Gestione di applicazioni con Azure Active DirectoryManaging Applications with Azure Active Directory

Oltre alla gestione del flusso di lavoro o del contenuto effettivo, in generale le aziende prevedono due requisiti di base per tutte le applicazioni:Beyond the actual workflow or content, businesses have two basic requirements for all applications:

  1. Per aumentare la produttività, è necessario che le applicazioni siano facili da individuare e con una procedura di accesso veloceTo increase productivity, applications should be easy to discover and access
  2. Per garantire la sicurezza e la governance, l'organizzazione deve controllare chi può accedere alle applicazioni e chi vi accede effettivamenteTo enable security and governance, the organization needs control and oversight on who can and actually is accessing each application

Nel mondo delle applicazioni cloud è possibile usare le identità per controllare "CHI può fare COSA".In the world of cloud applications this can best be achieved using identity to control “WHO is allowed to do WHAT”.

Detto con la terminologia IT:In computing terminology:

  • Chicorrisponde a identità, ovvero la gestione di utenti e gruppiWho is known as identity - the management of users and groups
  • Cosa corrisponde a gestione degli accessi, ovvero la gestione degli accessi alle risorse protetteWhat is known as access management – the management of access to protected resources

La combinazione di questi due componenti è nota come Gestione delle identità e degli accessi, definita dal gruppo Gartner come "la disciplina di sicurezza che consente alle persone corrette di accedere alle risorse appropriate, al momento opportuno e per i giusti motivi".Both components together are known as Identity and Access Management (IAM), which is defined by the Gartner group as “the security discipline that enables the right individuals to access the right resources at the right times for the right reasons”.

Allora qual è il problema?Okay, so what’s the problem? Se le identità e gli accessi non sono gestiti in un'unica posizione con una soluzione integrata:If IAM is not managed in one place with an integrated solution:

  • Gli amministratori delle identità devono creare e aggiornare i singoli account utente in tutte le applicazioni separatamente, un'attività ridondante dispendiosa in termini di tempo.Identity administrators have to individually create and update user accounts in all applications separately, a redundant and time consuming activity.
  • Gli utenti devono memorizzare più credenziali per accedere alle app che vogliono usare.Users have to memorize multiple credentials to access the applications they need to work with. Di conseguenza, gli utenti tendono a prendere nota delle password o a usare soluzioni di gestione delle password che comportano altri rischi per la sicurezza dei dati.As a result, users tend to write down their passwords or use other password management solutions which introduces other data security risks.
  • Le attività ridondanti e dispendiose in termini di tempo riducono il tempo utile che gli utenti e gli amministratori possono dedicare ad attività aziendali che incrementano i profitti dell'azienda.Redundant, time consuming activities reduce the amount of time users and administrators are working on business activities that increase your business’s bottom line.

Quali sono i fattori che ostacolano l'adozione di soluzioni di gestione delle identità e degli accessi da parte delle aziende?So, what generally prevents organizations from adopting integrated IAM solutions?

  • La maggior parte delle soluzioni tecniche è basata su piattaforme software che devono essere distribuite e adattate da ogni organizzazione in base alle applicazioni specifiche.Most technical solutions are based on software platforms that need to be deployed and adapted by each organization for their own applications.
  • L'adozione di applicazioni cloud è spesso così rapida che le organizzazioni IT faticano a stare al passo con l'integrazione con le soluzioni di gestione delle identità e degli accessi esistenti.Cloud applications are often adopted at a higher rate than IT organization can integrate with existing IAM solutions.
  • Gli strumenti di sicurezza e monitoraggio richiedono attività di personalizzazione e integrazione aggiuntive per soddisfare scenari end-to-end completi.Security and monitoring tooling require additional customization and integration to achieve comprehensive E2E scenarios.

