Informazioni su Azure Active Directory B2CWhat is Azure Active Directory B2C?

Azure Active Directory (Azure AD) B2C è un servizio di gestione delle identità che consente di personalizzare e controllare il modo in cui i clienti si iscrivono, accedono e gestiscono i rispettivi profili quando usano le applicazioni,Azure Active Directory (Azure AD) B2C is an identity management service that enables you to customize and control how customers sign up, sign in, and manage their profiles when using your applications. incluse ad esempio le applicazioni sviluppate per iOS, Android e .NET.This includes applications developed for iOS, Android, and .NET, among others. Azure AD B2C consente queste azioni proteggendo al tempo stesso le identità dei clienti.Azure AD B2C enables these actions while protecting your customer identities at the same time.

È possibile configurare un'applicazione registrata con Azure AD B2C per eseguire un'ampia varietà di azioni di gestione dell'identità.You can configure an application registered with Azure AD B2C to perform a variety of identity management actions. Di seguito sono riportati alcuni esempi:Some examples are:

  • Consentire a un cliente di effettuare l'iscrizione per l'uso dell'applicazione registrataEnable a customer to sign up to use your registered application
  • Consentire a un cliente iscritto di accedere e iniziare a usare l'applicazioneEnable a signed-up customer to sign in and start using your application
  • Consentire a un cliente iscritto di modificare il proprio profiloEnable a signed-up customer to edit their profile
  • Abilitare l'autenticazione a più fattori nell'applicazioneEnable multi-factor authentication in your application
  • Consentire al cliente di iscriversi e accedere con specifici provider di identitàEnable the customer to sign up and sign in with specific identity providers
  • Concedere l'accesso dall'applicazione alle API compilateGrant access from your application to APIs that you build
  • Personalizzare l'aspetto dell'esperienza di iscrizione e accessoCustomize the look and feel of the sign-up and sign-in experience
  • Gestire sessioni Single Sign-On per l'applicazioneManage single sign-on sessions for your application

Aspetti da tenere in considerazione prima dell'uso di Azure AD B2CWhat do I need to think about before using Azure AD B2C?

  • In che modo il cliente deve interagire con l'applicazione?How do I want the customer to interact with my application?
  • Che tipo di esperienza dell'interfaccia utente si vuole offrire ai clienti?What is the user interface (UI) experience that I want to provide to customers?
  • Quali provider di identità potranno scegliere i clienti nell'applicazione?Which identity providers do I want to let customers choose from in my application?
  • Il processo di accesso richiede API aggiuntive per l'esecuzione?Does my sign-in process require additional APIs to run?

Interazione del clienteCustomer interaction

Azure AD B2C supporta OpenID Connect per tutte le esperienze dei clienti.Azure AD B2C supports OpenID Connect for all customer experiences. Nell'implementazione di OpenID Connect in Azure AD B2C l'applicazione avvia questo percorso utente inviando richieste di autenticazione ad Azure AD B2C.In the Azure AD B2C implementation of OpenID Connect, your application initiates this user journey by issuing authentication requests to Azure AD B2C. Il risultato della richiesta è un id_token.The result of the request is an id_token. Questo token di sicurezza rappresenta l'identità del cliente.This security token represents the customer's identity.

Ogni applicazione che usa Azure AD B2C deve essere registrata in un tenant di Azure AD B2C tramite il portale di Azure.Every application that uses Azure AD B2C must be registered in an Azure AD B2C tenant using the Azure portal. Il processo di registrazione raccoglie e assegna all'applicazione alcuni valori.The registration process collects and assigns values to your application. Questi valori includono un ID dell'applicazione, che identifica in modo univoco l'applicazione, e un URI di reindirizzamento, che può essere usato per reindirizzare le risposte.These values include an application ID that uniquely identifies the application and a redirect URI that can be used to direct responses back to it.

