Registrare app per dispositivi mobili che chiamano API Web

  • Articolo

Questo articolo contiene istruzioni per registrare un'applicazione per dispositivi mobili che si sta creando.

Tipi di account supportati

I tipi di account supportati dalle applicazioni per dispositivi mobili dipendono dall'esperienza che si vuole abilitare e dai flussi da usare.

Destinatari per l'acquisizione interattiva dei token

La maggior parte delle applicazioni per dispositivi mobili usa l'autenticazione interattiva. Se l'app usa questa forma di autenticazione, è possibile accedere agli utenti da qualsiasi tipo di account.

Destinatari per autenticazione di Windows integrati, nome utente e B2C

Se hai un'app piattaforma UWP (Universal Windows Platform) (UWP), puoi usare autenticazione di Windows integrato (IWA) per accedere agli utenti. Per usare l'autenticazione con password utente o IWA, l'applicazione deve accedere agli utenti nel proprio tenant per sviluppatori line-of-business (LOB). In uno scenario indipendente del fornitore di software (ISV), l'applicazione può consentire agli utenti di accedere alle organizzazioni Di Microsoft Entra. Questi flussi di autenticazione non sono supportati per gli account personali Microsoft.

È anche possibile accedere agli utenti usando identità di social networking che passano un'autorità e criteri B2C. Per usare questo metodo, è possibile usare solo l'autenticazione interattiva e l'autenticazione con password utente. L'autenticazione con nome utente-password è attualmente supportata solo in Xamarin.iOS, Xamarin.Android e UWP.

Per altre informazioni, vedere Scenari e flussi di autenticazione supportati e scenari e piattaforme e linguaggi supportati.

Configurazione della piattaforma e URI di reindirizzamento

Autenticazione interattiva

Quando si compila un'app per dispositivi mobili che usa l'autenticazione interattiva, il passaggio di registrazione più critico è l'URI di reindirizzamento. Questa esperienza consente all'app di ottenere l'accesso Single Sign-On (SSO) tramite Microsoft Authenticator (e Portale aziendale Intune in Android). Supporta anche i criteri di gestione dei dispositivi.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno uno sviluppatore di applicazioni.

  2. Passare a Applicazioni> di identità>Registrazioni app.

  3. Seleziona Nuova registrazione.

  4. Immettere un nome per l'applicazione.

  5. Per Tipi di account supportati selezionare Account solo in questa directory dell'organizzazione.

  6. Selezionare Registra.

  7. Selezionare Autenticazione e quindi Aggiungi una piattaforma.

    Add a platform.

  8. Quando l'elenco delle piattaforme è supportato, selezionare iOS/macOS.

    Choose a mobile application.

  9. Immettere l'ID bundle e quindi selezionare Configura.

    Enter your bundle ID.

Quando si completano i passaggi, l'URI di reindirizzamento viene calcolato automaticamente, come nell'immagine seguente.

Resulting redirect URI.

Se si preferisce configurare manualmente l'URI di reindirizzamento, è possibile farlo tramite il manifesto dell'applicazione. Ecco il formato consigliato per il manifesto:

  • iOS: msauth.<BUNDLE_ID>://auth
    • Ad esempio, immettere msauth.com.yourcompany.appName://auth
  • Android: msauth://<PACKAGE_NAME>/<SIGNATURE_HASH>
    • È possibile generare l'hash della firma Android usando la chiave di rilascio o la chiave di debug tramite il comando KeyTool.

Autenticazione con nome utente-password

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Se l'app usa solo l'autenticazione con nome utente-password, non è necessario registrare un URI di reindirizzamento per l'applicazione. Questo flusso esegue un round trip per Microsoft Identity Platform. L'applicazione non verrà richiamata in alcun URI specifico.

Identificare tuttavia l'applicazione come applicazione client pubblica. A questo scopo:

  1. Sempre nell'interfaccia di amministrazione di Microsoft Entra selezionare l'app in Registrazioni app e quindi selezionare Autenticazione.

  2. In Impostazioni avanzate>Consenti flussi>client pubblici Abilitare i flussi per dispositivi mobili e desktop seguenti: selezionare Sì.

    Enable public client setting on Authentication pane in Azure portal

Autorizzazioni API

Le applicazioni per dispositivi mobili chiamano le API per l'utente connesso. L'app deve richiedere autorizzazioni delegate. Queste autorizzazioni sono dette anche ambiti. A seconda dell'esperienza desiderata, è possibile richiedere le autorizzazioni delegate in modo statico tramite il portale di Azure. In alternativa, è possibile richiederli in modo dinamico in fase di esecuzione.

Registrando in modo statico le autorizzazioni, gli amministratori possono approvare facilmente l'app. È consigliabile eseguire la registrazione statica.

Passaggi successivi

Passare all'articolo successivo in questo scenario, Configurazione del codice dell'app.