Condividi tramite


Informazioni generali: Proteggere le app usando l'ID esterno in un tenant esterno

Si applica a: Cerchio bianco con un simbolo X grigio. Tenant del personale Cerchio verde con un simbolo di segno di spunta bianco. Tenant esterni (altre informazioni)

Microsoft Entra External ID include la soluzione CIAM (Customer Identity and Access Management) di Microsoft. Per le organizzazioni e le aziende che vogliono rendere disponibili le proprie app ai clienti consumer e aziendali, l'ID esterno semplifica l'aggiunta di funzionalità CIAM come la registrazione self-service, le esperienze di accesso personalizzate e la gestione degli account dei clienti. Poiché queste funzionalità CIAM sono integrate in Microsoft Entra ID, è possibile sfruttare anche le funzionalità della piattaforma quali sicurezza avanzata, conformità e scalabilità.

Diagramma che mostra una panoramica della gestione delle identità dei clienti e degli accessi.

Creare un tenant esterno dedicato

Quando si inizia a usare l'ID esterno per le app dei clienti consumer e aziendali, è prima di tutto necessario creare un tenant per le app, le risorse e la directory degli account dei clienti.

Se si ha familiarità con Microsoft Entra ID, si ha già familiarità con l'uso di un tenant di Microsoft Entra che contiene la directory dei dipendenti, le app interne e altre risorse dell'organizzazione. Con l'ID esterno, si crea un tenant distinto che segue il modello di tenant Standard di Microsoft Entra, ma è configurato per scenari esterni. Questo tenant esterno contiene:

  • Directory: la directory archivia le credenziali e i dati del profilo dei clienti. Quando un cliente consumer o aziendale si iscrive all'app, viene creato un account locale nel tenant esterno.

  • Registrazioni dell'applicazione: Microsoft Entra ID esegue la gestione delle identità e degli accessi solo per le applicazioni registrate. La registrazione dell'app stabilisce una relazione di trust e consente di integrare l'app con Microsoft Entra ID.

  • Flussi utente: il tenant esterno contiene le esperienze di iscrizione, accesso e reimpostazione della password self-service che si vuole abilitare per i clienti.

  • Estensioni: se è necessario aggiungere attributi utente e dati provenienti da sistemi esterni, è possibile creare estensioni di autenticazione personalizzate per i flussi utente.

  • metodi di accesso: è possibile abilitare varie opzioni per l'accesso all'app, tra cui nome utente e password, passcode monouso e Google, Facebook, Apple o identità OIDC personalizzate.

  • Chiavi di crittografia: aggiungere e gestire chiavi di crittografia per la firma e la convalida di token, segreti client, certificati e password.

Scopri di più su password e passcode monouso per l'accesso e su Google, Facebook, Apple e OIDC federazione.

Esistono due tipi di account utente che è possibile gestire nel tenant esterno:

  • Account cliente: account che rappresentano i clienti che accedono alle applicazioni.

  • Account amministratore: gli utenti con account aziendali possono gestire le risorse di un tenant e, se hanno un ruolo di amministratore, possono anche gestire i tenant. Gli utenti con account aziendali possono creare nuovi account consumer, reimpostare le password, bloccare/sbloccare gli account e impostare le autorizzazioni o assegnare un account a un gruppo di sicurezza.

Altre informazioni sulla gestione degli account clienti e degli account amministratore nel tenant esterno.

Aggiungere l'accesso personalizzato

L’ID esterno è destinato alle aziende che vogliono rendere disponibili le applicazioni ai propri clienti usando la piattaforma Microsoft Entra per l'identità e l'accesso.

  • Aggiungere pagine di iscrizione e accesso alle app. Aggiungere rapidamente esperienze di iscrizione e accesso intuitive e descrittive per le app dei clienti. Con una singola identità, un cliente può accedere in modo sicuro a tutte le applicazioni che si voglia vengano usate dal cliente.

  • Aggiungere l'accesso Single Sign-On (SSO) con identità social e aziendali. I clienti possono scegliere un'identità social, aziendale o gestita per accedere con un nome utente e una password, un indirizzo di posta elettronica o un passcode monouso.

  • Aggiungere la personalizzazione dell'azienda alla pagina di iscrizione. Personalizzare l'aspetto delle esperienze di iscrizione e di accesso, comprese l'esperienza predefinita e l'esperienza per lingue del browser specifiche.

  • Personalizzare ed estendere facilmente i flussi di iscrizione. Personalizzare i flussi utente dell'identità in base alle proprie esigenze. Scegliere gli attributi che si vogliono raccogliere da un cliente durante l'iscrizione o aggiungere attributi personalizzati. Se le informazioni necessarie all'app sono contenute in un sistema esterno, creare estensioni di autenticazione personalizzate per raccogliere e aggiungere dati ai token di autenticazione.

  • Integrare più lingue e piattaforme dell'app. Con Microsoft Entra, è possibile configurare e distribuire rapidamente flussi di autenticazione sicuri e personalizzati per più tipi di app, piattaforme e lingue.

  • Usare l'autenticazione nativa per le app. Creare esperienze di autenticazione fluide per applicazioni per dispositivi mobili e desktop usando l'anteprima di Microsoft Authentication Library (MSAL) per iOS e Android.

