Guida introduttiva: Registrare un'applicazione con Microsoft Identity Platform

Questo argomento di avvio rapido illustra come registrare un'app nel portale di Azure in modo che Microsoft Identity Platform possa fornire servizi di autenticazione e autorizzazione per l'applicazione e i relativi utenti.

Il Microsoft Identity Platform esegue la gestione delle identità e degli accessi (IAM) solo per le applicazioni registrate. Sia che si tratti di un'applicazione client, come un'app Web o per dispositivi mobili, oppure di un'API Web a supporto di un'app client, la registrazione consente di stabilire una relazione di trust tra l'applicazione e il provider di identità, ovvero Microsoft Identity Platform.

Suggerimento

Per registrare un'applicazione Azure AD B2C, seguire la procedura descritta in Esercitazione: Registrare un'applicazione Web in Azure AD B2C.

Prerequisiti

Registrare un'applicazione

La registrazione dell'applicazione consente di stabilire una relazione di trust tra l'app e Microsoft Identity Platform. La relazione di trust è unidirezionale, ovvero l'app considera attendibile Microsoft Identity Platform e non viceversa.

Per creare la registrazione dell'app, seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Se si ha accesso a più tenant, usare il filtro Directory e sottoscrizioni nel menu superiore per passare al tenant in cui si vuole registrare l'applicazione.

  3. Cercare e selezionare Azure Active Directory.

  4. In Gestisci selezionare Registrazioni app > Nuova registrazione.

  5. Immettere un nome visualizzato per l'applicazione. Gli utenti dell'applicazione potrebbero visualizzare il nome visualizzato quando usano l'app, ad esempio durante l'accesso. È possibile modificare il nome visualizzato in qualsiasi momento e più registrazioni dell'app possono condividere lo stesso nome. L'ID applicazione (client) generato automaticamente dalla registrazione dell'app, non il relativo nome visualizzato, identifica in modo univoco l'app all'interno della piattaforma di identità.

  6. Specificare gli utenti che possono usare l'applicazione, talvolta denominata destinatari dell'accesso.

    Tipi di account supportati Descrizione
    Account solo in questa directory organizzativa Selezionare questa opzione se si intende creare un'applicazione utilizzabile solo da utenti (o guest) nel tenant personale.

    Spesso definita applicazione line-of-business (LOB), questa app è un'applicazione a tenant singolo nel Microsoft Identity Platform.
    Account in qualsiasi directory organizzativa Selezionare questa opzione se si vuole che gli utenti in qualsiasi tenant Azure Active Directory (Azure AD) possano usare l'applicazione. Questa opzione è appropriata se, ad esempio, si sta creando un'applicazione SaaS (Software-As-A-Service) che si intende fornire a più organizzazioni.

    Questo tipo di app è noto come applicazione multi-tenant nel Microsoft Identity Platform.
    Account in qualsiasi directory organizzativa e account Microsoft personali Selezionare questa opzione per includere il set più ampio possibile di clienti.

    Selezionando questa opzione, si registra un'applicazione multi-tenant in grado di supportare anche gli utenti con account Microsoft personali.
    Account Microsoft personali Selezionare questa opzione se si sta creando un'applicazione solo per gli utenti con account Microsoft personali. Gli account Microsoft personali includono gli account Skype, Xbox, Live e Hotmail.
  7. Non immettere alcun valore per URI di reindirizzamento (facoltativo). Nella sezione successiva verrà configurato un URI di reindirizzamento.

  8. Selezionare Registra per completare la registrazione iniziale dell'app.

    Screenshot dell'portale di Azure in un Web browser, che mostra il riquadro Registra un'applicazione.

Al termine della registrazione, il portale di Azure visualizza il riquadro Panoramica della registrazione dell'app. Viene visualizzato l'ID applicazione (client). Detto anche ID client, questo valore identifica in modo univoco l'applicazione nel Microsoft Identity Platform.