Ogni interazione di un'applicazione segue un modello generale simile al seguente:The interaction of every application follows a similar high-level pattern:

  1. L'applicazione indirizza il cliente per l'esecuzione dei criteri.The application directs the customer to run a policy.
  2. Il cliente completa i criteri in base alla relativa definizione.The customer completes the policy according to the policy definition.
  3. L'applicazione riceve un token di sicurezza.The application receives a security token.
  4. L'applicazione usa il token di sicurezza per tentare di accedere a una risorsa protetta.The application uses the security token to attempt to access a protected resource.
  5. Il server delle risorse convalida il token di sicurezza per verificare che sia possibile concedere l'accesso.The resource server validates the security token to verify that access can be granted.
  6. L'applicazione aggiorna periodicamente il token di sicurezza.The application periodically refreshes the security token.

Questi passaggi possono presentare lievi differenze a seconda del tipo di applicazione che si sta compilando.These steps can differ slightly based on the type of application you are building.

Azure AD B2C interagisce in sequenza con i provider di identità, i clienti, altri sistemi e la directory locale per completare un'attività di identità,Azure AD B2C interacts with identity providers, customers, other systems, and with the local directory in sequence to complete an identity task. ad esempio accesso di un cliente, registrazione di un nuovo cliente o reimpostazione di una password.For example, sign in a customer, register a new customer, or reset a password. La piattaforma sottostante che stabilisce le relazioni di trust tra più parti ed esegue questi passaggi è denominata Framework dell'esperienza di gestione delle identità.The underlying platform that establishes multi-party trust and completes these steps is called the Identity Experience Framework. Questo framework e un criterio (detto anche percorso utente o criterio del framework di attendibilità) definiscono in modo esplicito gli attori, le azioni, i protocolli e la sequenza di passaggi da completare.This framework and a policy (also called a user journey or a Trust Framework policy) explicitly defines the actors, the actions, the protocols, and the sequence of steps to complete.

Azure AD B2C assicura la protezione delle applicazioni da attacchi Denial of Service e alle password in diversi modi.Azure AD B2C protects from denial-of-service and password attacks against your applications in multiple ways. Azure AD B2C usa tecniche di rilevamento e mitigazione, ad esempio cookie SYN e limiti di velocità e connessione, per proteggere le risorse dagli attacchi Denial of Service.Azure AD B2C uses detection and mitigation techniques like SYN cookies and rate and connection limits to protect resources against denial-of-service attacks. Questa mitigazione è disponibile anche per gli attacchi di forza bruta e per gli attacchi alle password con dizionario.Mitigation is also included for brute-force password attacks and dictionary password attacks.

Criteri predefinitiBuilt-in policies

Ogni richiesta inviata ad Azure AD B2C specifica un criterio.Each request that is sent to Azure AD B2C specifies a policy. Un criterio controlla il comportamento dell'applicazione durante l'interazione con Azure AD B2C.A policy controls the behavior of how your application interacts with Azure AD B2C. Sono disponibili criteri predefiniti per le attività di identità più comuni, ad esempio iscrizione, accesso e modifica del profilo.Built-in policies are predefined for the most common identity tasks, such as sign-up, sign-in, and profile editing. Ad esempio, i criteri di iscrizione consentono di controllare i comportamenti configurando le impostazioni seguenti:For instance, a sign-up policy allows you to control behaviors by configuring the following settings:

  • Account di social networking che il cliente può usare per eseguire l'iscrizione per l'applicazioneSocial accounts that the customer can use to sign up for the application
  • Dati raccolti dal cliente, ad esempio il nome o il codice postaleData collected from the customer such as first name or postal code
  • Autenticazione a più fattoriMulti-factor authentication
  • Aspetto di tutte le pagine di iscrizioneLook and feel of all sign-up pages
  • Informazioni restituite all'applicazioneInformation returned to the application

Criteri personalizzatiCustom policies

I criteri personalizzati sono file di configurazione che definiscono il comportamento del Framework dell'esperienza di gestione delle identità nel tenant di Azure AD B2C.Custom policies are configuration files that define the behavior of the Identity Experience Framework in your Azure AD B2C tenant. I criteri personalizzati possono essere completamente modificati per completare numerose attività.Custom policies can be fully edited to complete many tasks. Un criterio personalizzato è rappresentato come uno o più file in formato XML che fanno riferimento l'uno all'altro in una catena gerarchica.A custom policy is represented as one or several XML-formatted files that refer to each other in a hierarchical chain.