Integrazione di Azure Active Directory con le applicazioniAzure Active Directory integrated with applications

Azure Active Directory è una soluzione IDaaS (Identity as a Service) Microsoft completa che offre i vantaggi seguenti:Azure Active Directory is Microsoft’s comprehensive Identity as a Service (IDaaS) solution that:

  • Abilitazione della gestione delle identità e degli accessi come servizio cloud.Enables IAM as a cloud service
  • Gestione centrale dell'accesso, accesso Single Sign-On (SSO) e creazione di report.Provides central access management, single-sign on (SSO), and reporting
  • Supporto per la gestione integrata degli accessi per migliaia di applicazioni nella raccolta di applicazioni, ad esempio Salesforce, Google Apps, Box, Concur e così via.Supports integrated access management for thousands of applications in the application gallery, including Salesforce, Google Apps, Box, Concur, and more.

Con Azure Active Directory tutte le applicazioni pubblicate per partner e clienti (aziende o utenti privati) hanno le stesse funzionalità di gestione delle identità e degli accessi.With Azure Active Directory, all applications you publish for your partners and customers (business or consumer) have the same identity and access management capabilities.
Ciò consente una riduzione notevole dei costi operativi.This enables you to significantly reduce your operational costs.

Che cosa accade se è necessario implementare un'applicazione non ancora pubblicata nella raccolta di applicazioni?What if you need to implement an application that is not yet listed in the application gallery? Nonostante la procedura risulti leggermente più dispendiosa in termini di tempo rispetto alla configurazione dell'accesso Single Sign-On delle applicazioni disponibili nella raccolta, Azure AD offre una procedura di configurazione guidata.While this is a bit more time-consuming than configuring SSO for applications from the application gallery, Azure AD provides you with a wizard that helps you with the configuration.

Il valore di Azure AD va oltre le "sole" applicazioni cloud.The value of Azure AD goes beyond “just” cloud applications. È anche possibile usarlo con applicazioni locali, fornendo accesso remoto sicuro,You can also use it with on-premises applications by providing secure remote access. che consente di eliminare la necessità di VPN o altre implementazioni tradizionali di gestione dell'accesso remoto.With secure remote access, you can eliminate the the need for VPNs or other traditional remote access management implementations.

Poiché fornisce funzionalità di gestione degli accessi centralizzata e di accesso Single Sign-On per tutte le applicazioni aziendali, Azure AD è la soluzione che consente di risolvere i problemi principali legati alla sicurezza dei dati e alla produttività.By providing central access management and single sign on (SSO) for all your applications, Azure AD provides the solution to the main data security and productivity problems.

  • Gli utenti possono accedere a più applicazioni con le stesse credenziali di accesso e avere più tempo disponibile per generare reddito o svolgere le operazioni aziendali.Users can access multiple applications with one sign on giving more time to income generating or business operations activities done.
  • Gli amministratori delle identità possono gestire l'accesso alle applicazioni da un'unica posizione.Identity administrators can manage access to applications in one place.

I vantaggi per l'utente e per l'azienda sono evidenti.The benefit for the user and for your company is obvious. Di seguito sono illustrati in modo più dettagliato i vantaggi per gli amministratori delle identità e per l'organizzazione.Let’s take a closer look at the benefits for an identity administrator and the organization.

Vantaggi dell'applicazione integrataIntegrated application benefits

Il processo di accesso Single Sign-On prevede due passaggi:The SSO process has two steps:

  • Autenticazione, ovvero la convalida dell'identità dell'utente.Authentication, the process of validating the user’s identity.
  • Autorizzazione, ovvero la decisione di consentire o bloccare l'accesso a una risorsa tramite criteri di accesso.Authorization, the decision to enable or block access to a resource with an access policy.

