Guida introduttiva: Registrare un'applicazione con Microsoft Identity Platform

Per iniziare a usare Microsoft Identity Platform, registrare un'applicazione nell'interfaccia di amministrazione di Microsoft Entra.

Microsoft Identity Platform esegue la gestione delle identità e degli accessi (IAM) solo per le applicazioni registrate. Sia che si tratti di un'applicazione client, come un'app Web o per dispositivi mobili, oppure di un'API Web a supporto di un'app client, la registrazione consente di stabilire una relazione di trust tra l'applicazione e il provider di identità, ovvero Microsoft Identity Platform.

Suggerimento

Per registrare un'applicazione per Active Directory B2C, seguire la procedura descritta in Esercitazione: Registrare un'applicazione Web in Azure AD B2C.

Prerequisiti

Registrare un'applicazione

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

La registrazione dell'applicazione consente di stabilire una relazione di trust tra l'app e Microsoft Identity Platform. La relazione di trust è unidirezionale, ovvero l'app considera attendibile Microsoft Identity Platform e non viceversa. Dopo la creazione, l'oggetto applicativo non può essere spostato tra tenant diversi.

Per creare la registrazione dell'app, seguire questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant in cui si vuole registrare l'applicazione dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Applicazioni>Registrazioni app e selezionare Nuova registrazione.

  4. Immettere un Nome visualizzato per l'applicazione. Gli utenti dell'applicazione potrebbero vedere il nome visualizzato quando usano l'app, ad esempio durante l'accesso. È possibile modificare il nome visualizzato in qualsiasi momento e più registrazioni dell'app possono condividere lo stesso nome. L'ID applicazione (client) generato automaticamente dalla registrazione dell'app, non il nome visualizzato, identifica in modo univoco l'app all'interno di Identity Platform.

  5. Specificare chi può usare l'applicazione, noto a volte come destinatario di accesso.

    Tipi di conto supportati Descrizione
    Account solo in questa directory organizzativa Selezionare questa opzione se si intende creare un'applicazione utilizzabile solo da utenti (o guest) nel tenant personale.

    Nota anche come applicazione line-of-business (LOB), si tratta di un'applicazione a singolo tenant in Microsoft Identity Platform.
    Account in qualsiasi directory organizzativa Selezionare questa opzione se si vuole che gli utenti in qualsiasi tenant di Microsoft Entra possano usare l'applicazione. Questa opzione è appropriata se, ad esempio, si sta creando un'applicazione SaaS (Software-As-A-Service) che si intende fornire a più organizzazioni.

    Questo tipo di applicazione è nota come applicazione multi-tenant in Microsoft Identity Platform.
    Account in qualsiasi directory organizzativa e account Microsoft personali Selezionare questa opzione per il più ampio gruppo di clienti.

    Selezionando questa opzione, si registra un'applicazione multi-tenant che può supportare anche utenti con account Microsoft personali. Gli account Microsoft personali includono gli account Skype, Xbox, Live e Hotmail.
    Account Microsoft personali Selezionare questa opzione se si sta creando un'applicazione utilizzabile solo da utenti con account Microsoft personali. Gli account Microsoft personali includono gli account Skype, Xbox, Live e Hotmail.
  6. Ignorare per il momento il campo URI di reindirizzamento (facoltativo) poiché lo si configurerà nella sezione successiva.

  7. Selezionare Registra per completare la registrazione iniziale dell'app.

    Screenshot dell’interfaccia di amministrazione di Microsoft Entra in un Web browser che mostra il riquadro Registra un'applicazione.

Al termine della registrazione, nell'interfaccia di amministrazione di Microsoft Entra viene visualizzato il riquadro Panoramica della registrazione dell'app. Viene visualizzato l’ID applicazione (client). Anche chiamato ID client, questo valore identifica in modo univoco l'applicazione in Microsoft Identity Platform.

Importante

Le nuove registrazioni dell'app sono nascoste agli utenti per impostazione predefinita. Quando si è pronti per consentire agli utenti di visualizzare l'app nella pagina App personali è possibile abilitarla. Per abilitare l’app, nell'interfaccia di amministrazione di Microsoft Entra passare a Identità>Applicazioni>Applicazioni aziendali e selezionare l’app. Quindi nella pagina Proprietà impostare Visibile agli utenti? su Sì.

Il codice dell'applicazione o più in genere una libreria di autenticazione usata nell'applicazione usa anche l'ID client. L'ID viene usato come parte della convalida dei token di sicurezza ricevuti da Identity Platform.

Screenshot dell’interfaccia di amministrazione di Microsoft Entra in un Web browser che mostra il riquadro Panoramica della registrazione dell'app.

Aggiungere un URI di reindirizzamento

Un URI di reindirizzamento corrisponde alla posizione a cui Microsoft Identity Platform reindirizza il client di un utente e invia i token di sicurezza dopo l'autenticazione.

In un'applicazione Web di produzione, ad esempio, l'URI di reindirizzamento è spesso un endpoint pubblico in cui viene eseguita l'app, ad esempio https://contoso.com/auth-response. Durante lo sviluppo capita di aggiungere l'endpoint in cui l'app viene eseguita in locale, ad esempio https://127.0.0.1/auth-response o http://localhost/auth-response. Assicurarsi che gli ambienti di sviluppo o gli URI di reindirizzamento non necessari non siano esposti nell'app di produzione. Questa operazione può essere eseguita con registrazioni di app separate per lo sviluppo e la produzione.

