Autenticazione e autorizzazione

  • Articolo

Questo articolo definisce l'autenticazione e l'autorizzazione. Illustra anche brevemente Multi-Factor Authentication e come è possibile usare Microsoft Identity Platform per autenticare e autorizzare gli utenti nelle app Web, nelle API Web o nelle app che chiamano API Web protette. Se viene visualizzato un termine con cui non si ha familiarità, provare il glossario o i video di Microsoft Identity Platform, che illustrano i concetti di base.

Autenticazione

L'autenticazione è il processo di dimostrazione di chi si dice di essere. Questa operazione viene ottenuta verificando l'identità di una persona o di un dispositivo. A volte viene abbreviato in AuthN. Microsoft Identity Platform usa il protocollo OpenID Connessione per la gestione dell'autenticazione.

Autorizzazione

L'autorizzazione è la concessione del permesso di eseguire determinate operazioni a un'entità autenticata. Indica a quali dati può accedere e cosa può fare con tali dati. L'autorizzazione viene talvolta abbreviata in AuthZ. Microsoft Identity Platform usa il protocollo OAuth 2.0 per la gestione dell'autorizzazione.

Autenticazione a più fattori

L'autenticazione a più fattori è l'atto di fornire un altro fattore di autenticazione a un account. Questo viene spesso usato per proteggersi da attacchi di forza bruta. A volte viene abbreviata in MFA o 2FA. Microsoft Authenticator può essere usato come app per la gestione dell'autenticazione a due fattori. Per altre informazioni, vedere Autenticazione a più fattori.

Autenticazione e autorizzazione con Microsoft Identity Platform

La creazione di app che mantengono le proprie informazioni sul nome utente e sulla password comporta un elevato carico amministrativo quando si aggiungono o rimuovono utenti in più app. Le app possono invece delegare tale responsabilità a un provider di identità centralizzato.

Microsoft Entra ID è un provider di identità centralizzato nel cloud. La delega dell'autenticazione e dell'autorizzazione a tale autenticazione consente scenari come:

  • Criteri di accesso condizionale che richiedono che un utente si trova in una posizione specifica.
  • Multi-Factor Authentication che richiede a un utente di avere un dispositivo specifico.
  • Abilitare un utente per l'accesso una sola volta e quindi accedere automaticamente a tutte le app Web che condividono la stessa directory centralizzata. Questa funzionalità è denominata Single Sign-On (SSO).

Microsoft Identity Platform semplifica l'autorizzazione e l'autenticazione per gli sviluppatori di applicazioni fornendo identità come servizio. Supporta protocolli standard di settore e librerie open source per piattaforme diverse per iniziare rapidamente a scrivere codice. Consente agli sviluppatori di creare applicazioni che accedono a tutte le identità Microsoft, ottengono token per chiamare Microsoft Graph, accedere alle API Microsoft o accedere ad altre API create da sviluppatori.

Questo video illustra Microsoft Identity Platform e le nozioni di base dell'autenticazione moderna:

Ecco un confronto tra i protocolli usati da Microsoft Identity Platform:

  • OAuth e OpenID Connessione: la piattaforma usa OAuth per l'autorizzazione e OpenID Connessione (OIDC) per l'autenticazione. OpenID Connect si basa su OAuth 2.0, quindi la terminologia e il flusso di entrambi sono simili. È anche possibile autenticare un utente (tramite OpenID Connessione) e ottenere l'autorizzazione per accedere a una risorsa protetta di proprietà dell'utente (tramite OAuth 2.0) in una richiesta. Per altre informazioni vedere Protocolli OAuth 2.0 e OpenID Connect e Protocollo OpenID Connect.
  • OAuth e SAML: la piattaforma usa OAuth 2.0 per l'autorizzazione e SAML per l'autenticazione. Per altre informazioni su come usare questi protocolli insieme per autenticare un utente e ottenere l'autorizzazione per accedere a una risorsa protetta, vedere Flusso di asserzione di connessione SAML di Microsoft Identity Platform e OAuth 2.0.
  • OpenID Connessione e SAML: la piattaforma usa sia OpenID Connessione che SAML per autenticare un utente e abilitare l'accesso Single Sign-On. L'autenticazione SAML viene comunemente usata con provider di identità, ad esempio Active Directory Federation Services (AD FS) federati con MICROSOFT Entra ID, quindi viene spesso usato nelle applicazioni aziendali. OpenID Connessione viene comunemente usato per le app puramente nel cloud, ad esempio app per dispositivi mobili, siti Web e API Web.

Passaggi successivi

Per altri argomenti che trattano le nozioni di base su autenticazione e autorizzazione:

  • Per informazioni su come i token di accesso, i token di aggiornamento e i token ID vengono usati nell'autorizzazione e nell'autenticazione, vedere Token di sicurezza.
  • Per informazioni sul processo di registrazione dell'applicazione in modo che possa essere integrato con Microsoft Identity Platform, vedere Modello di applicazione.
  • Per informazioni sull'autorizzazione corretta tramite attestazioni di token, vedere Proteggere le applicazioni e le API convalidando le attestazioni