Usare il portale per creare un'applicazione Azure Active Directory e un'entità servizio che possano accedere alle risorseUse portal to create an Azure Active Directory application and service principal that can access resources

Quando un'applicazione deve accedere alle risorse o modificarle, è necessario configurare un'applicazione Azure Active Directory (AD) a cui assegnare le autorizzazioni richieste.When you have an application that needs to access or modify resources, you must set up an Azure Active Directory (AD) application and assign the required permissions to it. Questo approccio è preferibile all'esecuzione dell'app con le credenziali dell'utente per i motivi seguenti:This approach is preferable to running the app under your own credentials because:

  • È possibile assegnare all'identità dell'app autorizzazioni diverse rispetto a quelle dell'utente.You can assign permissions to the app identity that are different than your own permissions. Tali autorizzazioni sono in genere limitate alle specifiche operazioni che devono essere eseguite dall'app.Typically, these permissions are restricted to exactly what the app needs to do.
  • Non è necessario modificare le credenziali dell'app in caso di cambiamento delle responsabilità dell'utente.You do not have to change the app's credentials if your responsibilities change.
  • È possibile usare un certificato per automatizzare l'autenticazione in caso di esecuzione di uno script automatico.You can use a certificate to automate authentication when executing an unattended script.

Questo articolo illustra come eseguire questa procedura tramite il portale.This article shows you how to perform those steps through the portal. È incentrato su un'applicazione con un tenant singolo dove si prevede che l'applicazione venga eseguita all'interno di una sola organizzazione.It focuses on a single-tenant application where the application is intended to run within only one organization. Le applicazioni con un tenant singolo si usano in genere per applicazioni line-of-business eseguite all'interno dell'organizzazione.You typically use single-tenant applications for line-of-business applications that run within your organization.

Autorizzazioni necessarieRequired permissions

Per completare questo articolo è necessario disporre di autorizzazioni sufficienti per registrare un'applicazione con il tenant di Azure AD e assegnare l'applicazione a un ruolo nella sottoscrizione di Azure.To complete this article, you must have sufficient permissions to register an application with your Azure AD tenant, and assign the application to a role in your Azure subscription. Assicurarsi di avere le autorizzazioni appropriate per eseguire questi passaggi.Let's make sure you have the right permissions to perform those steps.

Controllare le autorizzazioni di Azure Active DirectoryCheck Azure Active Directory permissions

  1. Accedere all'account di Azure tramite il portale di Azure.Log in to your Azure Account through the Azure portal.

  2. Selezionare Azure Active Directory.Select Azure Active Directory.

    Selezionare Azure Active Directory

  3. In Azure Active Directory selezionare Impostazioni utente.In Azure Active Directory, select User settings.

    Selezionare Impostazioni utente

  4. Controllare l'impostazione Registrazioni per l'app.Check the App registrations setting. Se il valore è , gli utenti non amministratori possono registrare app di Active Directory.If set to Yes, non-admin users can register AD apps. Questa impostazione indica che qualsiasi utente in Azure AD può registrare un'app.This setting means any user in the Azure AD tenant can register an app. È possibile passare a Controllare le autorizzazioni di sottoscrizione di Azure.You can proceed to Check Azure subscription permissions.

    Visualizzare le registrazioni dell'app

  5. Se Registrazioni per l'app è impostata su No, solo gli utenti amministratori possono registrare app.If the app registrations setting is set to No, only admin users can register apps. Controllare se l'account è un amministratore per il tenant di Azure AD.Check whether your account is an admin for the Azure AD tenant. Selezionare Panoramica e Trova un utente da Attività rapide.Select Overview and Find a user from Quick tasks.

    Trova un utente

  6. Cercare il proprio account e selezionarlo.Search for your account, and select it when you find it.

    Cercare un utente

  7. Per il proprio account selezionare Ruolo della directory.For your account, select Directory role.

    Ruolo della directory

  8. Visualizzare il proprio ruolo della directory assegnato in Azure AD.View your assigned directory role in Azure AD. Se l'account è assegnato al ruolo Utente, ma l'impostazione Registrazioni per l'app (dei passaggi precedenti) è limitata agli utenti amministratori, chiedere all'amministratore di essere assegnati a un ruolo amministrativo o di consentire agli utenti di registrare le app.If your account is assigned to the User role, but the app registration setting (from the preceding steps) is limited to admin users, ask your administrator to either assign you to an administrator role, or to enable users to register apps.

    Visualizzare il ruolo

Controllare le autorizzazioni di sottoscrizione di AzureCheck Azure subscription permissions

Nella sottoscrizione di Azure è necessario che l'account disponga dell'accesso Microsoft.Authorization/*/Write per assegnare un'app di Active Directory a un ruolo.In your Azure subscription, your account must have Microsoft.Authorization/*/Write access to assign an AD app to a role. Questa azione è concessa tramite il ruolo Proprietario o Amministratore accessi utente.This action is granted through the Owner role or User Access Administrator role. Se il proprio account è assegnato al ruolo Collaboratore, non si dispone dell'autorizzazione appropriata.If your account is assigned to the Contributor role, you do not have adequate permission. Se si tenterà di assegnare l'entità servizio a un ruolo si riceve un errore.You receive an error when attempting to assign the service principal to a role.

Per controllare le proprie autorizzazioni di sottoscrizione:To check your subscription permissions:

  1. Se non è già visualizzato il proprio account Azure AD in seguito ai passaggi precedenti, selezionare Azure Active Directory nel pannello a sinistra.If you are not already looking at your Azure AD account from the preceding steps, select Azure Active Directory from the left pane.

  2. Trovare il proprio account Azure AD.Find your Azure AD account. Selezionare Panoramica e Trova un utente da Attività rapide.Select Overview and Find a user from Quick tasks.

    Trova un utente

  3. Cercare il proprio account e selezionarlo.Search for your account, and select it when you find it.

    Cercare un utente

  4. Selezionare Risorse di Azure.Select Azure resources.

    Selezionare le risorse

  5. Visualizzare i propri ruoli assegnati e determinare se si dispone delle autorizzazioni adeguate per assegnare un'app di Active Directory a un ruolo.View your assigned roles, and determine if you have adequate permissions to assign an AD app to a role. In caso contrario chiedere all'amministratore della sottoscrizione di essere aggiunti al ruolo Amministratore accessi utente.If not, ask your subscription administrator to add you to User Access Administrator role. Nella figura seguente l'utente è assegnato al ruolo Proprietario per due sottoscrizioni, perciò dispone delle autorizzazioni adeguate.In the following image, the user is assigned to the Owner role for two subscriptions, which means that user has adequate permissions.

    Visualizzare le autorizzazioni

Creare un'applicazione Azure Active DirectoryCreate an Azure Active Directory application

  1. Accedere all'account di Azure tramite il portale di Azure.Log in to your Azure Account through the Azure portal.
  2. Selezionare Azure Active Directory.Select Azure Active Directory.

    Selezionare Azure Active Directory

  3. Selezionare Registrazioni per l'app.Select App registrations.

    Selezionare Registrazioni per l'app

  4. Selezionare Registrazione nuova applicazione.Select New application registration.

    Aggiungere l'app

  5. Specificare un nome e un URL per l'applicazione.Provide a name and URL for the application. Selezionare App Web/API come tipo di applicazione da creare.Select Web app / API for the type of application you want to create. Non è possibile creare credenziali per un'applicazione di tipo nativo. Pertanto, tale tipo non è valido per un'applicazione automatica.You cannot create credentials for a Native application; therefore, that type does not work for an automated application. Dopo aver impostato i valori selezionare Crea.After setting the values, select Create.

    assegnare un nome all'applicazione

L'applicazione è stata creata.You have created your application.

Ottenere l'ID applicazione e la chiave di autenticazioneGet application ID and authentication key

Quando si esegue l'accesso a livello di codice sono necessari l'ID dell'applicazione e una chiave di autenticazione.When programmatically logging in, you need the ID for your application and an authentication key. Per ottenere questi valori eseguire la procedura seguente:To get those values, use the following steps:

  1. Da Registrazioni dell'app in Azure Active Directory selezionare l'applicazione.From App registrations in Azure Active Directory, select your application.

    Selezionare l'applicazione

  2. Copiare l'ID applicazione e archiviarlo nel codice dell'applicazione.Copy the Application ID and store it in your application code. Le applicazioni nella sezione delle applicazioni di esempio indicano questo valore come ID client.The applications in the sample applications section refer to this value as the client ID.

    ID client

  3. Per generare una chiave di autenticazione selezionare Chiavi.To generate an authentication key, select Keys.

    Selezionare Chiavi

  4. Specificare una descrizione e una durata per la chiave.Provide a description of the key, and a duration for the key. Al termine scegliere Salva.When done, select Save.

    Salvare la chiave

    Dopo aver salvato la chiave viene visualizzato il valore della chiave.After saving the key, the value of the key is displayed. Copiare il valore in quanto non sarà possibile recuperare la chiave in seguito.Copy this value because you are not able to retrieve the key later. Il valore della chiave sarà fornito insieme all'ID applicazione per eseguire l'accesso come applicazione.You provide the key value with the application ID to log in as the application. Salvare il valore della chiave in una posizione in cui l'applicazione possa recuperarlo.Store the key value where your application can retrieve it.

    chiave salvata

Ottenere l'ID tenantGet tenant ID

Quando si esegue l'accesso a livello di codice è necessario specificare l'ID tenant con la richiesta di autenticazione.When programmatically logging in, you need to pass the tenant ID with your authentication request.

  1. Selezionare Azure Active Directory.Select Azure Active Directory.

    Selezionare Azure Active Directory

  2. Per ottenere l'ID tenant selezionare Proprietà per il tenanto di Azure AD.To get the tenant ID, select Properties for your Azure AD tenant.

    selezionare le proprietà di Azure AD

  3. Copiare l'ID directory.Copy the Directory ID. Questo valore è l'ID tenant.This value is your tenant ID.

    ID tenant

Assegnare l'applicazione al ruoloAssign application to role

Per accedere alle risorse della propria sottoscrizione è necessario assegnare l'applicazione a un ruolo.To access resources in your subscription, you must assign the application to a role. Decidere quale ruolo rappresenti le autorizzazioni appropriate per l'applicazione.Decide which role represents the right permissions for the application. Per informazioni sui ruoli disponibili, vedere Controllo degli accessi in base al ruolo: ruoli predefiniti.To learn about the available roles, see RBAC: Built in Roles.

È possibile impostare l'ambito al livello della sottoscrizione, del gruppo di risorse o della risorsa.You can set the scope at the level of the subscription, resource group, or resource. Le autorizzazioni vengono ereditate a livelli inferiori dell'ambito.Permissions are inherited to lower levels of scope. Se ad esempio si aggiunge un'applicazione al ruolo Lettore per un gruppo di risorse, l'applicazione può leggere il gruppo di risorse e le risorse in esso contenute.For example, adding an application to the Reader role for a resource group means it can read the resource group and any resources it contains.

  1. Passare al livello dell'ambito al quale si vuole assegnare l'applicazione.Navigate to the level of scope you wish to assign the application to. Ad esempio, per assegnare un ruolo a un ambito della sottoscrizione, selezionare Sottoscrizioni.For example, to assign a role at the subscription scope, select Subscriptions. In alternativa è possibile selezionare una risorsa o un gruppo di risorse.You could instead select a resource group or resource.

    selezionare la sottoscrizione

  2. Selezionare la sottoscrizione specifica (risorsa o un gruppo di risorse) a cui assegnare l'applicazione.Select the particular subscription (resource group or resource) to assign the application to.

    selezionare la sottoscrizione per l'assegnazione

  3. Selezionare Controllo di accesso (IAM).Select Access Control (IAM).

    selezionare accesso

  4. Selezionare Aggiungi.Select Add.

    selezionare aggiungi

  5. Selezionare il ruolo che si desidera assegnare all'applicazione.Select the role you wish to assign to the application. L'immagine seguente mostra il ruolo Lettore.The following image shows the Reader role.

    selezionare il ruolo

  6. Cercare l'applicazione e selezionarla.Search for your application, and select it.

    Cercare l'app

  7. Selezionare Salva per completare l'assegnazione del ruolo.Select Save to finish assigning the role. L'applicazione ora compare nell'elenco degli utenti assegnati a un ruolo per quell'ambito.You see your application in the list of users assigned to a role for that scope.

Eseguire l'accesso come applicazioneLog in as the application

L'applicazione è ora configurata in Azure Active Directory.Your application is now set up in Azure Active Directory. Si dispone di un ID e una chiave da usare per eseguire l'accesso come applicazione.You have an ID and key to use for signing in as the application. L'applicazione viene assegnata a un ruolo che le consente di eseguire alcune azioni.The application is assigned to a role that gives it certain actions it can perform. Per informazioni su come effettuare l'accesso all'applicazione su diverse piattaforme, vedere:For information about logging in as the application through different platforms, see:

Passaggi successiviNext steps