Scoprire l'accesso condizionale
La funzionalità di accesso condizionale in Microsoft Entra ID è una delle opzioni disponibili per garantire la sicurezza dell'app e proteggere un servizio. L'accesso condizionale consente agli sviluppatori e ai clienti aziendali di proteggere i servizi in molti modi, tra cui:
- Autenticazione a più fattori
- Consentire solo ai dispositivi registrati in Intune di accedere a servizi specifici
- Limitare le posizioni utente e gli intervalli IP
Qual è l'impatto dell'accesso condizionale su un'app?
Nella maggior parte dei casi, l'accesso condizionale non modifica il comportamento di un'app né richiede modifiche da parte dello sviluppatore. Solo in alcuni casi, quando un'app richiede in modo indiretto o automatico un token per un servizio, sono necessarie modifiche al codice per gestire le richieste di accesso condizionale. L'operazione può essere semplice quanto l'esecuzione di una richiesta di accesso interattiva.
In particolare per gli scenari seguenti è necessario un codice per gestire le problematiche relative all'accesso condizionale:
- App che eseguono il flusso On-Behalf-Of
- App che accedono a più servizi/risorse
- App a pagina singola che usano MSAL.js
- App Web che chiamano una risorsa
I criteri di accesso condizionale possono essere applicati all'app e anche a un'API Web a cui l'app accede. A seconda dello scenario, un cliente aziendale può applicare e rimuovere i criteri di accesso condizionale in qualsiasi momento. Affinché l'app continui a funzionare quando vengono applicati nuovi criteri, è necessario implementare la gestione delle richieste.
Esempio di accesso condizionale
In alcuni scenari è necessario modificare il codice per gestire l'accesso condizionale, mentre in altri il funzionamento rimane invariato. Di seguito sono illustrati alcuni scenari in cui viene usato l'accesso condizionale per eseguire l'autenticazione a più fattori, con informazioni dettagliate sulla differenza.
Si sta creando un'app iOS a tenant singolo e si applicano criteri di accesso condizionale. L'app concede l'accesso a un utente e non richiede l'accesso a un'API. Quando l'utente esegue l'accesso, i criteri vengono richiamati automaticamente e l'utente deve eseguire l'autenticazione a più fattori.
Si sta creando un'app che usa un servizio di livello intermedio per accedere a un'API downstream. Un cliente aziendale dell'azienda che usa questa app applica i criteri all'API downstream. Quando un utente finale esegue l'accesso, l'app richiede l'accesso al livello intermedio e invia il token. Il livello intermedio esegue il flusso On-Behalf-Of per richiedere l'accesso all'API downstream. A questo punto, il livello intermedio si trova di fronte a un problema di richieste. Il livello intermedio invia la richiesta all'app, che deve essere conforme ai criteri di accesso condizionale.