  • Fornire la gestione degli account self-service. I clienti possono registrarsi da soli ai servizi online, gestire il proprio profilo, eliminare il proprio account, registrare un metodo di autenticazione a più fattori (MFA) o reimpostare la password senza assistenza dell'amministratore o dell'help desk.

  • Fornire il consenso alle condizioni per l'utilizzo e all'informativa sulla privacy. È possibile richiedere agli utenti di accettare i termini e le condizioni durante l'iscrizione. Usando gli attributi utente del cliente, è possibile aggiungere caselle di controllo al modulo di iscrizione e includere collegamenti alle condizioni per l'utilizzo e all'informativa sulla privacy.

Altre informazioni su aggiunta dell'accesso e dell'iscrizione all'app e sulla personalizzazione dell'aspetto dell'accesso.

Progettare i flussi utente per l'iscrizione self-service

È possibile creare un'esperienza di iscrizione e accesso semplice per i clienti aggiungendo un flusso utente all'applicazione. Il flusso utente definisce la serie di passaggi di iscrizione che i clienti seguono e i metodi di accesso che possono usare ,ad esempio posta elettronica e password, passcode monouso, account di social networking di Google, Facebook o Apple, nonché provider di identità OIDC personalizzati). È anche possibile raccogliere informazioni dai clienti durante l'iscrizione selezionando tra una serie di attributi utente predefiniti o aggiungendo attributi personalizzati.

Diverse impostazioni del flusso utente consentono di controllare il modo in cui il cliente si iscrive all'applicazione, tra cui:

  • Metodi di accesso e fornitori di identità esterni
  • Attributi da raccogliere dal cliente che si iscrive, ad esempio nome, codice postale o paese/area geografica di residenza
  • Personalizzazione aziendale e della lingua

Per informazioni dettagliate sulla configurazione di un flusso utente, vedere Creare un flusso utente di iscrizione e accesso per i clienti.

Aggiungere la propria logica di business

L'ID esterno è progettato per la flessibilità consentendo di definire azioni in determinati punti all'interno del flusso di autenticazione. Usando un'estensione di autenticazione personalizzata, è possibile aggiungere al token le richieste provenienti dai sistemi esterni prima che venga emesso per l'applicazione.

Altre informazioni su aggiunta di una logica di business personalizzata con estensioni di autenticazione personalizzate.

Sicurezza e affidabilità di Microsoft Entra

L'ID esterno rappresenta la convergenza delle funzionalità business-to-consumer (B2C) nella piattaforma Microsoft Entra. È possibile sfruttare le funzionalità della piattaforma come la sicurezza avanzata, la conformità alle normative e la possibilità di ridimensionare i processi di gestione delle identità e degli accessi.

  • Sicurezza di Microsoft Entra. Ottenere tutti i vantaggi per la sicurezza e la privacy dei dati di Microsoft Entra, inclusi l'accesso condizionale, l'autenticazione a più fattori e la governance. Proteggere l'accesso alle app usando criteri di accesso adattivi basati su rischi e autenticazione avanzata. Poiché i clienti vengono gestiti in un tenant separato, è possibile personalizzare i criteri di accesso per gli utenti che in genere usano dispositivi personali e condivisi anziché quelli gestiti.

  • Affidabilità e scalabilità di Microsoft Entra. Creare esperienze di accesso altamente personalizzate e gestire gli account dei clienti su larga scala. Garantire un'esperienza dei clienti ottimale sfruttando prestazioni, resilienza, continuità aziendale, bassa latenza e velocità effettiva elevata di Microsoft Entra.

Altre informazioni sulle funzionalità di sicurezza e governance disponibili in un tenant esterno.

Analizzare l'attività e il coinvolgimento degli utenti

La funzionalità Attività utente dell'applicazione in Utilizzo e informazioni dettagliate fornisce analisi dei dati sull'attività degli utenti e sull'impegno per le applicazioni registrate nel tenant. È possibile usare questa funzionalità per visualizzare, eseguire query e analizzare dati delle attività degli utenti nell'interfaccia di amministrazione di Microsoft Entra. Ciò consente di scoprire informazioni preziose che possono aiutare a prendere decisioni strategiche e favorire la crescita aziendale.

Altre informazioni sui dashboard delle attività utente dell'applicazione disponibili in un tenant esterno.

Informazioni su Azure AD B2C

Se si è un nuovo cliente, ci si potrebbe chiedere quale soluzione sia più adatta, Azure AD B2C o Microsoft Entra External ID. Scegliere il prodotto Azure AD B2C corrente se:

  • È necessario distribuire immediatamente una compilazione pronta per la produzione.

    Nota

    Tenere presente che la piattaforma Microsoft Entra per ID esterno di nuova generazione rappresenta il futuro di CIAM per Microsoft e l'innovazione rapida, nuove funzionalità e caratteristiche saranno incentrate su questa piattaforma. Scegliendo la piattaforma di nuova generazione fin dall'inizio, si riceveranno i vantaggi di un'innovazione rapida e di un'architettura a prova di futuro.

Optare per la piattaforma Microsoft Entra per ID esterno di nuova generazione se:

  • Si sta iniziando a creare nuove identità nelle app o nelle prime fasi dell'individuazione dei prodotti.
  • I vantaggi dell'innovazione rapida, delle nuove funzionalità e delle funzionalità aggiunte sono una priorità.

Passaggi successivi