Glossario per gli sviluppatori di Azure Active DirectoryAzure Active Directory developer glossary

Questo articolo contiene le definizioni di alcuni dei concetti di base per gli sviluppatori di Azure Active Directory (AD), utili per imparare a sviluppare applicazioni per Azure AD.This article contains definitions for some of the core Azure Active Directory (AD) developer concepts, which are helpful when learning about application development for Azure AD.

token di accessoaccess token

Tipo di token di sicurezza rilasciato da un server di autorizzazione e usato da un'applicazione client per accedere a un server di risorse protette.A type of security token issued by an authorization server, and used by a client application in order to access a protected resource server. Il token, in genere sotto forma di token JSON Web (token JWT), rappresenta l'autorizzazione concessa dal proprietario delle risorse al client per un livello di accesso richiesto.Typically in the form of a JSON Web Token (JWT), the token embodies the authorization granted to the client by the resource owner, for a requested level of access. Il token contiene tutte le attestazioni applicabili relative al soggetto e può essere usato dall'applicazione client come credenziale per accedere a una determinata risorsa.The token contains all applicable claims about the subject, enabling the client application to use it as a form of credential when accessing a given resource. Il proprietario della risorsa non dovrà quindi esporre le credenziali al client.This also eliminates the need for the resource owner to expose credentials to the client.

I token di accesso sono talvolta definiti "utente + app" o "solo app", a seconda delle credenziali rappresentate.Access tokens are sometimes referred to as "User+App" or "App-Only", depending on the credentials being represented. Ad esempio:For example, when a client application uses the:

  • Quando un'applicazione client usa la concessione di autorizzazione "codice di autorizzazione", l'utente finale esegue prima l'autenticazione come proprietario della risorsa, delegando al client l'autorizzazione ad accedere alla risorsa."Authorization code" authorization grant, the end user authenticates first as the resource owner, delegating authorization to the client to access the resource. Il client esegue successivamente l'autenticazione quando ottiene il token di accesso.The client authenticates afterward when obtaining the access token. Il token può talvolta essere definito più specificamente token "utente + app" perché rappresenta sia l'utente che ha autorizzato l'applicazione client che l'applicazione.The token can sometimes be referred to more specifically as a "User+App" token, as it represents both the user that authorized the client application, and the application.
  • Quando un'applicazione client usa la concessione di autorizzazione "credenziali client", il client fornisce la sola autenticazione e funziona senza l'autenticazione/autorizzazione del proprietario della risorsa. Il token può quindi essere definito talvolta token "solo app"."Client credentials" authorization grant, the client provides the sole authentication, functioning without the resource-owner's authentication/authorization, so the token can sometimes be referred to as an "App-Only" token.

Per altri dettagli, vedere Informazioni di riferimento sui token in Azure AD.See Azure AD Token Reference for more details.

ID applicazione (ID client)application id (client id)

Identificatore univoco generato da Azure AD per la registrazione di un'applicazione che identifica un'applicazione specifica e le configurazioni associate.The unique identifier Azure AD issues to an application registration that identifies a specific application and the associated configurations. L'ID applicazione (ID client) viene usato per l'esecuzione delle richieste di autenticazione e viene fornito alle librerie di autenticazione durante la fase di sviluppo.This application id (client id) is used when performing authentication requests and is provided to the authentication libraries in development time. L'ID applicazione (ID client) non è un segreto.The application id (client id) is not a secret.

manifesto dell'applicazioneapplication manifest

Funzionalità offerta dal portale di Azure che genera una rappresentazione JSON della configurazione di identità dell'applicazione e viene usata come meccanismo per aggiornare le entità Application e ServicePrincipal associate.A feature provided by the Azure portal, which produces a JSON representation of the application's identity configuration, used as a mechanism for updating its associated Application and ServicePrincipal entities. Per altri dettagli, vedere Informazioni sul manifesto dell'applicazione in Azure Active Directory.See Understanding the Azure Active Directory application manifest for more details.

