Ottenere dati con l'API di creazione report di Azure AD con certificati

Questo articolo spiega come usare l'API di creazione report di Azure AD con le credenziali del certificato per ottenere i dati provenienti da directory senza intervento dell'utente.

Usare l'API di creazione report di Azure AD

L'API di creazione report di Azure AD richiede il completamento dei passaggi seguenti:

  • Installare i componenti prerequisiti
  • Impostare il certificato nell'app
  • Ottenere un token di accesso
  • Usare il token di accesso per chiamare l'API Graph

Per informazioni sul codice sorgente, vedere Sfruttare il modulo dell'API di creazione report.

Installare i componenti prerequisiti

È necessario avere installato Azure AD PowerShell V2 e il modulo AzureADUtils.

  1. Scaricare e installare Azure AD Powershell V2 seguendo le istruzioni illustrate in Azure Active Directory PowerShell.
  2. Scaricare il modulo AzureADUtils da AzureAD/azure-activedirectory-powershell. Questo modulo offre diversi cmdlet di utilità, tra cui:
    • La versione più recente di ADAL con NuGet
    • Token di accesso dell'utente, chiavi dell'applicazione e certificati con ADAL
    • API Graph che gestisce i risultati di paging

Per installare il modulo AzureADUtils:

  1. Creare una directory in cui salvare il modulo delle utilità, ad esempio c:\azureAD, e scaricare il modulo da GitHub.
  2. Aprire una sessione di PowerShell e passare alla directory appena creata.
  3. Importare il modulo e installarlo nel percorso del modulo di PowerShell usando il cmdlet Install-AzureADUtilsModule.

La sessione avrà un aspetto simile a questa schermata:

Windows Powershell

Impostare il certificato nell'app

  1. Se è già disponibile un'app, ottenere il relativo ID oggetto dal portale di Azure.

    Portale di Azure

  2. Aprire una sessione di PowerShell e connettersi ad Azure AD usando il cmdlet Connect-AzureAD.

    Portale di Azure

  3. Usare il cmdlet New-AzureADApplicationCertificateCredential da AzureADUtils per aggiungere una credenziale di certificato.

Nota

È necessario specificare l'ID oggetto dell'applicazione acquisito in precedenza, nonché l'oggetto certificato che può essere ottenuto usando l'unità Cert:

Portale di Azure

Ottenere un token di accesso

Per ottenere un token di accesso, usare il cmdlet Get-AzureADGraphAPIAccessTokenFromCert da AzureADUtils.

Nota

È necessario usare l'ID applicazione invece dell'ID oggetto usato nell'ultima sezione.

Portale di Azure

Usare il token di accesso per chiamare l'API Graph

È ora possibile creare lo script. Di seguito è riportato un esempio con il cmdlet Invoke-AzureADGraphAPIQuery di AzureADUtils. Questo cmdlet gestisce i risultati di multi-paging e li invia alla pipeline di PowerShell.

Portale di Azure

A questo punto è possibile esportare in un file CSV e salvare in un sistema SIEM. È anche possibile eseguire il wrapping dello script in un'attività pianificata per ottenere periodicamente i dati di Azure AD dal tenant senza dover archiviare le chiavi dell'applicazione nel codice sorgente.

Passaggi successivi

Concetti fondamentali sulla gestione delle identità di Azure