Importante

Le nuove registrazioni delle app sono nascoste agli utenti per impostazione predefinita. Quando si è pronti per consentire agli utenti di visualizzare l'app App personali pagina, è possibile abilitarla. Per abilitare l'app, nel portale di Azure passare Azure Active Directory > Enterprise applicazioni e selezionare l'app. Nella pagina Proprietà impostare quindi Visibile agli utenti? su Sì.

Anche il codice dell'applicazione, o più in genere una libreria di autenticazione usata nell'applicazione, usa l'ID client. L'ID viene usato come parte della convalida dei token di sicurezza ricevuti dalla piattaforma di identità.

Screenshot dell'portale di Azure in un Web browser, che mostra il riquadro Panoramica della registrazione di un'app.

Aggiungere un URI di reindirizzamento

Un URI di reindirizzamento è il percorso in cui il Microsoft Identity Platform reindirizza il client di un utente e invia i token di sicurezza dopo l'autenticazione.

In un'applicazione Web di produzione, ad esempio, l'URI di reindirizzamento è spesso un endpoint pubblico in cui viene eseguita l'app, ad esempio https://contoso.com/auth-response. Durante lo sviluppo capita di aggiungere l'endpoint in cui l'app viene eseguita in locale, ad esempio https://127.0.0.1/auth-response o http://localhost/auth-response.

Per aggiungere e modificare gli URI di reindirizzamento per le applicazioni registrate, configurarne le impostazioni della piattaforma.

Configurare le impostazioni della piattaforma

Le impostazioni per ogni tipo di applicazione, inclusi gli URI di reindirizzamento, vengono configurate in Configurazioni della piattaforma nel portale di Azure. Con alcune piattaforme, ad esempio le applicazioni Web e a pagina singola, è necessario specificare manualmente un URI di reindirizzamento. Per altre piattaforme, ad esempio per applicazioni desktop e per dispositivi mobili, è possibile scegliere tra gli URI di reindirizzamento generati quando si configurano le altre impostazioni di tali piattaforme.

Per configurare le impostazioni dell'applicazione in base alla piattaforma o al dispositivo di destinazione:

  1. Nell'portale di Azure, in Registrazioni app selezionare l'applicazione.

  2. In Gestisci selezionare Autenticazione.

  3. In Configurazioni della piattaforma selezionare Aggiungi una piattaforma.

  4. In Configura piattaforme selezionare il riquadro per il tipo di applicazione (piattaforma) per configurarne le impostazioni.

    Screenshot del riquadro di configurazione della piattaforma nel portale di Azure.

    Piattaforma Impostazioni di configurazione
    Web Immettere un URI di reindirizzamento per l'app. Questo URI è il percorso in cui il Microsoft Identity Platform reindirizza il client di un utente e invia i token di sicurezza dopo l'autenticazione.

    Selezionare questa piattaforma per le applicazioni Web standard eseguite in un server.
    Applicazione a pagina singola Immettere un URI di reindirizzamento per l'app. Questo URI è il percorso in cui il Microsoft Identity Platform reindirizza il client di un utente e invia i token di sicurezza dopo l'autenticazione.

    Selezionare questa piattaforma se si sta creando un'app Web sul lato client usando JavaScript o un framework come Angular, Vue.js, React.js o Blazor WebAssembly.
    iOS/macOS Immettere l'ID bundle dell'app. Trovarlo in Build Impostazioni o in Xcode in Info.plist.

    Quando si specifica un ID bundle, viene generato automaticamente un URI di reindirizzamento.
    Android Immettere il nome del pacchetto dell'app. Trovarlo nel file AndroidManifest.xml. Generare e immettere anche l'hash della firma.

    Quando si specificano queste impostazioni, viene generato automaticamente un URI di reindirizzamento.
    Applicazioni per dispositivi mobili e desktop Selezionare uno degli URI di reindirizzamento suggeriti. Oppure specificare un URI di reindirizzamento personalizzato.

