Autenticazione e autorizzazione

Questo articolo definisce l'autenticazione e l'autorizzazione. Illustra brevemente anche l'autenticazione a più fattori e come usare Microsoft Identity Platform per autenticare e autorizzare gli utenti nelle app Web, nelle API Web o nelle app che chiamano API Web protette. Se viene visualizzato un termine con cui non si ha familiarità, provare il glossario o i video di Microsoft Identity Platform, che illustrano i concetti di base.

Autenticazione

L'autenticazione è il processo di dimostrazione di chi si dice di essere. Questa operazione viene ottenuta verificando l'identità di una persona o di un dispositivo. In lingua inglese, il termine autenticazione viene talvolta abbreviato in AuthN. Microsoft Identity Platform usa il protocollo OpenID Connect per la gestione dell'autenticazione.

Autorizzazione

L'autorizzazione è la concessione del permesso di eseguire determinate operazioni a un'entità autenticata. Indica a quali dati può accedere e cosa può fare con tali dati. In lingua inglese, il termine autorizzazione viene talvolta abbreviato in AuthZ. Microsoft Identity Platform offre ai proprietari delle risorse la possibilità di usare il protocollo OAuth 2.0 per la gestione dell'autorizzazione, ma il cloud Microsoft dispone anche di altri sistemi di autorizzazione, ad esempio i ruoli predefiniti entra, il controllo degli accessi in base al ruolo di Azure e il controllo degli accessi in base al ruolo di Exchange.

Autenticazione a più fattori

L'autenticazione a più fattori è l'atto di fornire un altro fattore di autenticazione a un account. Questo viene spesso usato per proteggersi da attacchi di forza bruta. A volte viene abbreviata in MFA o 2FA. Microsoft Authenticator può essere usato come app per la gestione dell'autenticazione a due fattori. Per altre informazioni, vedere Autenticazione a più fattori.

Autenticazione e autorizzazione con Microsoft Identity Platform

La creazione di app che mantengono le proprie informazioni sul nome utente e sulla password comporta un elevato carico amministrativo quando si aggiungono o rimuovono utenti in più app. Le app possono invece delegare tale responsabilità a un provider di identità centralizzato.

Microsoft Entra ID è un provider di identità centralizzato nel cloud. La delega dell'autenticazione e dell'autorizzazione a tale autenticazione consente scenari come:

  • Criteri di accesso condizionale che richiedono che un utente si trova in una posizione specifica.
  • Autenticazione a più fattori che richiede a un utente di avere un dispositivo specifico.
  • Abilitare un utente per l'accesso una sola volta e quindi accedere automaticamente a tutte le app Web che condividono la stessa directory centralizzata. Questa funzionalità è denominata Single Sign-On (SSO).

Microsoft Identity Platform semplifica l'autorizzazione e l'autenticazione per gli sviluppatori di applicazioni fornendo identità come servizio. Supporta protocolli standard di settore e librerie open source per piattaforme diverse per iniziare rapidamente a scrivere codice. Consente agli sviluppatori di creare applicazioni che accedono a tutte le identità Microsoft, ottengono token per chiamare Microsoft Graph, accedere alle API Microsoft o accedere ad altre API create da sviluppatori.

Questo video illustra Microsoft Identity Platform e le nozioni di base dell'autenticazione moderna:

Ecco un confronto tra i protocolli usati da Microsoft Identity Platform:

  • OAuth e OpenID Connect: la piattaforma usa OAuth per l'autorizzazione e OpenID Connect (OIDC) per l'autenticazione. OpenID Connect si basa su OAuth 2.0, quindi la terminologia e il flusso di entrambi sono simili. È anche possibile autenticare un utente (tramite OpenID Connect) e ottenere l'autorizzazione per accedere a una risorsa protetta di proprietà dell'utente (tramite OAuth 2.0) in una richiesta. Per altre informazioni vedere Protocolli OAuth 2.0 e OpenID Connect e Protocollo OpenID Connect.
  • OAuth e SAML: la piattaforma usa OAuth 2.0 per l'autorizzazione e SAML per l'autenticazione. Per altre informazioni su come usare questi protocolli insieme per autenticare un utente e ottenere l'autorizzazione per accedere a una risorsa protetta, vedere Flusso di asserzione di connessione SAML di Microsoft Identity Platform e OAuth 2.0.
  • OpenID Connect e SAML: la piattaforma usa sia OpenID Connect che SAML per autenticare un utente e abilitare l'accesso Single Sign-On. L'autenticazione SAML viene comunemente usata con provider di identità, ad esempio Active Directory Federation Services (AD FS) federati con MICROSOFT Entra ID, quindi viene spesso usato nelle applicazioni aziendali. OpenID Connect viene comunemente usato per le app esclusivamente nel cloud, ad esempio app per dispositivi mobili, siti Web e API Web.

Passaggi successivi

Per altri argomenti che trattano le nozioni di base su autenticazione e autorizzazione:

  • Per informazioni su come i token di accesso, i token di aggiornamento e i token ID vengono usati nell'autorizzazione e nell'autenticazione, vedere Token di sicurezza.
  • Per informazioni sul processo di registrazione dell'applicazione in modo che possa essere integrato con Microsoft Identity Platform, vedere Modello di applicazione.
  • Per informazioni sull'autorizzazione corretta tramite attestazioni di token, vedere Proteggere le applicazioni e le API convalidando le attestazioni