicazione registrata. L'applicazione usa il segreto client per dimostrare la propria identità quando richiede i token.

  1. Nella pagina Registrazioni app selezionare l'applicazione creata (come ad esempio ciam-client-app) per aprire la relativa pagina di Panoramica.
  2. In Gestisci, selezionare Certificati e segreti.
  3. Selezionare Nuovo segreto client.
  4. Nella casella Descrizione immettere una descrizione per il segreto client, (ad esempio, segreto client dell'app ciam).
  5. In Scadenzaselezionare una durata per la quale il segreto è valido (in base alle regole di sicurezza dell'organizzazione), quindi selezionare Aggiungere.
  6. Registrare il Valore del segreto. Questo valore verrà usato per la configurazione in un passaggio successivo. Il valore del segreto non verrà visualizzato di nuovo e non sarà recuperabile in alcun modo, una volta usciti da Certificati e segreti. Accertarsi di registrarlo.

  1. Nella pagina Registrazioni app, selezionare l'applicazione creata (come ad esempio ciam-client-app) per aprire la relativa pagina di Panoramica.

  2. In Gestisci selezionare Autorizzazioni API. Dall'elenco Autorizzazioni configurate, all'applicazione è stata assegnata l'autorizzazione User.Read. Tuttavia, poiché il tenant è un tenant esterno, gli utenti consumer stessi non possono fornire il consenso a questa autorizzazione. L'amministratore deve fornire il consenso a questa autorizzazione per conto di tutti gli utenti nel tenant:

    1. Selezionare Concedere consenso amministratore per <nome del tenant>, quindi selezionare .
    2. Selezionare Aggiornare, quindi verificare che Concesso per <nome del tenant> venga visualizzato in Stato per entrambi gli ambiti.

Creare un flusso utente

Seguire questa procedura per creare un flusso utente che un cliente può usare per accedere o registrarsi a un'applicazione.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore del flusso utente con ID esterno.

  2. Se si ha accesso a più tenant, usare l'iconaImpostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Identità esterne>Flussi utente.

  4. Selezionare + Nuovo flusso utente.

  5. Nella pagina Crea:

    1. Immettere un Nome per il flusso utente, come ad esempio SignInSignUpSample.

    2. Nell'elenco Provider di identità selezionare Account di posta elettronica. Questo provider di identità consente agli utenti di accedere o registrarsi usando il proprio indirizzo di posta elettronica.

      Nota

      I provider di identità aggiuntivi verranno elencati qui solo dopo aver configurato la federazione con loro. Ad esempio, se si configura la federazione con Google o Facebook, sarà possibile selezionare tali provider di identità aggiuntivi qui.

    3. In Account di posta elettronicaè possibile selezionare una delle due opzioni. Per questa esercitazione, selezionare Indirizzo e-mail con password.

      • E-mail con password: consente ai nuovi utenti di registrarsi e accedere usando un indirizzo di posta elettronica come nome di accesso e una password come credenziale di primo fattore.
      • Passcode monouso per e-mail: consente ai nuovi utenti di registrarsi e accedere usando un indirizzo di posta elettronica come nome di accesso e passcode monouso tramite e-mail come credenziale di primo fattore. Il passcode monouso per e-mail deve essere abilitato a livello di tenant (tutti i provider di identità>Passcode monouso per e-mail) affinché questa opzione sia disponibile a livello di flusso utente.

    4. In Attributi utentescegliere gli attributi da acquisire dall'utente al momento della registrazione. Selezionando Mostra altro, è possibile scegliere attributi e attestazioni per paese/area geografica, nome visualizzatoe codice postale. Seleziona OK. (Agli utenti vengono richiesti gli attributi solo quando si registrano per la prima volta.)

  6. Seleziona Crea. Il nuovo flusso utente viene visualizzato nell'elenco Flussi utente. Se necessario, aggiornare la pagina.

Per abilitare la reimpostazione della password self-service, seguire la procedura descritta nell'articolo Abilitare la reimpostazione della password self-service.

Associare l'applicazione Web al flusso utente

Anche se molte applicazioni possono essere associate al flusso utente, una singola applicazione può essere associata a un solo flusso utente. Un flusso utente consente la configurazione dell'esperienza utente per applicazioni specifiche. Ad esempio, è possibile configurare un flusso utente che richiede agli utenti di accedere o registrarsi con l'indirizzo di posta elettronica.

  1. Nel menu della barra laterale selezionare Identità.

  2. Selezionare Identità esterne, quindi Flussi utente.

  3. Nella pagina Flussi utente, selezionare il nome del flusso utente creato in precedenza, ad esempio SignInSignUpSample.

  4. In Usa, selezionare Applicazioni.

  5. Seleziona Aggiungi applicazione.

  6. Selezionare l'applicazione dall'elenco, come ad esempio ciam-client-app o usare la casella di ricerca per trovare l'applicazione e poi selezionarla.

  7. Scegli Seleziona.

Raccogliere i dettagli di registrazione dell'app

Accertarsi di registrare i dettagli seguenti per l'uso nei passaggi successivi:

  • ID applicazione (client) dell'app Web client registrata.
  • Sottodominio della Directory (tenant) in cui è stata registrata l'app Web. Se non si ha il nome del tenant, vedere come leggere i dettagli del tenant.
  • Valore del segreto client per l'app Web creata.

Passaggio successivo

Parte 2: preparare un'applicazione Web Node.js per l'autenticazione in un tenant esterno