Panoramica
L’applicazione Calliente si integra con Microsoft Entra ID (precedentemente Azure AD) per offrire un’esperienza utente sicura e fluida all’interno degli ambienti Microsoft 365.
Questo documento presenta le autorizzazioni API specifiche richieste dall’applicazione, la loro utilità, e il modo in cui i dati vengono gestiti in tutta sicurezza.
In Calliente, applichiamo i principi di trasparenza e di privacy by design.
Richiediamo solo le autorizzazioni strettamente necessarie e non accediamo né memorizziamo dati al di là del perimetro funzionale dell’applicazione.
✅ Autorizzazioni richieste da Calliente
Le seguenti autorizzazioni sono delegate e concesse tramite l’API Microsoft Graph.
Appaiono nel vostro tenant come “Concesso a Calliente”.
| Autorizzazione | Tipo | Consenso amministratore richiesto | Utilizzo principale |
|---|---|---|---|
| GroupMember.Read.All | Delegata | ✅ Sì | Leggere i gruppi a cui appartiene un utente, per filtrare la sincronizzazione dei contatti |
| offline_access | Delegata | ❌ No | Ottenere un nuovo token di accesso quando quello attuale scade, anche se l’utente non è più attivo |
| openid | Delegata | ❌ No | Necessario per l’autenticazione tramite OpenID Connect |
| profile | Delegata | ❌ No | Accedere alle informazioni di profilo di base dell’utente |
| User.Read | Delegata | ❌ No | Consente all’utente di accedere e di leggere il proprio profilo |
| User.Read.All | Delegata | ✅ Sì | Leggere tutti i profili utente — utilizzato per sincronizzare i numeri di telefono e le informazioni di contatto |
🔍 Perché queste autorizzazioni?
Ogni autorizzazione ha una finalità precisa:
🔐 Identificazione e accesso dell’utente
- openid, profile e User.Read sono scope standard di OpenID Connect per consentire un’autenticazione sicura tramite Microsoft Entra ID.
🧩 Filtro dei contatti per gruppo
- GroupMember.Read.All consente a Calliente di determinare a quali gruppi appartiene l’utente, per limitare la sincronizzazione dei contatti solo ai membri dei gruppi definiti dall’amministratore.
📇 Ricerca nella directory e informazioni contestuali
- User.Read.All viene utilizzato per elencare gli utenti, ad esempio durante l’assegnazione di ruoli o la ricerca di colleghi.
Nessuna modifica o scrittura del profilo è possibile.
🔄 Gestione della sessione
- offline_access consente all’applicazione di continuare a funzionare durante le sessioni lunghe senza richiedere all’utente di effettuare nuovamente l’accesso.
🛡️ Impegno per la sicurezza
🧱 Principio del privilegio minimo
Calliente richiede solo le autorizzazioni minime necessarie e non esegue alcuna operazione amministrativa sul vostro tenant.
🔐 Nessun dato memorizzato al di fuori del tenant
I dati utente a cui si accede tramite Microsoft Graph non vengono mai memorizzati in modo permanente sui server Calliente, salvo configurazione esplicita con consenso.
✅ Conformità integrata
La piattaforma Calliente rispetta le migliori pratiche di Microsoft in materia di consenso delle applicazioni, e segue le raccomandazioni della Microsoft Identity Platform per integrazioni sicure.
🧾 Come verificare o revocare le autorizzazioni
In qualità di amministratore di Microsoft Entra ID, potete in qualsiasi momento esaminare e gestire le autorizzazioni concesse:
Portale Azure → Applicazioni aziendali → Calliente
Accedere a Autorizzazioni → Visualizzare o rimuovere i consensi individuali
Per maggiori dettagli, consultate la documentazione ufficiale di Microsoft su la gestione delle autorizzazioni delle applicazioni.
📬 Domande o preoccupazioni?
Per un audit, un’esigenza di documentazione di conformità o un’assistenza tecnica:
👉 https://calliente.app/contact/
Per problemi relativi all’identità:
👉 Contattate il supporto Microsoft Entra