Metodi di autenticazione e provider di identità per i clienti

  • Articolo

Microsoft Entra per ID esterno offre diverse opzioni per l'autenticazione degli utenti delle applicazioni. È possibile consentire ai clienti di creare un account nella directory del cliente usando il proprio indirizzo di posta elettronica e una password o un passcode monouso tramite posta elettronica. È anche possibile abilitare l'accesso con un account di social networking.

Accesso tramite posta elettronica e password

L'iscrizione tramite posta elettronica è abilitata per impostazione predefinita nelle impostazioni del provider di identità dell'account locale. Con l'opzione di posta elettronica, i clienti possono iscriversi e accedere con il proprio indirizzo di posta elettronica e una password.

  • Iscrizione: ai clienti viene richiesto un indirizzo di posta elettronica, verificato al momento dell'iscrizione con un passcode monouso. Il cliente immette quindi tutte le altre informazioni richieste nella pagina di iscrizione, ad esempio nome visualizzato, nome specificato e cognome. Selezionare quindi Continua per creare un account.

  • Accedi: dopo l'iscrizione e la creazione di un account, il cliente può accedere immettendo l'indirizzo e-mail e la password.

  • Reimpostazione password: se si abilita l'accesso tramite posta elettronica e password, viene visualizzato un collegamento di reimpostazione della password nella pagina della password. Se il cliente dimentica la password, selezionando questo collegamento viene inviato un passcode monouso al proprio indirizzo di posta elettronica. Dopo la verifica, il cliente può scegliere una nuova password.

    Screenshot del messaggio di posta elettronica con schermate di accesso con password.

Quando si crea un flusso utente di iscrizione e accesso, la posta elettronica con password è l'opzione predefinita.

Indirizzo di posta elettronica con accesso con passcode monouso

La posta elettronica con passcode monouso è un'opzione nelle impostazioni del provider di identità dell'account locale. Con questa opzione, il cliente accede con un passcode temporaneo anziché una password archiviata ogni volta che accede.

  • Iscrizione: i clienti possono iscriversi con il proprio indirizzo di posta elettronica e richiedere un codice temporaneo, che viene inviato al proprio indirizzo di posta elettronica. Quindi immette tale codice per continuare ad accedere.

  • Accedi: dopo l'iscrizione e la creazione di un account da parte del cliente, ogni volta che firmano, immettono l'indirizzo di posta elettronica e ricevono un passcode temporaneo.

    Screenshot del messaggio di posta elettronica con schermate di accesso con passcode monouso.

Nota

Se si vuole abilitare l'autenticazione a più fattori (MFA), impostare il metodo di autenticazione dell'account locale su Posta elettronica con password. Se si imposta l'opzione account locale su Email with one-time passcode (Posta elettronica con passcode monouso), i clienti che usano questo metodo non potranno accedere perché il passcode monouso è già il metodo di accesso di primo fattore e non può essere usato come secondo fattore. Attualmente, altri metodi di verifica non sono disponibili per gli scenari dei clienti.

Quando si crea un flusso utente di iscrizione e accesso, l'indirizzo di posta elettronica con passcode monouso è una delle opzioni dell'account locale.

Provider di identità social: Facebook e Google

Per un'esperienza di accesso ottimale, eseguire la federazione con i provider di identità social quando possibile, in modo da offrire ai clienti un'esperienza di iscrizione e accesso senza problemi. In un tenant esterno è possibile consentire a un cliente di iscriversi e accedere usando il proprio account Facebook o Google. Quando un cliente si iscrive all'app usando il proprio account social, il provider di identità social crea, gestisce e gestisce le informazioni sull'identità fornendo al tempo stesso servizi di autenticazione alle applicazioni.

Quando si abilitano i provider di identità di social networking, i clienti possono scegliere tra le opzioni dei provider di identità di social networking rese disponibili nella pagina di iscrizione. Per configurare i provider di identità di social networking nel tenant esterno, creare un'applicazione nel provider di identità e configurare le credenziali. Si ottengono un ID client o app e un segreto client o app, che è quindi possibile aggiungere al tenant esterno.

Accesso a Google

Configurando la federazione con Google, è possibile consentire ai clienti di accedere alle applicazioni con i propri account Gmail. Dopo aver aggiunto Google come una delle opzioni di accesso dell'applicazione, nella pagina di accesso gli utenti possono accedere a Microsoft Entra per ID esterno con un account Google.

Gli screenshot seguenti mostrano l'esperienza di accesso con Google. Nella pagina di accesso gli utenti selezionano Accedi con Google. A questo punto, l'utente viene reindirizzato al provider di identità Google per completare l'accesso.

Screenshot delle schermate di accesso di Google.

Informazioni su come aggiungere Google come provider di identità.

Accesso a Facebook

Configurando la federazione con Facebook, è possibile consentire agli utenti invitati di accedere alle applicazioni con i propri account Facebook. Dopo aver aggiunto Facebook come una delle opzioni di accesso dell'applicazione, nella pagina di accesso gli utenti possono accedere a Microsoft Entra per ID esterno con un account Facebook.

Gli screenshot seguenti mostrano l'esperienza di accesso con Facebook. Nella pagina di accesso gli utenti selezionano Accedi con Facebook. L'utente viene quindi reindirizzato al provider di identità facebook per completare l'accesso.

Screenshot delle schermate di accesso di Facebook.

Scopri come aggiungere Facebook come provider di identità.

Aggiornamento dei metodi di accesso

In qualsiasi momento, è possibile aggiornare le opzioni di accesso selezionate per un'app. Ad esempio, è possibile aggiungere provider di identità di social networking o modificare il metodo di accesso dell'account locale.

Tenere presente che quando si modificano i metodi di accesso, la modifica influisce solo sui nuovi utenti. Gli utenti esistenti continueranno ad accedere usando il metodo originale. Si supponga, ad esempio, di iniziare con il metodo di accesso tramite posta elettronica e password e quindi di passare alla posta elettronica con passcode monouso. I nuovi utenti eseguiranno l'accesso con un passcode monouso, ma tutti gli utenti che hanno già effettuato l'iscrizione con un messaggio di posta elettronica e una password continueranno a essere richiesti per la posta elettronica e la password.

API Microsoft Graph

Le seguenti operazioni dell'API Microsoft Graph sono supportate per la gestione dei provider di identità e dei metodi di autenticazione in Microsoft Entra per ID esterno:

  • Per identificare i provider di identità e i metodi di autenticazione supportati, chiamare l'API List availableProviderTypes .
  • Per identificare i provider di identità e i metodi di autenticazione già configurati e abilitati nel tenant, chiamare l'API List identityProviders .
  • Per abilitare un provider di identità o un metodo di autenticazione supportato, chiamare l'API Create identityProvider .

Passaggi successivi

Per informazioni su come aggiungere provider di identità per l'accesso alle applicazioni, fare riferimento agli articoli seguenti: