Ottenere dati con l'API di creazione report di Azure AD con certificatiGet data using the Azure AD Reporting API with certificates

Questo articolo spiega come usare l'API di creazione report di Azure AD con le credenziali del certificato per ottenere i dati provenienti da directory senza intervento dell'utente.This article discusses how to use the Azure AD Reporting API with certificate credentials to get data from directories without user intervention.

Usare l'API di creazione report di Azure ADUse the Azure AD Reporting API

L'API di creazione report di Azure AD richiede il completamento dei passaggi seguenti:Azure AD Reporting API requires that you complete the following steps:

  • Installare i componenti prerequisitiInstall prerequisites
  • Impostare il certificato nell'appSet the certificate in your app
  • Ottenere un token di accessoGet an access token
  • Usare il token di accesso per chiamare l'API GraphUse the access token to call the Graph API

Per informazioni sul codice sorgente, vedere Sfruttare il modulo dell'API di creazione report.For information about source code, see Leverage Report API Module.

Installare i componenti prerequisitiInstall prerequisites

È necessario avere installato Azure AD PowerShell V2 e il modulo AzureADUtils.You will need to have Azure AD PowerShell V2 and AzureADUtils module installed.

  1. Scaricare e installare Azure AD Powershell V2 seguendo le istruzioni illustrate in Azure Active Directory PowerShell.Download and install Azure AD Powershell V2, following the instructions at Azure Active Directory PowerShell.
  2. Scaricare il modulo AzureADUtils da AzureAD/azure-activedirectory-powershell.Download the Azure AD Utils module from AzureAD/azure-activedirectory-powershell. Questo modulo offre diversi cmdlet di utilità, tra cui:This module provides several utility cmdlets including:
    • La versione più recente di ADAL con NuGetThe latest version of ADAL using Nuget
    • Token di accesso dell'utente, chiavi dell'applicazione e certificati con ADALAccess tokens from user, application keys, and certificates using ADAL
    • API Graph che gestisce i risultati di pagingGraph API handling paged results

Per installare il modulo AzureADUtils:To install the Azure AD Utils module:

  1. Creare una directory in cui salvare il modulo delle utilità, ad esempio c:\azureAD, e scaricare il modulo da GitHub.Create a directory to save the utilities module (for example, c:\azureAD) and download the module from GitHub.
  2. Aprire una sessione di PowerShell e passare alla directory appena creata.Open a PowerShell session, and go to the directory you just created.
  3. Importare il modulo e installarlo nel percorso del modulo di PowerShell usando il cmdlet Install-AzureADUtilsModule.Import the module, and install it in the PowerShell module path using the Install-AzureADUtilsModule cmdlet.

La sessione avrà un aspetto simile a questa schermata:The session should look similar to this screen:

Windows Powershell

Impostare il certificato nell'appSet the certificate in your app

  1. Se è già disponibile un'app, ottenere il relativo ID oggetto dal portale di Azure.If you already have an app, get its Object ID from the Azure Portal.

    Portale di Azure

  2. Aprire una sessione di PowerShell e connettersi ad Azure AD usando il cmdlet Connect-AzureAD.Open a PowerShell session and connect to Azure AD using the Connect-AzureAD cmdlet.

    Portale di Azure

  3. Usare il cmdlet New-AzureADApplicationCertificateCredential da AzureADUtils per aggiungere una credenziale di certificato.Use the New-AzureADApplicationCertificateCredential cmdlet from AzureADUtils to add a certificate credential to it.

Nota

È necessario specificare l'ID oggetto dell'applicazione acquisito in precedenza, nonché l'oggetto certificato che può essere ottenuto usando l'unità Cert:You need to provide the application Object ID that you captured earlier, as well as the certificate object (get this using the Cert: drive).

Portale di Azure

Ottenere un token di accessoGet an access token

Per ottenere un token di accesso, usare il cmdlet Get-AzureADGraphAPIAccessTokenFromCert da AzureADUtils.To get an access token, use the Get-AzureADGraphAPIAccessTokenFromCert cmdlet from AzureADUtils.

Nota

È necessario usare l'ID applicazione invece dell'ID oggetto usato nell'ultima sezione.You need to use the Application ID instead of the Object ID that you used in the last section.

Portale di Azure

Usare il token di accesso per chiamare l'API GraphUse the access token to call the Graph API

È ora possibile creare lo script.Now you can create the script. Di seguito è riportato un esempio con il cmdlet Invoke-AzureADGraphAPIQuery di AzureADUtils.Below is an example using the Invoke-AzureADGraphAPIQuery cmdlet from the AzureADUtils. Questo cmdlet gestisce i risultati di multi-paging e li invia alla pipeline di PowerShell.This cmdlet handles multi-paged results, and then sends those results to the PowerShell pipeline.

Portale di Azure

A questo punto è possibile esportare in un file CSV e salvare in un sistema SIEM.You are now ready to export to a CSV and save to a SIEM system. È anche possibile eseguire il wrapping dello script in un'attività pianificata per ottenere periodicamente i dati di Azure AD dal tenant senza dover archiviare le chiavi dell'applicazione nel codice sorgente.You can also wrap your script in a scheduled task to get Azure AD data from your tenant periodically without having to store application keys in the source code.

Passaggi successiviNext steps

Concetti fondamentali sulla gestione delle identità di AzureThe fundamentals of Azure identity management