Per aggiungere e modificare gli URI di reindirizzamento per le applicazioni registrate, configurarne le impostazioni della piattaforma.

Configurare le impostazioni della piattaforma

Le impostazioni per ogni tipo di applicazione, inclusi gli URI di reindirizzamento, vengono configurate in Configurazioni della piattaforma nel portale di Azure. Con alcune piattaforme, ad esempio le applicazioni Web e a pagina singola, è necessario specificare manualmente un URI di reindirizzamento. Per altre piattaforme, ad esempio per applicazioni desktop e per dispositivi mobili, è possibile scegliere tra gli URI di reindirizzamento generati quando si configurano le altre impostazioni di tali piattaforme.

Per configurare le impostazioni dell'applicazione in base alla piattaforma o al dispositivo di destinazione, seguire questa procedura:

  1. Nell'interfaccia di amministrazione di Microsoft Entra, in Registrazioni app selezionare l'applicazione.

  2. In Gestisci selezionare Autenticazione.

  3. In Configurazioni della piattaforma selezionare Aggiungi una piattaforma.

  4. In Configura le piattaforme selezionare il riquadro relativo al tipo di applicazione (piattaforma) per configurarne le impostazioni.

    Screenshot del riquadro di configurazione della piattaforma nel portale di Azure.

    Piattaforma Impostazioni di configurazione
    Web Immettere un URI di reindirizzamento per l'app. Questo URI è il percorso in cui Microsoft Identity Platform reindirizza il client di un utente e invia i token di sicurezza dopo l'autenticazione.

    È anche possibile configurare l'URL di disconnessione del canale anteriore e le proprietà implicite e ibride del flusso.

    Selezionare questa piattaforma per le applicazioni Web standard eseguite in un server.
    Applicazione a pagina singola Immettere un URI di reindirizzamento per l'app. Questo URI è il percorso in cui Microsoft Identity Platform reindirizza il client di un utente e invia i token di sicurezza dopo l'autenticazione.

    È anche possibile configurare l'URL di disconnessione del canale anteriore e le proprietà implicite e ibride del flusso.

    Selezionare questa piattaforma se si sta creando un'app Web lato client usando JavaScript o un framework come Angular, Vue.js, React.js o Blazor WebAssembly.
    iOS/macOS Immettere l'ID bundle dell'app. Trovarlo in Impostazioni di compilazione o in Xcode in Info.plist.

    Quando si specifica un ID bundle, viene generato automaticamente un URI di reindirizzamento.
    Android Immettere il Nome del pacchetto dell’app. Trovarlo nel file AndroidManifest.xml. Inoltre, generare e immettere l'hash della firma.

    Quando si specificano queste impostazioni, viene generato automaticamente un URI di reindirizzamento.
    Applicazioni per dispositivi mobili e desktop Selezionare uno degli URI di reindirizzamento suggeriti. In alternativa, specificare uno o più URI di reindirizzamento personalizzati.

    Per le applicazioni desktop che usano il browser incorporato, è consigliabile
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Per le applicazioni desktop che usano il browser del sistema, è consigliabile
    http://localhost

    Selezionare questa piattaforma per le applicazioni per dispositivi mobili che non usano la libreria MSAL (Microsoft Authentication Library) più recente o che non usano un broker. Selezionare questa piattaforma anche per le applicazioni desktop.
  5. Selezionare Configura per completare la configurazione della piattaforma.

Restrizioni relative agli URI di reindirizzamento

Sono previste alcune restrizioni relative al formato degli URI di reindirizzamento aggiunti a una registrazione dell'app. Per informazioni dettagliate su queste restrizioni, vedere Restrizioni e limitazioni degli URI di reindirizzamento (URL di risposta).

Aggiungi credenziali

Le credenziali vengono usate dalle applicazioni client riservate che accedono a un'API Web. Esempi di client riservati sono le app Web, altri tipi di API Web oppure applicazioni di tipo servizio e daemon. Le credenziali consentono all'applicazione di eseguire l'autenticazione in modo autonomo, senza richiedere alcuna interazione utente in fase di esecuzione.

È possibile aggiungere certificati, segreti client (una stringa) o credenziali di identità federate come credenziali della registrazione dell'app client riservata. È consigliabile usare i certificati di un'autorità di certificazione (CA) attendibile, se possibile.

Screenshot dell’interfaccia di amministrazione di Microsoft Entra che mostra il riquadro Certificati e segreti in una registrazione dell'app.

A volte chiamata chiave pubblica, un certificato è il tipo di credenziale consigliato perché sono considerati più sicuri rispetto ai segreti client. Per altre informazioni sull'uso di un certificato come metodo di autenticazione nell'applicazione, vedere credenziali del certificato di autenticazione dell'applicazione Microsoft Identity Platform.

  1. Nell'interfaccia di amministrazione di Microsoft Entra, in Registrazioni app selezionare l'applicazione.
  2. Selezionare Certificati e segreti>Certificati>Carica certificato.
  3. Selezionare i file che si vogliono caricare. Il tipo di file deve essere uno dei seguenti: .cer, .pem, .crt.
  4. Selezionare Aggiungi.

Passaggio successivo