Quando si usa Azure AD per gestire le applicazioni e abilitare l'accesso Single Sign-On:When using Azure AD to manage applications and enable SSO:

  • L'autenticazione viene effettuata in base all'account dell'utente locale, ad esempio Active Directory, o all'account Azure AD.Authentication is done on the user’s on-premises (e.g. AD) or Azure AD account.
  • L'autorizzazione viene eseguita in base ai criteri di protezione e assegnazione di Azure AD per garantire un'esperienza utente coerente e per consentire all'amministratore di aggiungere assegnazioni, località e condizioni di autenticazione a più fattori (MFA) per ogni applicazione, indipendentemente dalle rispettive funzionalità interne.Authorization executes on the Azure AD assignment and protection policy ensuring consistent end user experience and enabling you to add assignment, locations, and MFA conditions on any application, regardless of its internal capabilities.

È importante comprendere che la modalità in cui l'autorizzazione viene applicata all'applicazione di destinazione varia in base al modo in cui l'applicazione è stata integrata con Azure AD.It important to understand that the way the authorization is enacted on the target application varies depending on how the application was integrated with Azure AD.

  • Applicazioni preintegrate dal provider di servizi : come Office 365 e Azure, si tratta di applicazioni basate su Azure AD e che dipendono da Azure AD per tutte le funzionalità di gestione delle identità e degli accessi.Applications pre-integrated by service provider Like Office 365 and Azure, these are applications built directly on Azure AD and relying on it for their comprehensive identity and access management capabilities. L'accesso a queste applicazioni viene abilitato tramite le informazioni disponibili nella directory e il rilascio di token.Access to these applications is enabled through directory information and token issuance.
  • Applicazioni preintegrate da Microsoft e applicazioni personalizzate : si tratta di applicazioni cloud indipendenti che si basano su una directory dell'applicazione interna e che possono operare indipendentemente da Azure AD.Applications pre-integrated by Microsoft and custom applications These are independent cloud applications that rely on an internal application directory and can operate independently of Azure AD. L'accesso a queste applicazioni viene abilitato tramite il rilascio di credenziali specifiche dell'applicazione mappate a un account dell'applicazione.Access to these applications is enabled by issuing an application specific credential mapped to an application account. A seconda delle funzionalità dell'applicazione, le credenziali possono essere costituite da un token federativo o da nome utente e password per un account di cui è stato precedentemente eseguito il provisioning nell'applicazione.Depending on the application capabilities, the credential may be a federation token or user-name and password for an account that was previously provisioned in the application.
  • Applicazioni locali : si tratta di applicazioni pubblicate tramite il proxy di applicazione di Azure AD che abilita l'accesso alle applicazioni locali.On-premises applications Applications published through the Azure AD application proxy primarily enabling access to on-premises applications. Queste applicazioni si basano su una directory locale centralizzata, ad esempio Windows Server Active Directory.These applications rely on a central on-premises directory like Windows Server Active Directory. L'accesso a queste applicazioni viene abilitato tramite l'attivazione del proxy per la distribuzione del contenuto dell'applicazione all'utente finale, rispettando il requisito di accesso locale.Access to these applications is enabled by triggering the proxy to deliver the application content to the end user while honoring the on-premises sign-on requirement.

Ad esempio, quando un utente viene assunto dall'organizzazione, sarà necessario creare un account utente in Azure AD per le operazioni di accesso principali.For example, if a user joins your organization, you need to create an account for the user in Azure AD for the primary sign-on operations. Se l'utente deve accedere a un'applicazione gestita, come ad esempio Salesforce, sarà necessario creare un account per l'utente in Salesforce e collegarlo all'account Azure, affinché l'accesso Single Sign-On possa funzionare.If this user requires access to a managed application such as Salesforce, you also need to create an account for this user in Salesforce and link it to the Azure account to make SSO work. Quando un utente lascia l'organizzazione, è opportuno eliminare l'account Azure AD e tutti gli altri account negli archivi di gestione delle identità e degli accessi delle applicazioni a cui l'utente era autorizzato ad accedere.When the user leaves your organization, it is advisable to delete the Azure AD account and all counterpart accounts in the IAM stores of the applications the user had access to.

