Condividi tramite

Come abilitare applicazioni client native per l'interazione con applicazioni proxy

Microsoft Entra application proxy viene usato per pubblicare app Web. È anche possibile usarlo per pubblicare applicazioni client native configurate con Microsoft Authentication Library (MSAL). Le applicazioni client differiscono dalle app Web perché sono installate in un dispositivo, mentre le app Web sono accessibili tramite un browser.

Per supportare le applicazioni client native, il proxy dell'applicazione accetta i token rilasciati da Microsoft Entra ID inviati nell'intestazione. Il servizio proxy dell'applicazione esegue l'autenticazione per gli utenti. Questa soluzione non prevede l'uso dei token di applicazione per l'autenticazione.

Relazione tra utenti finali, MICROSOFT Entra ID e applicazioni pubblicate

Per pubblicare applicazioni native, usare Microsoft Authentication Library, che si occupa dell'autenticazione e supporta molti ambienti client. Il proxy dell'applicazione si integra nello scenario dell'app desktop che chiama un'API Web per conto di un utente autenticato.

Questo articolo illustra i quattro passaggi per pubblicare un'applicazione nativa con proxy applicazione e Microsoft Authentication Library (MSAL).

Passaggio 1: Pubblicare l'applicazione proxy

Pubblicare l'applicazione proxy come qualsiasi altra applicazione e assegnare agli utenti l'accesso all'applicazione. Per altre informazioni, vedere Pubblicare applicazioni con il proxy dell'applicazione.

Passaggio 2: Registrare l'applicazione nativa

È ora necessario registrare l'applicazione in Microsoft Entra ID.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dell'applicazione.

  2. Selezionare il nome utente nell'angolo superiore destro. Verificare di aver effettuato l'accesso a una directory che utilizza un proxy applicativo. Se è necessario modificare le directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.

  3. Vai a Entra ID>Registrazioni app. Verrà visualizzato l'elenco di tutte le registrazioni delle app.

  4. Selezionare Nuova registrazione. Verrà visualizzata la pagina Registra un'applicazione .

    Creare una nuova registrazione dell'app nell'interfaccia di amministrazione di Microsoft Entra

  5. Nell'intestazione Nome specificare un nome visualizzato rivolto all'utente per l'applicazione.

  6. Nell'intestazione Tipi di account supportati selezionare un livello di accesso usando queste linee guida.

    • Per impostare come destinazione solo gli account interni all'organizzazione, selezionare Account solo in questa directory organizzativa.
    • Per definire come destinazione solo i clienti aziendali o didattici, selezionare Account in qualsiasi directory organizzativa.
    • Per puntare al gruppo più ampio di identità Microsoft, selezionare Account in qualsiasi directory organizzativa e account Microsoft personali.

  7. In URI di reindirizzamento selezionare Client pubblico (mobile e desktop) e quindi digitare l'URI https://login.microsoftonline.com/common/oauth2/nativeclient di reindirizzamento per l'applicazione.

  8. Selezionare e leggere i criteri della piattaforma Microsoft e quindi selezionare Registra. Verrà creata e visualizzata una pagina di panoramica per la registrazione della nuova applicazione.

Per informazioni più dettagliate sulla creazione di una nuova registrazione dell'applicazione, vedere Integrazione di applicazioni con Microsoft Entra ID.

Passaggio 3: Concedere l'accesso all'applicazione proxy

L'applicazione nativa è registrata. Concedere l'accesso all'applicazione proxy:

  1. Nella barra laterale della nuova pagina di registrazione dell'applicazione selezionare Autorizzazioni API. Viene visualizzata la pagina Autorizzazioni API per la registrazione della nuova applicazione.
  2. Selezionare Aggiungi un'autorizzazione. Viene visualizzata la pagina Richiedi autorizzazioni API .
  3. Nell'impostazione Selezionare un'API selezionare API usate dall'organizzazione. Verrà visualizzato un elenco contenente le applicazioni presenti nella directory che espongono API.
  4. Digitare nella casella di ricerca o scorrere per trovare l'applicazione proxy pubblicata nel passaggio 1: Pubblicare l'applicazione proxy e quindi selezionare l'applicazione proxy.
  5. Nell'intestazione Quale tipo di autorizzazioni è necessaria per l'applicazione? selezionare il tipo di autorizzazione. Se l'applicazione nativa deve accedere all'API dell'applicazione proxy come utente connesso, scegliere Autorizzazioni delegate.
  6. Nell'intestazione Selezionare le autorizzazioni selezionare l'autorizzazione desiderata e selezionare Aggiungi autorizzazioni. La pagina Autorizzazioni API per l'applicazione nativa mostra ora l'applicazione proxy e l'API di autorizzazione aggiunti.

Passaggio 4: Aggiungere Microsoft Authentication Library al codice (esempio C# .NET)

Modificare il codice dell'applicazione nativa nel contesto di autenticazione di Microsoft Authentication Library (MSAL) per includere il testo seguente:

// Acquire access token from Microsoft Entra ID for proxy application
IPublicClientApplication clientApp = PublicClientApplicationBuilder
.Create(<App ID of the Native app>)
.WithDefaultRedirectUri() // will automatically use the default Uri for native app
.WithAuthority("https://login.microsoftonline.com/{<Tenant ID>}")
.Build();

AuthenticationResult authResult = null;
var accounts = await clientApp.GetAccountsAsync();
IAccount account = accounts.FirstOrDefault();

IEnumerable<string> scopes = new string[] {"<Scope>"};

try
 {
    authResult = await clientApp.AcquireTokenSilent(scopes, account).ExecuteAsync();
 }
    catch (MsalUiRequiredException ex)
 {
     authResult = await clientApp.AcquireTokenInteractive(scopes).ExecuteAsync();                
 }

if (authResult != null)
 {
  //Use the Access Token to access the Proxy Application

  HttpClient httpClient = new HttpClient();
  httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", authResult.AccessToken);
  HttpResponseMessage response = await httpClient.GetAsync("<Proxy App Url>");
 }

Le informazioni necessarie nel codice di esempio sono disponibili nell'interfaccia di amministrazione di Microsoft Entra, come indicato di seguito:

Informazione necessaria Come trovarla nell'interfaccia di amministrazione di Microsoft Entra
<ID tenant> ENTRA ID>Panoramica>Proprietà
<ID dell'app nativa> Registrazione dell'applicazione>applicazione nativa>Panoramica>ID applicazione
<Ambito> autorizzazioni API per la tua applicazione nativaseleziona l'autorizzazione dell'API (user_impersonation). Un pannello con la didascalia user_impersonation appare sul lato destro. > L'ambito è l'URL nella casella di modifica.
<URL dell'app proxy> URL esterno e percorso dell'API

Dopo aver modificato il codice MSAL con questi parametri, gli utenti possono eseguire l'autenticazione alle applicazioni client native anche quando si trovano all'esterno della rete aziendale.

Passaggi successivi

Per altre informazioni sul flusso dell'applicazione nativa, vedere App per dispositivi mobili e desktop in Microsoft Entra ID.

Informazioni sulla configurazione dell'accesso Single Sign-On alle applicazioni in Microsoft Entra ID.

  • Last updated on