    Per le applicazioni desktop che usano il browser incorporato, è consigliabile
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Per le applicazioni desktop che usano il browser di sistema, è consigliabile
    http://localhost

    Selezionare questa piattaforma per le applicazioni per dispositivi mobili che non usano la versione più recente di Microsoft Authentication Library (MSAL) o non usano un broker. Selezionare questa piattaforma anche per le applicazioni desktop.
  5. Selezionare Configura per completare la configurazione della piattaforma.

Restrizioni relative agli URI di reindirizzamento

Esistono alcune restrizioni sul formato degli URI di reindirizzamento aggiunti alla registrazione di un'app. Per informazioni dettagliate su queste restrizioni, vedere Restrizioni e limitazioni dell'URI di reindirizzamento (URL di risposta).

Aggiungere le credenziali

Le credenziali vengono usate dalle applicazioni client riservate che accedono a un'API Web. Esempi di client riservati sono app Web, altre API Web o applicazioni di tipo servizio e daemon. Le credenziali consentono all'applicazione di eseguire l'autenticazione in modo autonomo, senza richiedere alcuna interazione utente in fase di esecuzione.

È possibile aggiungere sia certificati che segreti client (una stringa) come credenziali della registrazione dell'app client riservata.

Screenshot dell'portale di Azure, che mostra il riquadro Certificati e segreti nella registrazione di un'app.

Aggiungere un certificato

A volte chiamato chiave pubblica, un certificato è il tipo di credenziale consigliato perché sono considerati più sicuri dei segreti client. Per altre informazioni sull'uso di un certificato come metodo di autenticazione nell'applicazione, vedere Microsoft Identity Platform credenziali del certificato di autenticazione dell'applicazione.

  1. Nella finestra portale di Azure, in Registrazioni app selezionare l'applicazione.
  2. Selezionare Certificati e segreti > Carica certificato.
  3. Selezionare il file da caricare. Deve essere uno dei tipi di file seguenti: .cer, .pem, .crt.
  4. Selezionare Aggiungi.

Aggiungere un segreto client

A volte chiamato password dell'applicazione, un segreto client è un valore stringa che l'app può usare al posto di un certificato per l'identità stessa.

I segreti client sono considerati meno sicuri delle credenziali del certificato. Gli sviluppatori di applicazioni talvolta usano i segreti client durante lo sviluppo di app locali a causa della facilità d'uso. È tuttavia consigliabile usare le credenziali del certificato per qualsiasi applicazione in esecuzione nell'ambiente di produzione.

  1. Nella finestra portale di Azure, in Registrazioni app selezionare l'applicazione.
  2. Selezionare Certificati e segreti > Nuovo segreto client.
  3. Aggiungere una descrizione per il segreto client.
  4. Selezionare una scadenza per il segreto o specificare una durata personalizzata.
    • La durata del segreto client è limitata a due anni (24 mesi) o meno. Non è possibile specificare una durata personalizzata più lunga di 24 mesi.
    • Microsoft consiglia di impostare un valore di scadenza inferiore a 12 mesi.
  5. Selezionare Aggiungi.
  6. Registrare il valore del segreto da usare nel codice dell'applicazione client. Questo valore segreto non viene mai più visualizzato dopo aver lasciato questa pagina.

Per consigli sulla sicurezza delle applicazioni, vedere Microsoft Identity Platform procedure consigliate e raccomandazioni.

Passaggi successivi

Le applicazioni client devono in genere accedere alle risorse in un'API Web. È possibile proteggere l'applicazione client usando il Microsoft Identity Platform. È anche possibile usare la piattaforma per autorizzare l'accesso con ambito basato sulle autorizzazioni all'API Web.

Passare alla guida introduttiva successiva della serie per creare un'altra registrazione dell'app per l'API Web ed esporre i relativi ambiti.