Rilevamento degli accessiAccess detection

Nelle aziende moderne, i reparti IT spesso non sono a conoscenza di tutte le applicazioni cloud usate dai dipendenti.In modern enterprises, IT departments are often not aware of all the cloud applications that are being used. Con Cloud App Discovery, Azure AD fornisce anche una soluzione per individuare tali applicazioni.In conjunction with Cloud App Discovery, Azure AD provides you with a solution to detect these applications.

Gestione accountAccount management

Per tradizione, la gestione degli account nelle applicazioni è un processo manuale svolto dal personale IT o di supporto all'interno dell'organizzazione.Traditionally, managing accounts in the various applications is a manual process performed by IT or support personal in the organization. Azure AD offre una soluzione di gestione degli account completamente automatizzata per tutte le applicazioni integrate dai provider di servizi e per quelle preintegrate da Microsoft che supportano il provisioning utenti automatizzato o il formato SAML JIT.Azure AD fully automated account management across all service provider integrated applications and those applications pre-integrated by Microsoft supporting automated user provisioning or SAML JIT.

Provisioning utenti automatizzatoAutomated user provisioning

Alcune applicazioni offrono interfacce di automazione per la creazione e la rimozione (o disattivazione) di account.Some applications provide automation interfaces for creation and removal (or deactivation) of accounts. Se un provider offre un'interfaccia di questo tipo, questa verrà usata da Azure AD.If a provider offers such an interface, it is leveraged by Azure AD. In questo modo è possibile ridurre i costi operativi perché le attività amministrative vengono svolte automaticamente e migliorare la sicurezza dell'ambiente riducendo al minimo i rischi derivanti da accessi non autorizzati.This reduces your operational costs because administrative tasks happen automatically, and improves the security of your environment because it decreases the chance of unauthorized access.

gestione degli accessiAccess management

Azure AD permette di gestire gli accessi alle applicazioni tramite assegnazioni singole o basate su ruolo.Using Azure AD you can manage access to applications using individual or rule driven assignments. È anche possibile delegare la gestione degli accessi alle persone appropriate all'interno dell'organizzazione prevedendo una supervisione ottimale e riducendo il carico di lavoro del supporto tecnico.You can also delegate access management to the right people in the organization ensuring the best oversight and reducing the burden on helpdesk.

Applicazioni localiOn-premises applications

Il proxy di applicazione incorporato consente di pubblicare le applicazioni locali per gli utenti, al fine di garantire un'esperienza di accesso coerente per le applicazioni cloud e offrire i vantaggi delle funzionalità di monitoraggio, creazione di report e sicurezza disponibili in Azure AD.The built in application proxy enables you to publish your on-premises applications to your users resulting in both consistent access experience with modern cloud application and the benefits from Azure AD monitoring, reporting, and security capabilities.

Monitoraggio e creazione di reportReporting and monitoring

Azure AD offre funzionalità di creazione di report e monitoraggio preintegrate che consentono di ottenere informazioni sugli utenti autorizzati ad accedere alle applicazioni e su quando gli utenti le usano effettivamente.Azure AD provides you with pre-integrated reporting and monitoring capabilities that enable you to know who has access to applications and when they actually used them.

Azure AD consente di proteggere le applicazioni tramite criteri di accesso granulari e autenticazione a più fattori (MFA) preintegrata.With Azure AD you can secure your applications with granular access policies and pre-integrated MFA. Per altre informazioni sull'autenticazione a più fattori (MFA) di Azure, vedere Autenticazione a più fattori di Azure.To learn more about Azure MFA see Azure MFA.

IntroduzioneGetting started

Per iniziare a integrare applicazioni con Azure AD, vedere Guida introduttiva all'integrazione di Azure Active Directory con le applicazioni.To get started integrating applications with Azure AD, take a look at the Integrating Azure Active Directory with applications getting started guide.

Vedere ancheSee also

Indice di articoli per la gestione di applicazioni in Azure Active DirectoryArticle Index for Application Management in Azure Active Directory