Creare un'applicazione Microsoft Entra e un'entità servizio in grado di accedere alle risorse

In questo articolo si apprenderà come creare un'applicazione Microsoft Entra e un'entità servizio che può essere usata con il controllo degli accessi in base al ruolo. Quando si registra una nuova applicazione in Microsoft Entra ID, viene creata automaticamente un'entità servizio per la registrazione dell'app. L'entità servizio è l'identità dell'app nel tenant di Microsoft Entra. L'accesso alle risorse è limitato dai ruoli assegnati all'entità servizio, consentendo di controllare le risorse a cui è possibile accedere e a quale livello. Per motivi di sicurezza, è sempre consigliabile usare entità servizio con strumenti automatizzati anziché consentire l'accesso con un'identità utente.

In questo articolo si creerà un'applicazione a tenant singolo nel portale di Azure. Questo esempio è applicabile alle applicazioni line-of-business usate all'interno di un'organizzazione. È anche possibile usare Azure PowerShell o l'interfaccia della riga di comando di Azure per creare un'entità servizio.

Importante

Anziché creare un'entità servizio, considerare l'uso delle identità gestite per le risorse di Azure per l'identità dell'applicazione. Se il codice viene eseguito in un servizio che supporta le identità gestite e accede alle risorse che supportano l'autenticazione di Microsoft Entra, le identità gestite sono un'opzione migliore. Per altre informazioni sulle identità gestite per le risorse di Azure, inclusi i servizi attualmente supportati, vedere Informazioni sulle identità gestite per le risorse di Azure.

Per altre informazioni sulla relazione tra la registrazione dell'app, gli oggetti applicazione e le entità servizio, vedere Oggetti applicazione e entità servizio in Microsoft Entra ID.

Prerequisiti

Per registrare un'applicazione nel tenant di Microsoft Entra, è necessario:

• Un account utente di Microsoft Entra. Se non è già disponibile, è possibile creare gratuitamente un account.

Autorizzazioni necessarie per la registrazione di un'app

È necessario disporre di autorizzazioni sufficienti per registrare un'applicazione con il tenant di Microsoft Entra e assegnare all'applicazione un ruolo nella sottoscrizione di Azure. Per completare queste attività, è necessaria Application.ReadWrite.Alll'autorizzazione.

Registrare un'applicazione con Microsoft Entra ID e creare un'entità servizio

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

2. Passare a Applicazioni> di identità>Registrazioni app quindi selezionare Nuova registrazione.

3. Denominare l'applicazione, ad esempio "example-app".

4. Selezionare un tipo di account supportato, che determina chi può usare l'applicazione.

5. In URI di reindirizzamento selezionare Web per il tipo di applicazione che si vuole creare. Immettere l'URI a cui viene inviato il token di accesso.

6. Selezionare Registra.

   

È stata creata l'applicazione Microsoft Entra e l'entità servizio.

Assegnare un ruolo all'applicazione

Per accedere alle risorse nella sottoscrizione, è necessario assegnare un ruolo all'applicazione. Decidere quale ruolo offre le autorizzazioni appropriate per l'applicazione. Per informazioni sui ruoli disponibili, vedere Ruoli predefiniti di Azure.

È possibile impostare l'ambito al livello della sottoscrizione, del gruppo di risorse o della risorsa. Le autorizzazioni vengono ereditate a livelli inferiori dell'ambito.

1. Accedere al portale di Azure.

2. Selezionare il livello di ambito a cui si vuole assegnare l'applicazione. Ad esempio, per assegnare un ruolo nell'ambito della sottoscrizione, cercare e selezionare Sottoscrizioni. Se la sottoscrizione che si sta cercando non viene visualizzata, selezionare il filtro per le sottoscrizioni globali. Assicurarsi che la sottoscrizione desiderata sia selezionata per il tenant.

3. Seleziona Controllo di accesso (IAM).

4. Selezionare Aggiungi e quindi Aggiungi assegnazione di ruolo.

5. Nella scheda Ruolo selezionare il ruolo da assegnare all'applicazione nell'elenco. Ad esempio, per consentire all'applicazione di eseguire azioni come il riavvio, avviare e arrestare le istanze, selezionare il ruolo Collaboratore .

6. Selezionare Avanti.

7. Nella scheda Membri selezionare Assegna accesso a, quindi selezionare Utente, gruppo o entità servizio

8. Seleziona Seleziona membri. Per impostazione predefinita, le applicazioni Microsoft Entra non vengono visualizzate nelle opzioni disponibili. Per trovare l'applicazione, cercarla in base al nome.

9. Selezionare il pulsante Seleziona , quindi selezionare Rivedi e assegna.

   

L'entità servizio è stata configurata ed è possibile iniziare a usarla per eseguire script o app. Per gestire l'entità servizio (autorizzazioni, autorizzazioni concesse dall'utente, vedere quali utenti hanno acconsentito, esaminare le autorizzazioni, vedere informazioni di accesso e altro ancora), passare ad Applicazioni aziendali.

Nella sezione successiva viene illustrato come ottenere i valori necessari quando si accede a livello di codice.

