Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: 
Tenant esterni (altre informazioni)
Microsoft Entra per ID esterno è una soluzione personalizzabile ed estendibile per aggiungere l'identità dei clienti e la gestione degli accessi (CIAM) all'app. Poiché si basa sulla piattaforma Microsoft Entra, è possibile sfruttare la coerenza nell'integrazione delle app, nella gestione dei tenant e nelle operazioni tra la forza lavoro e gli scenari dei clienti. Quando si progetta la configurazione, è importante comprendere i componenti di un tenant esterno e le funzionalità Microsoft Entra disponibili per gli scenari dei clienti.
Questo articolo fornisce un quadro di riferimento generale per l'integrazione dell'app e la configurazione dell'ID esterno. Descrive le funzionalità disponibili in un tenant esterno e le importanti considerazioni sulla pianificazione per ogni passaggio dell'integrazione.
L'aggiunta dell'accesso sicuro all'app e la configurazione di una gestione delle identità e degli accessi dei clienti prevede cinque passaggi principali:
Questo articolo descrive ognuno di questi passaggi e importanti considerazioni sulla pianificazione. Nella tabella seguente selezionare un Passaggio per informazioni dettagliate e considerazioni sulla pianificazione oppure passare direttamente alle Guide pratiche.
Passaggio 1: Creare un tenant esterno
Un tenant esterno è la prima risorsa da creare per iniziare a usare Microsoft Entra per ID esterno. Il tenant esterno è il luogo in cui registri l'applicazione. Contiene anche una directory in cui si gestiscono le identità dei clienti e l'accesso, separato dal tenant della forza lavoro.
Quando si crea un tenant esterno, è possibile impostare la posizione geografica corretta e il nome di dominio. Se attualmente utilizzi Azure AD B2C, il nuovo modello per i dipendenti e tenant esterni non influisce sui tenant Azure AD B2C esistenti. Per indicazioni sulla migrazione da AD B2C Azure, vedere Pianare la migrazione da Azure AD B2C a ID esterno.
Importante
A partire dal 1° maggio 2025, Azure Active Directory B2C (Azure AD B2C) non è più disponibile per l'acquisto di nuovi clienti. Per altre informazioni, vedere Is Azure AD B2C ancora disponibile per l'acquisto? nelle domande frequenti.
Account utenti in un tenant esterno
La directory in un tenant esterno contiene account utenti amministratori e clienti. È possibile creare e gestire gli account amministratore per il tenant esterno. Gli account cliente vengono in genere creati tramite l'iscrizione self-service, ma è possibile creare e gestire gli account cliente locali.
Gli account cliente hanno un set predefinito di autorizzazioni. La clientela non può accedere alle informazioni su altri utenti nel tenant esterno. Per impostazione predefinita, i clienti non possono accedere alle informazioni su altri utenti, gruppi o dispositivi.
Come creare un tenant esterno
Creare un tenant esterno nel Interfaccia di amministrazione di Microsoft Entra.
Se non si ha già un tenant Microsoft Entra e si vuole provare l'ID esterno, è consigliabile usare l'esperienza iniziale introduzione per avviare una versione di valutazione gratuita.
Se si usa Visual Studio Code, è anche possibile usare l'estensione Microsoft Entra per ID esterno per Visual Studio Code per creare un tenant esterno direttamente all'interno di Visual Studio Code (altre informazioni).
Passaggio 2: Scegliere un approccio di autenticazione
Prima di registrare l'app, decidere come creare l'esperienza di accesso. Microsoft Entra per ID esterno supporta due approcci:
Autenticazione delegata da Browser reindirizza gli utenti a una pagina di accesso ospitata da Microsoft. Offre un ampio supporto per la piattaforma, l'accesso Single Sign-On (SSO) tra app tramite il browser di sistema e una manutenzione inferiore. Microsoft gestisce la superficie di accesso e gli aggiornamenti della sicurezza.
