Sviluppare app line-of-business per Azure Active DirectoryDevelop line-of-business apps for Azure Active Directory

Questa guida offre una panoramica dello sviluppo di applicazioni line-of-business (LoB) per Azure Active Directory (AD) ed è rivolta agli amministratori globali di Active Directory/Office 365.This guide provides an overview of developing line-of-business (LoB) applications for Azure Active Directory (AD).The intended audience is Active Directory/Office 365 global administrators.

OverviewOverview

La creazione di applicazioni integrate con Azure AD offre agli utenti dell'organizzazione servizi Single Sign-On per Office 365.Building applications integrated with Azure AD gives users in your organization single sign-on with Office 365. La disponibilità dell'applicazione in Azure AD consente di avere il controllo dei criteri di autenticazione impostati per l'applicazione.Having the application in Azure AD gives you control over the authentication policy for the application. Per altre informazioni sull'accesso condizionale e su come proteggere le applicazioni con l'autenticazione a più fattori (MFA), vedere Configurare le regole di accesso.To learn more about conditional access and how to protect apps with multi-factor authentication (MFA) see Configuring access rules.

Registrare l'applicazione per l'uso di Azure Active Directory.Register your application to use Azure Active Directory. Registrando l'applicazione, gli sviluppatori possono usare Azure AD per autenticare gli utenti e richiedere l'accesso a risorse degli utenti come posta elettronica, calendario e documenti.Registering the application means that your developers can use Azure AD to authenticate users and request access to user resources such as email, calendar, and documents.

Qualsiasi membro della directory (non guest) può registrare un'applicazione, operazione nota anche come creazione di un oggetto applicazione.Any member of your directory (not guests) can register an application, otherwise known as creating an application object.

La registrazione di un'applicazione consente a qualsiasi utente di eseguire le operazioni seguenti:Registering an application allows any user to do the following:

  • Ottenere un'identità per l'applicazione riconosciuta da Azure ADGet an identity for their application that Azure AD recognizes
  • Ottenere uno o più segreti/chiavi utilizzabili dall'applicazione per l'autenticazione in ADGet one or more secrets/keys that the application can use to authenticate itself to AD
  • Personalizzare l'applicazione con nome, logo e altri elementi nel portale di AzureBrand the application in the Azure portal with a custom name, logo, etc.
  • Applicare le funzionalità di autorizzazione di Azure AD per la propria app, tra cui:Apply Azure AD authorization features to their app, including:

    • Controllo degli accessi in base al ruoloRole-Based Access Control (RBAC)
    • Azure Active Directory come server di autorizzazione oAuth (proteggere un'API esposta dall'applicazione)Azure Active Directory as oAuth authorization server (secure an API exposed by the application)
  • Dichiarare le autorizzazioni necessarie per il funzionamento dell'applicazione nel modo previsto, tra cui:Declare required permissions necessary for the application to function as expected, including:

    - <span data-ttu-id="7043a-120">Autorizzazioni per l'app (solo amministratori globali).</span><span class="sxs-lookup"><span data-stu-id="7043a-120">App permissions (global administrators only).</span></span> <span data-ttu-id="7043a-121">Ad esempio: appartenenza ai ruoli in un'altra appartenenza di ruolo o applicazione Azure AD relativa a una risorsa, un gruppo di risorse o una sottoscrizione di Azure</span><span class="sxs-lookup"><span data-stu-id="7043a-121">For example: Role membership in another Azure AD application or role membership relative to an Azure Resource, Resource Group, or Subscription</span></span>
    - <span data-ttu-id="7043a-122">Autorizzazioni delegate (qualsiasi utente).</span><span class="sxs-lookup"><span data-stu-id="7043a-122">Delegated permissions (any user).</span></span> <span data-ttu-id="7043a-123">Ad esempio: Azure AD, Profilo di accesso e lettura</span><span class="sxs-lookup"><span data-stu-id="7043a-123">For example: Azure AD, Sign-in, and Read Profile</span></span>
    

Nota

Per impostazione predefinita, qualsiasi membro può registrare un'applicazione.By default, any member can register an application. Per informazioni su come limitare le autorizzazioni per la registrazione delle applicazioni per membri specifici, vedere Procedura per l'aggiunta delle applicazioni ad Azure AD.To learn how to restrict permissions for registering applications to specific members, see How applications are added to Azure AD.

Ecco cosa deve fare l'amministratore globale per aiutare gli sviluppatori a rendere le loro applicazioni pronte per la produzione:Here’s what you, the global administrator, need to do to help developers make their application ready for production:

  • Configurare regole di accesso (criteri di accesso/autenticazione a più fattori)Configure access rules (access policy/MFA)
  • Configurare l'app per richiedere l'assegnazione di utenti e assegnare gli utentiConfigure the app to require user assignment and assign users
  • Evitare l'esperienza di autorizzazione utente predefinitaSuppress the default user consent experience

Configurare regole di accessoConfigure access rules

Configurare regole di accesso per ogni applicazione nelle app SaaS.Configure per-application access rules to your SaaS apps. Ad esempio, è possibile richiedere l'autenticazione a più fattori oppure solo di consentire l'accesso agli utenti connessi a reti attendibili.For example, you can require MFA or only allow access to users on trusted networks. I dettagli a questo scopo sono disponibili nel documento Configurazione di regole di accesso.The details for this are available in the document Configuring access rules.

Configurare l'app per richiedere l'assegnazione di utenti e assegnare gli utentiConfigure the app to require user assignment and assign users

Per impostazione predefinita, gli utenti possono accedere alle applicazioni senza esservi assegnati.By default, users can access applications without being assigned. Tuttavia, se l'applicazione espone ruoli o si desidera che venga visualizzata nel pannello di accesso dell'utente, l'assegnazione degli utenti dovrebbe essere richiesta.However, if the application exposes roles or if you want the application to appear on a user’s access panel, you should require user assignment.

Richiedere l'assegnazione degli utentiRequiring user assignment

Per gli abbonati ad Azure AD Premium o Enterprise Mobility Suite (EMS), è consigliabile usare i gruppi.If you’re an Azure AD Premium or Enterprise Mobility Suite (EMS) subscriber, we strongly recommend using groups. L'assegnazione di gruppi per l'applicazione consente di delegare le attività di gestione continuativa degli accessi al proprietario del gruppo.Assigning groups to the application allows you to delegate ongoing access management to the owner of the group. È possibile creare il gruppo oppure richiedere al responsabile dell'organizzazione di creare il gruppo con gli strumenti per la gestione dei gruppi.You can create the group or ask the responsible party in your organization to create the group using your group management facility.

Assegnazione di utenti a un'applicazioneAssigning users to an application
Assegnazione di gruppi a un'applicazioneAssigning groups to an application

Per impostazione predefinita, ogni utente è sottoposto a un'esperienza di consenso per poter accedere.By default, each user goes through a consent experience to sign in. L'esperienza di consenso, in cui viene chiesto di concedere le autorizzazioni per un'applicazione, può creare confusione per gli utenti che non hanno familiarità con questo tipo di decisioni.The consent experience, asking users to grant permissions to an application, can be disconcerting for users who are unfamiliar with making such decisions.

Per le applicazioni attendibili, è possibile semplificare l'esperienza utente dando il consenso per l'applicazione per conto dell'organizzazione.For applications that you trust, you can simplify the user experience by consenting to the application on behalf of your organization.

Per altre informazioni sul consenso dell'utente e l'esperienza di consenso in Azure, vedere Integrazione di applicazioni con Azure Active Directory.For more information about user consent and the consent experience in Azure, see Integrating Applications with Azure Active Directory.