È possibile usare più criteri personalizzati di diversi tipi nel tenant di Azure AD B2C in base alle esigenze e riutilizzarli per più applicazioni.Multiple custom policies of different types can be used in your Azure AD B2C tenant as needed and can be reused across applications. In questo modo è possibile definire e modificare le esperienze delle identità dei clienti con modifiche minime al codice o anche senza alcuna modifica al codice.This flexibility enables you to define and modify customer identity experiences with minimal or no changes to your code. I criteri possono essere usati aggiungendo uno speciale parametro di query alle richieste di autenticazione HTTP.Policies can be used by adding a special query parameter to HTTP authentication requests.

I criteri personalizzati possono essere usati per controllare i percorsi utente nei modi seguenti:Custom policies can be used to control user journeys in these ways:

  • Definendo l'interazione con le API per acquisire informazioni aggiuntive, verificare le attestazioni fornite dai clienti oppure attivare processi esterni.Defining interaction with APIs to capture additional information, verify customer provided claims, or trigger external processes.
  • Modificando il comportamento in base alle attestazioni dalle API o alle attestazioni nella directory, ad esempio migrationStatus.Changing behavior based on claims from APIs or from claims in the directory such as migrationStatus.
  • Eseguendo qualsiasi flusso di lavoro non coperto dai criteri predefiniti,Any workflow not covered by built-in policies. ad esempio la raccolta di informazioni aggiuntive da un cliente durante un'esperienza di accesso e l'esecuzione di un controllo delle autorizzazioni per l'accesso a una risorsa.For example, gathering more information from a customer during a sign-in experience and performing an authorization check to access a resource.

Provider di identitàIdentity providers

Un provider di identità è un servizio che autentica le identità dei clienti e rilascia token di sicurezza.An identity provider is a service that authenticates customer identities and issues security tokens. In Azure AD B2C è possibile configurare diversi provider di identità nel tenant, ad esempio un account Microsoft, Facebook o Amazon tra gli altri.In Azure AD B2C, you can configure a number of identity providers in your tenant, such as a Microsoft account, Facebook, or Amazon among others.

Per configurare un provider di identità nel tenant di Azure AD B2C, è necessario registrare l'identificatore dell'applicazione o l'identificatore del client e la password o il segreto client dall'applicazione del provider di identità creato.To configure an identity provider in your Azure AD B2C tenant, you must record the application identifier or client identifier and the password or client secret from the identity provider application that you create. Questo identificatore e la password vengono quindi usati per configurare l'applicazione.This identifier and password are then used to configure your application.

Esperienza dell'interfaccia utenteUser Interface experience

È possibile controllare la maggior parte del contenuto HTML e CSS che viene presentato ai clienti.Most of the HTML and CSS content that's presented to customers can be controlled. Con la funzionalità di personalizzazione dell'interfaccia utente della pagina, è possibile definire l'aspetto di qualsiasi criterio.By using the page UI customization feature, you customize the look and feel of any policy. È anche possibile mantenere la coerenza visiva e del marchio tra l'applicazione e Azure AD B2C.You can also maintain brand and visual consistency between your application and Azure AD B2C.

Azure AD B2C esegue il codice nel browser del cliente e usa un approccio moderno denominato Condivisione di risorse tra le origini (CORS).Azure AD B2C runs code in the customer's browser and uses a modern approach called Cross-Origin Resource Sharing (CORS). In primo luogo, specificare un URL nel criterio con contenuto HTML personalizzato.First, you specify a URL in a policy with customized HTML content. Azure AD B2C unisce elementi dell'interfaccia utente con il contenuto HTML caricato dall'URL e quindi visualizza la pagina al cliente.Azure AD B2C merges UI elements with the HTML content that's loaded from your URL and then displays the page to the customer.

