Articoli

Azure Active Directory B2C: come far accedere i tuoi clienti alle tue applicazioni in modo facile e sicuro

, ,
Azure AD B2C

Autenticazione con credenziali personali alle applicazioni aziendali tramite Azure Active Directory B2C

Spesso la gestione delle identità e degli accessi è un problema e un costo significativo per le applicazioni aziendali.

Gestire le credenziali degli utenti finali, anche in ottica GDPR, è tutto tranne che una passeggiata, le credenziali vanno conservate in luoghi sicuri, i sistemi “backuppati”, tracciata la loro gestione, gli utenti hanno il diritto di poter cambiare password, gli utenti dimenticano le loro credenziali e quindi si spende tempo per gestione e manutenzione, difficilmente fatturabile.

La gestione e la manutenzione dell’autenticazione è solo un costo aziendale e un problema per la parte legale di cui però non si può fare a meno. Con il servizio Azure AD B2C il costo può essere azzerato.

Come Azure Active Directory B2C può aiutare le aziende

Le nuove applicazioni “consumer” che usiamo tutti i giorni ci permettono di autenticarci ai servizi usando la “nostra” identità pubblica legata ai servizi aziendali come Microsoft 365 o personali come Google, Facebook, Twitter o altro social.

È possibile utilizzare la stessa metodologia di autenticazione web based anche sulle applicazioni aziendali sia commerciali che sviluppate internamente grazie al supporto di Azure AD B2C.

Come funziona Azure Active Directory B2C

Azure AD B2C fa da connettore di autenticazione tra le applicazioni e le fonti di autenticazione.

Le fonti di autenticazione supportate (Identity Provider) sono Azure AD, Microsoft 365, Google, Facebook, Twitter, Linkedin, GitHub, Amazon, cioè i principali PLAYER mondiali.

Azure AD B2C comunica con l’applicazione tramite protocolli standard OAuth2, SAML, OIDC cioè gli standard di mercato, interponendosi tramite browser in fase di autenticazione quindi in modo totalmente trasparente all’utilizzatore a cui viene proposta una pagina di accesso personalizzabile.

Azure AD B2C non è in alcun modo vincolato all’infrastruttura su cui risiede l’applicazione poiché agisce a livello di servizio di autenticazione interna all’applicazione per cui gli è totalmente indifferente se si tratta di un’applicazione pubblicata su Internet tramite Cloud o on-premise.

Gli unici requisiti sono accesso tramite Internet del servizio da autenticare, utilizzo di protocolli standard e una sottoscrizione Microsoft Azure.

Azure Active Directory B2C: Pricing

Oltre a cancellare i costi legati alla manutenzione e gestione dell’infrastruttura di autenticazione Azure AD B2C è un servizio a costo zero sino a 50.000 accessi al mese.

Azure AD B2C start from 0 €

Oltre questo limite, già molto generoso per normali applicazioni aziendali, i prezzi sono calcolati per accesso utente e consultabili sul sito Microsoft: https://azure.microsoft.com/it-it/pricing/details/active-directory/external-identities/

Azure AD B2C gestisce l’autenticazione degli utenti che poi verranno autorizzati e profilati a livello applicativo con le logiche proprie dell’azienda e dell’applicazione.

Conclusioni

Grazie al servizio Azure AD B2C è possibile aiutare le aziende a proporre applicazioni con un miglior approccio utente che potrà utilizzare la propria identità digitale per accedere a più servizi e riducendo i costi di infrastruttura e gestione.

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

Scopri Azure,
il Cloud di Microsoft

Sergio Rossi

Azure Team Leader

 

/da

Differenze ed integrazione tra i servizi di identità ed autenticazione di Microsoft

,
Differenze ed integrazione tra i servizi di identità ed autenticazione di Microsoft

Differenze tra i servizi Active directory Domain Services (AD DS), Azure Active Directory (Azure AD o AAD) ed Azure Active Domain Service (Azure AD DS o AAD DS) e come integrarli tra di loro

Il servizio storico che permette l’autenticazione degli utenti all’infrastruttura informatica conosciuto da tutti i professionisti del settore Microsoft oriented è Active Directory Domain Services (AD DS).

Con l’avvento del cloud Azure, Microsoft mette a disposizione tre distinte tipologie di identity services:

  • Active Directory Domain Services (AD DS)
  • Azure Active Directory (Azure AD o AAD)
  • Azure Active Directory Domain Service (Azure AD DS o AAD DS)

Questo può portare confusione nella scelta della soluzione da adottare in quanto il nome Active Directory compare in tutti e tre i servizi, nonostante le tre soluzioni siano differenti tra di loro.

In questo post analizzerò i servizi sopra elencanti tramite le loro caratteristiche principali, come si integrano tra di loro e quando adottarli.

Active Directory Domain Services (AD DS)

Active Directory Domain Services è la versione tradizionale del servizio per la gestione centralizzata delle risorse.

Tra le caratteristiche del servizio:

  • gestione gerarchiale delle risorse;
  • gestione di utenze e risorse tramite group policies;
  • on-premises idendity & authenitcation;
  • autenticazione tramite Kerberos, NTLM o LDAP;
  • trust di domini e foreste

AD DS, dominio autogestito, richiede un alto utilizzo di risorse per la gestione del servizio stesso: gestione dei backup, patching del sistema, upgrade, repliche, etc.

Per maggiori informazioni è possibile consultare la documentazione ufficiale Microsoft di Active Directory Domain Services.

Azure Active Directory (Azure AD)

Se sono utilizzati servizi di Microsoft 365 (posta elettronica, OneDrive, etc.) o di Azure, Azure AD è utilizzata.

A differenza del servizio AD DS, che utilizza l’autenticazione network-based, Azure AD utilizza l’autenticazione web-based.

Tra le caratteristiche del servizio :

  • cloud-based identification & authentication;
  • servizio di gestione account per:
      • accesso al portale Azure
      • Office 365
      • applicazioni SaaS
  • Mobile Device Management (MDM)

Con Azure AD non è possibile:

  • joinare computer al dominio;
  • effettuare autenticazione tramite protocollo Kerberos o NTLM;
  • implementare organization unit;
  • utilizzare implementare\utilizzare account di tipo domain o enterprise admin

Il servizio è garantito, gestito ed ospitato da Microsoft. La gestione delle risorse avviene tramite portale web.

Per maggiori informazioni è possibile consultare la documentazione ufficiale di Azure Active Directory.

Azure Active Directory Domain Services (Azure AD DS)

Azure AD DS è una soluzione simile alla soluzione on-premise AD DS, con la differenza che è erogato come servizio PaaS in Azure.

Tra le caratteristiche del servizio:

  • servizio PaaS;
  • autenticazione tramite Kerberos, NTLM o LDAP (read only);
  • trust di domini e foreste non supportata;
  • nessun account “domain admin” o “enterprise admin”

Azure AD DS è integrato con Azure AD: creando un utente in Azure AD automaticamente sarà replicato in Azure AD DS.

Per maggiori informazioni è possibile consultare la documentazione ufficiale Microsoft su Azure Active Directory Domain Services.

Quando implementare AD DS, Azure AD o Azure AD DS

Come visto sopra, ogni servizio è studiato per soddisfare determinate esigenze. Di seguito, vediamo quindi quando è necessario configurare uno specifico servizio piuttosto che un altro.

Active Directory Domain Services è un servizio gestito interamente dall’organizzazione. E’ utilizzato quando si hanno le seguenti necessità:

  • necessità di configurare relazioni di trust;
  • necessità di estendere lo schema;
  • la connettività internet è limitata o instabile;
  • necessità di utilizzare account domain enterprise admin

Azure Active Directory è dedicato alla gestisce degli accessi alle risorse cloud, come Microsoft 365 o la gestione degli accessi del portale Azure. Verrà quindi implementato se:

  • l’infrastruttura è interamente sul cloud, senza server configurati on premise;
  • vengono utilizzati solo servizi di tipo PaaS o SaaS;
  • vengono utilizzati solo sistemi di modern authentication

Azure Active Directory Domain Services è studiato per gestire esclusivamente un ambiente nativo su Azure. Verrà quindi scelto se:

  • l’infrastruttura è cluod native;
  • utilizzo di servizi IaaS

Integrazione dei servizi

Come visto, ogni servizio ha un utilizzo ben specifico ed è installato in base alla tipologia di elementi che compongono l’infrastruttura informatica.

Proprio per l’unicità dei servizi che erogano i tre servizi in oggetto, è possibile integrarli tra di loro per avere una gestione completa del sistema.

Vengono riportati di seguito i flussi logici con cui è possibile integrare i servizi tra di loro.

Come detto sopra, Azure Active Directory è in costante replica con Azure Active Directory Services, quindi:

Azure Active Directory

Azure AD, a sua volta, può essere sincronizzato con l’ambiente on premise di Active Directory Domain Services tramite AD Connect

Active Directory Domain Services

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

Scopri Azure,
il Cloud di Microsoft

 

Emanuele Pansecco

Azure Engineer

 

/da