oggetto applicazioneapplication object

Quando si registra/aggiorna un'applicazione nel portale di Azure, il portale crea/aggiorna sia un oggetto applicazione che un oggetto entità servizio corrispondente per il tenant.When you register/update an application in the Azure portal, the portal creates/updates both an application object and a corresponding service principal object for that tenant. L'oggetto applicazione definisce la configurazione di identità dell'applicazione a livello globale (in tutti i tenant a cui ha accesso), offrendo un modello da cui derivano gli oggetti entità servizio corrispondenti usati in locale in fase di esecuzione (in uno specifico tenant).The application object defines the application's identity configuration globally (across all tenants where it has access), providing a template from which its corresponding service principal object(s) are derived for use locally at run-time (in a specific tenant).

Per altre informazioni, vedere Oggetti applicazione e oggetti entità servizio in Azure Active Directory.See Application and Service Principal Objects for more information.

registrazione dell'applicazioneapplication registration

Per consentire a un'applicazione l'integrazione con le funzioni di gestione delle identità e degli accessi e la relativa delega in Azure AD, è necessario che l'applicazione sia registrata in un tenantdi Azure AD.In order to allow an application to integrate with and delegate Identity and Access Management functions to Azure AD, it must be registered with an Azure AD tenant. Quando si registra l'applicazione in Azure AD, si specifica una configurazione di identità per l'applicazione che ne consente l'integrazione con Azure AD e l'uso di funzionalità come le seguenti:When you register your application with Azure AD, you are providing an identity configuration for your application, allowing it to integrate with Azure AD and use features such as:

Per altri dettagli, vedere Integrazione di applicazioni con Azure Active Directory.See Integrating applications with Azure Active Directory for more details.

authenticationauthentication

Richiesta di credenziali legittime a una parte, che costituisce la base per la creazione di un'entità di sicurezza da usare per il controllo delle identità e di accesso.The act of challenging a party for legitimate credentials, providing the basis for creation of a security principal to be used for identity and access control. Durante una concessione di autorizzazione OAuth2, ad esempio, la parte che esegue l'autenticazione svolge il ruolo di proprietario delle risorse o di applicazione client a seconda della concessione usata.During an OAuth2 authorization grant for example, the party authenticating is filling the role of either resource owner or client application, depending on the grant used.

autorizzazioneauthorization

Concessione a un'entità di sicurezza autenticata dell'autorizzazione a eseguire determinate operazioni.The act of granting an authenticated security principal permission to do something. Nel modello di programmazione di Azure AD esistono due casi d'uso principali.There are two primary use cases in the Azure AD programming model:

codice di autorizzazioneauthorization code

"Token" di breve durata fornito a un'applicazione client dall'endpoint di autorizzazione nell'ambito del flusso del "codice di autorizzazione". È una delle quattro concessioni di autorizzazione OAuth2.A short lived "token" provided to a client application by the authorization endpoint, as part of the "authorization code" flow, one of the four OAuth2 authorization grants. Il codice viene restituito all'applicazione client in risposta all'autenticazione di un proprietario delle risorse e indica che il proprietario ha delegato l'autorizzazione ad accedere alle risorse richieste.The code is returned to the client application in response to authentication of a resource owner, indicating the resource owner has delegated authorization to access the requested resources. Nell'ambito del flusso, il codice viene successivamente riscattato per un token di accesso.As part of the flow, the code is later redeemed for an access token.

endpoint di autorizzazioneauthorization endpoint

Uno degli endpoint implementati dal server di autorizzazione, usato per interagire con il proprietario delle risorse per fornire una concessione di autorizzazione durante un flusso di concessione di autorizzazione OAuth2.One of the endpoints implemented by the authorization server, used to interact with the resource owner in order to provide an authorization grant during an OAuth2 authorization grant flow. A seconda del flusso di concessione di autorizzazione usato, l'effettiva concessione fornita può variare e includere un codice di autorizzazione o un token di sicurezza.Depending on the authorization grant flow used, the actual grant provided can vary, including an authorization code or security token.

Per altri dettagli, vedere le sezioni relative ai tipi di concessione di autorizzazione e all'endpoint di autorizzazione della specifica OAuth2 e la specifica OpenIDConnect.See the OAuth2 specification's authorization grant types and authorization endpoint sections, and the OpenIDConnect specification for more details.

concessione di autorizzazioneauthorization grant

Credenziale che rappresenta l'autorizzazione del proprietario delle risorse ad accedere alle risorse protette, concessa a un'applicazione client.A credential representing the resource owner's authorization to access its protected resources, granted to a client application. Per ottenere una concessione, un'applicazione client può usare uno dei quattro tipi di concessione definiti dal framework di autorizzazione di OAuth2, a seconda del tipo e dei requisiti del client: concessione del codice di autorizzazione, concessione di credenziali client, concessione implicita e concessione delle credenziali password del proprietario della risorsa.A client application can use one of the four grant types defined by the OAuth2 Authorization Framework to obtain a grant, depending on client type/requirements: "authorization code grant", "client credentials grant", "implicit grant", and "resource owner password credentials grant". A seconda del tipo di concessione di autorizzazione usato, la credenziale restituita al client è un token di accesso o un codice di autorizzazione successivamente scambiato con un token di accesso.The credential returned to the client is either an access token, or an authorization code (exchanged later for an access token), depending on the type of authorization grant used.

server di autorizzazioneauthorization server

In base alla definizione del framework di autorizzazione di OAuth2, server responsabile del rilascio dei token di accesso al client dopo che è stata completata l'autenticazione del proprietario delle risorse e ne è stata ottenuta l'autorizzazione.As defined by the OAuth2 Authorization Framework, the server responsible for issuing access tokens to the client after successfully authenticating the resource owner and obtaining its authorization. Un'applicazione client interagisce con il server di autorizzazione in fase di esecuzione tramite gli endpoint di autorizzazione e di token, in conformità alle concessioni di autorizzazione definite da OAuth2.A client application interacts with the authorization server at runtime via its authorization and token endpoints, in accordance with the OAuth2 defined authorization grants.

In caso di integrazione di applicazioni di Azure AD, Azure AD implementa il ruolo del server di autorizzazione per le applicazioni di Azure AD e le API del servizio Microsoft, ad esempio le API Microsoft Graph.In the case of Azure AD application integration, Azure AD implements the authorization server role for Azure AD applications and Microsoft service APIs, for example Microsoft Graph APIs.

attestazioneclaim

Un token di sicurezza contiene attestazioni, che forniscono asserzioni su un'entità (come un'applicazione client o un proprietario delle risorse) a un'altra entità, ad esempio il server di risorse.A security token contains claims, which provide assertions about one entity (such as a client application or resource owner) to another entity (such as the resource server). Le attestazioni sono coppie nome-valore che inoltrano fact relativi al soggetto del token (ad esempio, l'identità di sicurezza che è stata autenticata dal server di autorizzazione).Claims are name/value pairs that relay facts about the token subject (for example, the security principal that was authenticated by the authorization server). Le attestazioni presenti in un determinato token dipendono da diverse variabili, tra cui il tipo di token, il tipo di credenziale usato per autenticare il soggetto, la configurazione dell'applicazione e così via.The claims present in a given token are dependent upon several variables, including the type of token, the type of credential used to authenticate the subject, the application configuration, etc.

Per altri dettagli, vedere Informazioni di riferimento sui token in Azure AD.See Azure AD token reference for more details.

applicazione clientclient application

In base alla definizione del framework di autorizzazione di OAuth2, applicazione che effettua richieste di risorse protette per conto del proprietario delle risorse.As defined by the OAuth2 Authorization Framework, an application that makes protected resource requests on behalf of the resource owner. Il termine "client" non implica particolari caratteristiche di implementazione a livello di hardware, ad esempio l'esecuzione dell'applicazione su un server, un PC desktop o altri dispositivi.The term "client" does not imply any particular hardware implementation characteristics (for instance, whether the application executes on a server, a desktop, or other devices).

Un'applicazione client richiede l'autorizzazione da un proprietario delle risorse a partecipare a un flusso di concessione di autorizzazione OAuth2 e può accedere alle API e ai dati per conto del proprietario delle risorse.A client application requests authorization from a resource owner to participate in an OAuth2 authorization grant flow, and may access APIs/data on the resource owner's behalf. Il framework di autorizzazione di OAuth2 definisce due tipi di client, "riservato" e "pubblico", in base alla possibilità di mantenere riservate le proprie credenziali.The OAuth2 Authorization Framework defines two types of clients, "confidential" and "public", based on the client's ability to maintain the confidentiality of its credentials. Le applicazioni possono implementare un client Web (riservato) eseguito in un server Web, un client nativo (pubblico) installato in un dispositivo o un client basato su agente utente (pubblico) eseguito nel browser di un dispositivo.Applications can implement a web client (confidential) which runs on a web server, a native client (public) installed on a device, or a user-agent-based client (public) which runs in a device's browser.

Processo secondo cui un proprietario di risorse concede l'autorizzazione a un'applicazione client per accedere a risorse protette con specifiche autorizzazioni per conto del proprietario delle risorse.The process of a resource owner granting authorization to a client application, to access protected resources under specific permissions, on behalf of the resource owner. A seconda delle autorizzazioni richieste dal client, verrà chiesto a un amministratore o a un utente di dare il consenso per permettere l'accesso, rispettivamente, ai dati dell'organizzazione o individuali.Depending on the permissions requested by the client, an administrator or user will be asked for consent to allow access to their organization/individual data respectively. Si noti che in uno scenario multi-tenant, l'entità servizio dell'applicazione viene registrata anche nel tenant dell'utente che dà il consenso.Note, in a multi-tenant scenario, the application's service principal is also recorded in the tenant of the consenting user.

token IDID token

Token di sicurezzaOpenID Connect fornito dall' endpoint di autorizzazione di un server di autorizzazione che contiene attestazioni relative all'autenticazione di un proprietario delle risorse utente finale.An OpenID Connect security token provided by an authorization server's authorization endpoint, which contains claims pertaining to the authentication of an end user resource owner. Così come i token di accesso, i token ID sono rappresentati anche come token JSON Web (token JWT) con firma digitale.Like an access token, ID tokens are also represented as a digitally signed JSON Web Token (JWT). A differenza di un token di accesso, tuttavia, le attestazioni di un token ID non vengono usate per scopi correlati all'accesso alle risorse e specificamente al controllo di accesso.Unlike an access token though, an ID token's claims are not used for purposes related to resource access and specifically access control.

Per altri dettagli, vedere Informazioni di riferimento sui token in Azure AD.See Azure AD token reference for more details.

applicazione multi-tenantmulti-tenant application

Classe di applicazione che consente l'accesso e il consenso da utenti di cui è stato eseguito il provisioning in un qualsiasi tenant di Azure AD, anche se diverso da quello in cui il client è registrato.A class of application that enables sign in and consent by users provisioned in any Azure AD tenant, including tenants other than the one where the client is registered. Le applicazioni cliente native sono multi-tenant per impostazione predefinita, mentre le applicazioni client Web e API/risorse Web possono essere a tenant singolo o multi-tenant.Native client applications are multi-tenant by default, whereas web client and web resource/API applications have the ability to select between single or multi-tenant. Un'applicazione Web registrata come a tenant singolo, invece, consentirà accessi solo da account utente con provisioning nello stesso tenant in cui l'applicazione è stata registrata.By contrast, a web application registered as single-tenant, would only allow sign-ins from user accounts provisioned in the same tenant as the one where the application is registered.

Per altri dettagli, vedere Come consentire l'accesso a qualsiasi utente di Azure Active Directory (AD) usando il modello di applicazione multi-tenant.See How to sign in any Azure AD user using the multi-tenant application pattern for more details.

client nativonative client

Tipo di applicazione client che è installato in modo nativo in un dispositivo.A type of client application that is installed natively on a device. Poiché tutto il codice viene eseguito in un dispositivo, il client viene considerato "pubblico" perché non può eseguire l'archiviazione privata/riservata delle credenziali.Since all code is executed on a device, it is considered a "public" client due to its inability to store credentials privately/confidentially. Per altri dettagli, vedere i profili e i tipi di client di OAuth2.See OAuth2 client types and profiles for more details.

autorizzazionipermissions

Un'applicazione client ottiene l'accesso a un server di risorse dichiarando richieste di autorizzazione.A client application gains access to a resource server by declaring permission requests. Sono disponibili due tipi:Two types are available:

Vengono presentate anche durante il processo di consenso per offrire all'amministratore o al proprietario delle risorse l'opportunità di concedere/negare l'accesso client alle risorse nel tenant.They also surface during the consent process, giving the administrator or resource owner the opportunity to grant/deny the client access to resources in their tenant.

Le richieste di autorizzazione vengono configurate nella scheda "Applicazioni"/"Impostazioni" del portale di Azure in "Autorizzazioni richieste", selezionando le "Autorizzazioni delegate" e le "Autorizzazioni applicazione" desiderate (per il secondo tipo è necessario essere membri del ruolo Global Admin).Permission requests are configured on the "Applications" / "Settings" tab in the Azure portal, under "Required Permissions", by selecting the desired "Delegated Permissions" and "Application Permissions" (the latter requires membership in the Global Admin role). Dal momento che un client pubblico non può gestire le credenziali in modo sicuro, può solo richiedere autorizzazioni delegate, mentre un client riservato può richiedere autorizzazioni sia delegate che applicazione.Because a public client can't securely maintain credentials, it can only request delegated permissions, while a confidential client has the ability to request both delegated and application permissions. Le autorizzazioni dichiarate vengono archiviate dall'oggetto applicazione del client nella proprietà requiredResourceAccess.The client's application object stores the declared permissions in its requiredResourceAccess property.

proprietario delle risorseresource owner

In base alla definizione del framework di autorizzazione di OAuth2, entità che può concedere l'accesso a una risorsa protetta.As defined by the OAuth2 Authorization Framework, an entity capable of granting access to a protected resource. Quando il proprietario delle risorse è una persona, è definito utente finale.When the resource owner is a person, it is referred to as an end user. Quando un'applicazione client vuole accedere alla cassetta postale di un utente tramite l'API Microsoft Graph, ad esempio, richiede l'autorizzazione dal proprietario della risorsa della cassetta postale.For example, when a client application wants to access a user's mailbox through the Microsoft Graph API, it requires permission from the resource owner of the mailbox.

server di risorseresource server

In base alla definizione del framework di autorizzazione di OAuth2, server che ospita risorse protette e può accettare e rispondere alle relative richieste effettuate da applicazioni client che presentano un token di accesso.As defined by the OAuth2 Authorization Framework, a server that hosts protected resources, capable of accepting and responding to protected resource requests by client applications that present an access token. È detto anche server di risorse protette o applicazione della risorsa.Also known as a protected resource server, or resource application.

Un server di risorse espone le API e consente l'accesso alle proprie risorse protette tramite ambiti e ruoli, usando il framework di autorizzazione di OAuth 2.0.A resource server exposes APIs and enforces access to its protected resources through scopes and roles, using the OAuth 2.0 Authorization Framework. Gli esempi includono l'API Graph di Azure AD che consente di accedere ai dati dei tenant di Azure AD e le API di Office 365 che consentono di accedere a dati come posta e calendario.Examples include the Azure AD Graph API which provides access to Azure AD tenant data, and the Office 365 APIs that provide access to data such as mail and calendar. Entrambi sono accessibili anche tramite l'API Graph di Microsoft.Both of these are also accessible via the Microsoft Graph API.

Così come per un'applicazione client, la configurazione di identità dell'applicazione della risorsa viene definita tramite la registrazione in un tenant di Azure AD, con cui vengono specificati sia l'oggetto applicazione che l'oggetto entità servizio.Just like a client application, resource application's identity configuration is established via registration in an Azure AD tenant, providing both the application and service principal object. Alcune API fornite da Microsoft, come l'API Graph di Azure AD, includono entità servizio preregistrate che vengono rese disponibili in tutti i tenant durante il provisioning.Some Microsoft-provided APIs, such as the Azure AD Graph API, have pre-registered service principals made available in all tenants during provisioning.

rolesroles

Così come gli ambiti, i ruoli consentono a un server di risorse di controllare l'accesso alle proprie risorse protette.Like scopes, roles provide a way for a resource server to govern access to its protected resources. Ne esistono due tipi: il ruolo "utente" implementa il controllo degli accessi in base al ruolo per gli utenti e i gruppi che devono accedere alla risorsa, mentre il ruolo "applicazione" esegue la stessa implementazione per le applicazioni client che devono accedere.There are two types: a "user" role implements role-based access control for users/groups that require access to the resource, while an "application" role implements the same for client applications that require access.

I ruoli sono stringhe definite a livello di risorsa, ad esempio "Expense approver", "Read-only", "Directory.ReadWrite.All", vengono gestiti nel portale di Azure tramite il manifesto dell'applicazione della risorsa e vengono archiviati nella proprietà appRoles della risorsa.Roles are resource-defined strings (for example "Expense approver", "Read-only", "Directory.ReadWrite.All"), managed in the Azure portal via the resource's application manifest, and stored in the resource's appRoles property. Il portale di Azure viene usato anche per assegnare gli utenti ai ruoli utente e configurare le autorizzazioni applicazione client per l'accesso a un ruolo applicazione.The Azure portal is also used to assign users to "user" roles, and configure client application permissions to access an "application" role.

Per una descrizione dettagliata dei ruoli applicazione esposti dall'API Graph di Azure AD, vedere Ambiti di autorizzazione | Concetti relativi all'API Graph.For a detailed discussion of the application roles exposed by Azure AD's Graph API, see Graph API Permission Scopes. Per un esempio dettagliato di implementazione, vedere Role based access control in cloud applications using Azure AD (Controllo degli accessi in base al ruolo nelle applicazioni cloud con Azure AD).For a step-by-step implementation example, see Role based access control in cloud applications using Azure AD.

ambitiscopes

Così come i ruoli, gli ambiti consentono a un server di risorse di controllare l'accesso alle proprie risorse protette.Like roles, scopes provide a way for a resource server to govern access to its protected resources. Gli ambiti vengono usati per implementare il controllo di accesso in base all'ambito per un'applicazione client che ha ottenuto l'accesso delegato alla risorsa dal relativo proprietario.Scopes are used to implement scope-based access control, for a client application that has been given delegated access to the resource by its owner.

Gli ambiti sono stringhe definite a livello di risorsa, ad esempio "Mail.Read", "Directory.ReadWrite.All", vengono gestiti nel portale di Azure tramite il manifesto dell'applicazione della risorsa e vengono archiviati nella proprietà oauth2Permissions della risorsa.Scopes are resource-defined strings (for example "Mail.Read", "Directory.ReadWrite.All"), managed in the Azure portal via the resource's application manifest, and stored in the resource's oauth2Permissions property. Il portale di Azure viene usato anche per configurare le autorizzazioni delegate dell'applicazione client per l'accesso a un ambito.The Azure portal is also used to configure client application delegated permissions to access a scope.

Come convenzione di denominazione, la procedura consigliata è usare il formato "risorsa.operazione.vincolo".A best practice naming convention, is to use a "resource.operation.constraint" format. Per una descrizione dettagliata degli ambiti esposti dall'API Graph di Azure AD, vedere Ambiti di autorizzazione | Concetti relativi all'API Graph.For a detailed discussion of the scopes exposed by Azure AD's Graph API, see Graph API Permission Scopes. Per informazioni sugli ambiti esposti dai servizi di Office 365, vedere Office 365 API permissions reference (Informazioni di riferimento sulle autorizzazioni delle API di Office 365).For scopes exposed by Office 365 services, see Office 365 API permissions reference.

token di sicurezzasecurity token

Documento firmato contenente attestazioni, come un token OAuth2 o un'asserzione SAML 2.0.A signed document containing claims, such as an OAuth2 token or SAML 2.0 assertion. Per una concessione di autorizzazione OAuth2, un token di accesso (OAuth2) e un token ID costituiscono un tipo di token di sicurezza e vengono entrambi implementati come token JSON Web (token JWT).For an OAuth2 authorization grant, an access token (OAuth2) and an ID Token are types of security tokens, both of which are implemented as a JSON Web Token (JWT).

oggetto entità servizioservice principal object

Quando si registra/aggiorna un'applicazione nel portale di Azure, il portale crea/aggiorna sia un oggetto applicazione che un oggetto entità servizio corrispondente per il tenant.When you register/update an application in the Azure portal, the portal creates/updates both an application object and a corresponding service principal object for that tenant. L'oggetto applicazione definisce la configurazione di identità dell'applicazione a livello globale, ovvero in tutti i tenant in cui all'applicazione associata è stato concesso l'accesso, ed è il modello da cui derivano gli oggetti entità servizio corrispondenti usati in locale in fase di esecuzione (in uno specifico tenant).The application object defines the application's identity configuration globally (across all tenants where the associated application has been granted access), and is the template from which its corresponding service principal object(s) are derived for use locally at run-time (in a specific tenant).

Per altre informazioni, vedere Oggetti applicazione e oggetti entità servizio in Azure Active Directory.See Application and Service Principal Objects for more information.

accessosign-in

Processo con cui un'applicazione client avvia l'autenticazione dell'utente finale e acquisisce il relativo stato, allo scopo di acquisire un token di sicurezza e definire l'ambito della sessione dell'applicazione in base a tale stato.The process of a client application initiating end user authentication and capturing related state, for the purpose of acquiring a security token and scoping the application session to that state. Lo stato può includere elementi come informazioni del profilo utente e informazioni derivate dalle attestazioni del token.State can include artifacts such as user profile information, and information derived from token claims.

La funzione di accesso di un'applicazione viene in genere usata per implementare l'accesso Single Sign-On (SSO).The sign-in function of an application is typically used to implement single-sign-on (SSO). Può anche essere preceduta da una funzione di "iscrizione" che rappresenta il punto di ingresso di un utente finale per accedere a un'applicazione (al primo accesso).It may also be preceded by a "sign-up" function, as the entry point for an end user to gain access to an application (upon first sign-in). La funzione di iscrizione viene usata per raccogliere e rendere persistente uno stato aggiuntivo specifico dell'utente e può richiedere il consenso dell'utente.The sign-up function is used to gather and persist additional state specific to the user, and may require user consent.

disconnessionesign-out

Processo con cui viene annullata l'autenticazione di un utente finale, rimuovendo lo stato utente associato alla sessione dell'applicazione client durante l'accessoThe process of un-authenticating an end user, detaching the user state associated with the client application session during sign-in

tenanttenant

Un'istanza di una directory di Azure AD è definita tenant di Azure AD.An instance of an Azure AD directory is referred to as an Azure AD tenant. Fornisce diverse funzionalità, tra cui:It provides several features, including:

I tenant di Azure AD vengono creati/associati alle sottoscrizioni di Azure e agli abbonamenti a Office 365 durante l'iscrizione, fornendo funzionalità di gestione delle identità e degli accessi per la sottoscrizione.Azure AD tenants are created/associated with Azure and Office 365 subscriptions during sign-up, providing Identity & Access Management features for the subscription. Gli amministratori delle sottoscrizioni di Azure inoltre possono creare altri tenant di Azure AD tramite il portale di Azure.Azure subscription administrators can also create additional Azure AD tenants via the Azure portal. Per informazioni dettagliate sui vari modi in cui è possibile ottenere l'accesso a un tenant, vedere Come ottenere un tenant di Azure Active Directory.See How to get an Azure Active Directory tenant for details on the various ways you can get access to a tenant. Per informazioni sulla relazione tra sottoscrizioni e un tenant di Azure AD, vedere Associare le sottoscrizioni di Azure ad Azure Active Directory.See How Azure subscriptions are associated with Azure Active Directory for details on the relationship between subscriptions and an Azure AD tenant.

endpoint di tokentoken endpoint

Uno degli endpoint implementati dal server di autorizzazione per supportare le concessioni di autorizzazione OAuth2.One of the endpoints implemented by the authorization server to support OAuth2 authorization grants. A seconda della concessione, può essere usato per acquisire un token di accesso (e un token di "aggiornamento" correlato) per un client oppure un token ID quando viene usato insieme al protocollo OpenID Connect.Depending on the grant, it can be used to acquire an access token (and related "refresh" token) to a client, or ID token when used with the OpenID Connect protocol.

client basato su agente utenteUser-agent-based client

Tipo di applicazione client che scarica il codice da un server Web e viene eseguita all'interno di un agente utente (come un Web browser), ad esempio un'applicazione a singola pagina.A type of client application that downloads code from a web server and executes within a user-agent (for instance, a web browser), such as a Single Page Application (SPA). Poiché tutto il codice viene eseguito in un dispositivo, il client viene considerato "pubblico" perché non può eseguire l'archiviazione privata/riservata delle credenziali.Since all code is executed on a device, it is considered a "public" client due to its inability to store credentials privately/confidentially. Per altri dettagli, vedere i profili e i tipi di client di OAuth2.See OAuth2 client types and profiles for more details.

entità utenteuser principal

Analogamente a un oggetto entità servizio che viene usato per rappresentare un'istanza dell'applicazione, un oggetto entità utente è un altro tipo di entità di sicurezza che rappresenta un utente.Similar to the way a service principal object is used to represent an application instance, a user principal object is another type of security principal, which represents a user. L'entità utente di Azure AD Graph definisce lo schema per un oggetto utente, incluse le proprietà relative all'utente come nome e cognome, nome dell'entità utente, appartenenza a un ruolo della directory e così via. La configurazione dell'identità utente per Azure AD può così stabilire un'entità utente in fase di esecuzione.The Azure AD Graph User entity defines the schema for a user object, including user-related properties such as first and last name, user principal name, directory role membership, etc. This provides the user identity configuration for Azure AD to establish a user principal at run-time. L'entità utente viene usata per rappresentare un utente autenticato per Single Sign-On, durante la registrazione della delega del consenso, le decisioni di controllo di accesso e così via.The user principal is used to represent an authenticated user for Single Sign-On, recording consent delegation, making access control decisions, etc.

client Webweb client

Tipo di applicazione client che esegue tutto il codice su un server Web e può funzionare come client "riservato" perché può eseguire l'archiviazione sicura delle credenziali sul server.A type of client application that executes all code on a web server, and able to function as a "confidential" client by securely storing its credentials on the server. Per altri dettagli, vedere i profili e i tipi di client di OAuth2.See OAuth2 client types and profiles for more details.

Passaggi successiviNext steps

La Guida per gli sviluppatori di Azure Active Directory riunisce tutti gli argomenti relativi allo sviluppo per Azure AD, ad esempio per una panoramica dell'integrazione di applicazioni e le nozioni di base sull'autenticazione in Azure AD e gli scenari di autenticazione supportati.The Azure AD Developer's Guide is the landing page to use for all Azure AD development related topics, including an overview of application integration and the basics of Azure AD authentication and supported authentication scenarios. È anche possibile trovare esempi di codice ed esercitazioni su come ottenere rapidamente in GitHub.You can also find code samples & tutorials on how to get up and running quickly on Github.

Usare la seguente sezione commenti per fornire commenti e suggerimenti per aiutarci a perfezionare e a definire il contenuto del glossario, incluse le richieste di nuove definizioni o l'aggiornamento di quelle esistenti.Please use the following comments section to provide feedback and help us refine and shape our content, including requests for new definitions or updating existing ones!