Autenticazione nativa consente di creare l'esperienza di accesso dell'UI direttamente nell'app utilizzando la Libreria di Autenticazione Microsoft (MSAL) o l'API di autenticazione nativa. Si ottiene il controllo completo dell'interfaccia utente, ma il team assume maggiore responsabilità di sviluppo e sicurezza.
La scelta influisce sul modo in cui si registra l'app, sugli SDK usati e sul modo in cui si configurano i flussi utente. Prendere questa decisione in anticipo, quindi il resto dell'integrazione segue il percorso corretto.
Come scegliere un approccio di autenticazione
- Scegliere un approccio di autenticazione. Confrontare funzionalità, compromessi per la sicurezza e piattaforme supportate.
- Panoramica dell'autenticazione nativa. Indicazioni dettagliate se si sta valutando l'autenticazione nativa.
Passaggio 3: Registrare l'applicazione
Prima che le applicazioni possano interagire con l'ID esterno, è necessario registrarle nel tenant esterno. Microsoft Entra ID esegue la gestione delle identità e degli accessi solo per le applicazioni registrate. La registrazione dell'app stabilisce una relazione di attendibilità e consente di integrare l'app con ID esterno.
Quindi, per completare la relazione di trust tra Microsoft Entra ID e l'app, aggiornare il codice sorgente dell'applicazione con i valori assegnati durante la registrazione dell'app, ad esempio l'ID applicazione (client), il sottodominio della directory (tenant) e il segreto client.
Sono disponibili guide di esempio di codice e guide approfondite all'integrazione per diversi tipi di app e lingue. A seconda del tipo di app che si desidera registrare, è possibile trovare indicazioni nella pagina Esempi per tipo di app e lingua.
Come registrare le applicazioni
È possibile trovare indicazioni specifiche per l'applicazione che si desidera registrare nella pagina Esempi per tipo di app e lingua.
Se non è disponibile una guida specifica per la piattaforma o la lingua, vedere le istruzioni generali per registrare un'applicazione in un tenant esterno.
Passaggio 4: Integrare un flusso di accesso con l'app
Dopo aver configurato il tenant esterno e registrato l'applicazione, creare un flusso utente di iscrizione e accesso. Integrare quindi l'applicazione con il flusso utente in modo che tutti gli utenti che accedono a tale applicazione completino l'esperienza di iscrizione e accesso progettata.
Per integrare l'applicazione con un flusso utente, aggiungere l'applicazione alle proprietà del flusso utente e aggiornare il codice dell'applicazione con le informazioni sul tenant e l'endpoint di autorizzazione.
Flusso di autenticazione
Quando un cliente tenta di accedere all'applicazione, l'applicazione invia una richiesta di autorizzazione all'endpoint fornito quando è stata associata l'app al flusso utente. Il flusso utente definisce e controlla l'esperienza di accesso della clientela.
Se l'utente accede per la prima volta, viene visualizzata l'esperienza di iscrizione. L'utente immette informazioni in base agli attributi utente predefiniti o personalizzati che si è scelto di raccogliere.
Al termine dell'iscrizione, Microsoft Entra ID genera un token e reindirizza il cliente all'applicazione. Viene creato un account per il cliente nella directory.
Flusso utente di iscrizione e di accesso.
Quando si pianifica la procedura di iscrizione e la procedura di accesso, dovete determinare i requisiti:
Numero di flussi utente. Ogni applicazione può avere un solo flusso utente di iscrizione e accesso. Se sono presenti più applicazioni, è possibile usare un singolo flusso utente per tutte. In alternativa, se si vuole un'esperienza diversa per ogni applicazione, è possibile creare più flussi utente. Il valore massimo è 10 flussi utente per tenant esterno.
Branding aziendale e personalizzazioni linguistiche. Anche se viene descritta la configurazione delle personalizzazioni personalizzate aziendali e della lingua più avanti nel passaggio 5, è possibile configurarle in qualsiasi momento, prima o dopo l'integrazione di un'app con un flusso utente. Se configuri il brand aziendale prima di creare il flusso degli utenti, le pagine di accesso riflettono tale brand. In caso contrario, le pagine di accesso riflettono il branding predefinito e neutrale.
Attributi da raccogliere. Nelle impostazioni del flusso utente è possibile selezionare da un set di attributi utente predefiniti che si vuole raccogliere dai clienti. Il cliente immette le informazioni nella pagina di iscrizione che vengono poi memorizzate insieme al profilo nella directory Per raccogliere altre informazioni, è possibile definire attributi personalizzati e aggiungerli al flusso utente.
Consenso per termini e condizioni. È possibile usare attributi utente personalizzati per richiedere agli utenti di accettare termini e condizioni. Ad esempio, è possibile aggiungere caselle di controllo al modulo di iscrizione e includere collegamenti alle condizioni per l'utilizzo e all'informativa sulla privacy.
Requisiti per le attestazioni di token. Se l'applicazione richiede attributi utente specifici, è possibile includerli nel token inviato all'applicazione.
provider di identità. È possibile configurare provider di identità social come Google, Facebook, Apple, un tenant Microsoft Entra ID o un provider di identità OpenID Connect (OIDC) configurato in modo personalizzato. È quindi possibile aggiungerli al flusso utente come opzioni di accesso.
Come integrare un flusso utente con l'app
Se si vogliono raccogliere informazioni dalla clientela oltre gli attributi utente predefiniti, definire attributi personalizzati in modo che siano disponibili durante la configurazione del flusso utente.
Creare un flusso utente di iscrizione e accesso per i clienti.
Aggiungere la propria applicazione al flusso utente.
Passaggio 5: Personalizzare e proteggere l'accesso
Quando si pianifica la configurazione della personalizzazione aziendale, delle personalizzazioni della lingua e delle estensioni personalizzate, tenere presenti i punti seguenti:
Personalizzazione aziendale. Per personalizzare l'esperienza utente finale, dopo aver creato un nuovo tenant esterno, è possibile modificare l'aspetto delle applicazioni basate sul Web per la clientela che effettua l'iscrizione o l'accesso. In Microsoft Entra ID, il branding predefinito di Microsoft appare nelle pagine di accesso prima di personalizzare eventuali impostazioni. Questo branding rappresenta l'aspetto e la sensazione globale che si applica a tutti gli accessi al tuo tenant. Per informazioni dettagliate, vedere Personalizzare l'aspetto e l'aspetto dell'accesso.
Estensione delle attestazioni del token di autenticazione. L'ID esterno è progettato per la flessibilità. Usando un'estensione di autenticazione personalizzata, è possibile aggiungere al token le attestazioni provenienti dai sistemi esterni prima che venga emesso per l'applicazione. Per informazioni dettagliate, vedere Aggiungere una logica di business personalizzata con estensioni di autenticazione personalizzate.
Autenticazione a più fattori (MFA). È anche possibile abilitare la sicurezza dell'accesso alle applicazioni applicando l'autenticazione a più fattori, che aggiunge un secondo livello critico di sicurezza agli accessi utente richiedendo la verifica tramite passcode monouso tramite posta elettronica. Per informazioni dettagliate, vedere Metodi di autenticazione MFA disponibili.
Sicurezza e governance. Per informazioni dettagliate, vedere Funzionalità di sicurezza e governance disponibili nel tenant esterno.
Come personalizzare e proteggere l'accesso
- Personalizzare il branding
- Aggiungere fornitori di identità
- Raccogliere gli attributi durante l'iscrizione
- Aggiungere attributi al token
- Aggiungere l'autenticazione a più fattori
- Usare domini URL personalizzati
Passaggi successivi
- Avvia una versione di valutazione gratuita o crea il tenant esterno.
- Trovare esempi e indicazioni per l'integrazione dell'app.
- Informazioni su come eseguire la migrazione degli utenti dal provider di identità corrente.
- Vedere anche Microsoft Entra per ID esterno Developer Center per i contenuti e le risorse più recenti per sviluppatori.
- Guida alla distribuzione di Microsoft Entra per ID esterno per le operazioni di sicurezza