Accedere all'applicazione

Quando si accede a livello di codice, passare l'ID tenant e l'ID applicazione nella richiesta di autenticazione. È necessario anche un certificato o una chiave di autenticazione. Per ottenere l'ID directory (tenant) e l'ID applicazione:

1. Passare a Identity>Applications> Registrazioni app e quindi selezionare l'applicazione.
2. Nella pagina di panoramica dell'app copiare il valore dell'ID directory (tenant) e archiviarlo nel codice dell'applicazione.
3. Copiare il valore id applicazione (client) e archiviarlo nel codice dell'applicazione.

Configurazione dell'autenticazione

Per le entità servizio sono disponibili due tipi di autenticazione: autenticazione basata su password (segreto dell'applicazione) e autenticazione basata su certificato. È consigliabile usare un certificato attendibile emesso da un'autorità di certificazione, ma è anche possibile creare un segreto dell'applicazione o creare un certificato autofirmato per il test.

Opzione 1 (scelta consigliata): caricare un certificato attendibile emesso da un'autorità di certificazione

Per caricare il file del certificato:

1. Passare a Identity>Applications> Registrazioni app e quindi selezionare l'applicazione.
2. Selezionare Certificati e segreti.
3. Selezionare Certificati, quindi carica certificato e quindi selezionare il file del certificato da caricare.
4. Selezionare Aggiungi. Dopo aver caricato il certificato, vengono visualizzati i valori di identificazione personale, data di inizio e scadenza.

Dopo aver registrato il certificato con l'applicazione nel portale di registrazione dell'applicazione, abilitare il codice dell'applicazione client riservato per l'uso del certificato.

Opzione 2: Test di sola creazione e caricamento di un certificato autofirmato

Facoltativamente, è possibile creare un certificato autofirmato solo a scopo di test. Per creare un certificato autofirmato, aprire Windows PowerShell ed eseguire New-SelfSignedCertificate con i parametri seguenti per creare il certificato nell'archivio certificati utente nel computer:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Esportare questo certificato in un file usando lo snap-in GESTISCI CERTIFICATO utente MMC accessibile da Windows Pannello di controllo.

1. Selezionare Esegui dal menu Start e quindi immettere certmgr.msc. Viene visualizzato lo strumento Gestione certificati per l'utente corrente.
2. Per visualizzare i certificati, in Certificati - Utente corrente nel riquadro sinistro espandere la directory Personale .
3. Fare clic con il pulsante destro del mouse sul certificato creato, selezionare Tutte le attività-Esporta>.
4. Seguire l'Esportazione guidata certificati.

Per caricare il certificato:

1. Passare a Identity>Applications> Registrazioni app e quindi selezionare l'applicazione.
2. Selezionare Certificati e segreti.
3. Selezionare Certificati, quindi carica certificato e quindi selezionare il certificato (un certificato esistente o il certificato autofirmato esportato).
4. Selezionare Aggiungi.

Dopo aver registrato il certificato con l'applicazione nel portale di registrazione dell'applicazione, abilitare il codice dell'applicazione client riservato per l'uso del certificato.

Opzione 3: Creare un nuovo segreto client

Se si sceglie di non usare un certificato, è possibile creare un nuovo segreto client.

1. Passare a Identity>Applications> Registrazioni app e quindi selezionare l'applicazione.
2. Selezionare Certificati e segreti.
3. Selezionare Segreti client e quindi Selezionare Nuovo segreto client.
4. Specificare una descrizione del segreto e una durata.
5. Selezionare Aggiungi.

Dopo aver salvato il segreto client, viene visualizzato il valore del segreto client. Questa operazione viene visualizzata una sola volta, quindi copiare questo valore e archiviarlo in cui l'applicazione può recuperarla, in genere in cui l'applicazione mantiene valori come clientIdo authoruty nel codice sorgente. Si fornirà il valore del segreto insieme all'ID client dell'applicazione per accedere come applicazione.

Configurare i criteri di accesso per le risorse

Potrebbe essere necessario configurare autorizzazioni aggiuntive per le risorse a cui l'applicazione deve accedere. Ad esempio, è necessario aggiornare anche i criteri di accesso di un insieme di credenziali delle chiavi per concedere all'applicazione l'accesso a chiavi, segreti o certificati.

Per configurare i criteri di accesso:

1. Accedere al portale di Azure.

2. Selezionare l'insieme di credenziali delle chiavi e selezionare Criteri di accesso.

3. Selezionare Aggiungi criteri di accesso, quindi selezionare la chiave, il segreto e le autorizzazioni del certificato che si vuole concedere all'applicazione. Selezionare l'entità servizio creata in precedenza.

4. Selezionare Aggiungi per aggiungere i criteri di accesso.

5. Salva.

   

Passaggi successivi

• Informazioni su come usare Azure PowerShell o l'interfaccia della riga di comando di Azure per creare un'entità servizio.
• Per informazioni sulla specifica dei criteri di sicurezza, vedere Controllo degli accessi in base al ruolo di Azure.
• Per un elenco di azioni disponibili che è possibile concedere o negare agli utenti, vedere Operazioni di provider di risorse con Azure Resource Manager.
• Per informazioni sull'uso delle registrazioni delle app con Microsoft Graph, vedere le informazioni di riferimento sulle API delle applicazioni .