È possibile inviare parametri ad Azure AD B2C in una stringa di query.You can send parameters to Azure AD B2C in a query string. Passando il parametro all'endpoint HTML, è possibile modificare dinamicamente il contenuto della pagina.By passing the parameter to your HTML endpoint, you can dynamically change the page content. È ad esempio possibile modificare l'immagine di sfondo della pagina di accesso o di iscrizione ad Azure AD B2C in base a un parametro passato dall'applicazione Web o per dispositivi mobili.For example, you can change the background image on the Azure AD B2C sign-up or sign-in page, based on a parameter that you pass from your web or mobile application.

Come si può iniziare a usare Azure AD B2C?How do I get started with Azure AD B2C?

In Azure AD B2C un tenant rappresenta l'organizzazione ed è una directory di utenti.In Azure AD B2C, a tenant represents your organization and is a directory of users. Ogni tenant di Azure AD B2C è distinto e separato dagli altri tenant di Azure AD B2C.Each Azure AD B2C tenant is distinct and separate from other Azure AD B2C tenants. Un tenant contiene informazioni sui clienti che hanno effettuato l'iscrizione per l'uso dell'applicazione,A tenant contains information about the customers that have signed up to use your application. ad esempio le password, i dati di profilo e le autorizzazioni.For example, passwords, profile data, and permissions.

È necessario collegare il tenant di Azure AD B2C alla sottoscrizione di Azure per abilitare tutte le funzionalità e pagare i costi di utilizzo.You need to link your Azure AD B2C tenant to your Azure subscription to enable all functionality and pay for usage charges. Per consentire ai clienti di Azure AD B2C di accedere all'applicazione, è necessario registrarla in un tenant di Azure AD B2C.To allow Azure AD B2C customers to sign in to your application, you must register your application in an Azure AD B2C tenant.

Prima di configurare l'applicazione per l'uso di Azure AD B2C, è innanzitutto necessario creare un tenant di Azure AD B2C e registrare l'applicazione.Before you configure your application to use Azure AD B2C, you first need to create an Azure AD B2C tenant and register your application. Per registrare l'applicazione, seguire la procedura descritta in Tutorial: Register an application to enable sign-up and sign-in using Azure AD B2C (Esercitazione: registrare un'applicazione per consentire l'iscrizione e l'accesso tramite Azure AD B2C).To register your application, complete the steps in Tutorial: Register an application to enable sign-up and sign-in using Azure AD B2C.

Gli sviluppatori di applicazioni Web ASP.NET possono impostare l'applicazione per l'autenticazione degli account tramite la procedura descritta in Tutorial: Enable a web application to authenticate with accounts using Azure AD B2C (Esercitazione: abilitare un'applicazione Web per l'autenticazione con gli account tramite Azure AD B2C).If you are an ASP.NET web application developer, set up your application to authenticate accounts using the steps in Tutorial: Enable a web application to authenticate with accounts using Azure AD B2C.

Gli sviluppatori di applicazioni desktop possono impostare l'applicazione per l'autenticazione degli account tramite la procedura descritta in Tutorial: Enable a desktop application to authenticate with accounts using Azure AD B2C (Esercitazione: abilitare un'applicazione desktop per l'autenticazione con gli account tramite Azure AD B2C).If your are a desktop application developer, set up your application to authenticate accounts using the steps in Tutorial: Enable a desktop application to authenticate with accounts using Azure AD B2C.

Gli sviluppatori di applicazioni a pagina singola che usano Node.js possono impostare l'applicazione per l'autenticazione degli account tramite la procedura descritta in Tutorial: Enable a single-page application to authenticate with accounts using Azure AD B2C (Esercitazione: abilitare un'applicazione a pagina singola per l'autenticazione con gli account tramite Azure AD B2C).If you are a single-page application developer using Node.js, set up your application to authenticate accounts using the steps in Tutorial: Enable a single-page application to authenticate with accounts using Azure AD B2C.

Passaggi successiviNext steps

Avviare la configurazione dell'applicazione per l'esperienza di iscrizione e accesso passando all'esercitazione.Start configuring your application for the sign-up and sign-in experience by continuing to the tutorial.