Usare il portale per creare un'applicazione Azure Active Directory e un'entità servizio che possano accedere alle risorse

Quando un'applicazione deve accedere alle risorse o modificarle, è necessario configurare un'applicazione Azure Active Directory (AD) a cui assegnare le autorizzazioni richieste. Questo approccio è preferibile all'esecuzione dell'app con le credenziali dell'utente per i motivi seguenti:

  • È possibile assegnare all'identità dell'app autorizzazioni diverse rispetto a quelle dell'utente. Tali autorizzazioni sono in genere limitate alle specifiche operazioni che devono essere eseguite dall'app.
  • Non è necessario modificare le credenziali dell'app in caso di cambiamento delle responsabilità dell'utente.
  • È possibile usare un certificato per automatizzare l'autenticazione in caso di esecuzione di uno script automatico.

Questo argomento illustra come eseguire questa procedura tramite il portale. È incentrato su un'applicazione con un tenant singolo dove si prevede che l'applicazione venga eseguita all'interno di una sola organizzazione. Le applicazioni con un tenant singolo si usano in genere per applicazioni line-of-business eseguite all'interno dell'organizzazione.

Autorizzazioni necessarie

Per completare questo argomento è necessario disporre di autorizzazioni sufficienti per registrare un'applicazione con il tenant di Azure AD e assegnare l'applicazione a un ruolo nella sottoscrizione di Azure. Assicurarsi di avere le autorizzazioni appropriate per eseguire questi passaggi.

Controllare le autorizzazioni di Azure Active Directory

  1. Accedere all'account di Azure tramite il portale di Azure.

  2. Selezionare Azure Active Directory.

    Selezionare Azure Active Directory

  3. In Azure Active Directory selezionare Impostazioni utente.

    Selezionare Impostazioni utente

  4. Controllare l'impostazione Registrazioni per l'app. Se il valore è , gli utenti non amministratori possono registrare app di Active Directory. Questa impostazione indica che qualsiasi utente in Azure AD può registrare un'app. È possibile passare a Controllare le autorizzazioni di sottoscrizione di Azure.

    Visualizzare le registrazioni dell'app

  5. Se Registrazioni per l'app è impostata su No, solo gli utenti amministratori possono registrare app. Controllare se l'account è un amministratore per il tenant di Azure AD. Selezionare Panoramica e Trova un utente da Attività rapide.

    Trova un utente

  6. Cercare il proprio account e selezionarlo.

    Cercare un utente

  7. Per il proprio account selezionare Ruolo della directory.

    Ruolo della directory

  8. Visualizzare il proprio ruolo della directory assegnato in Azure AD. Se l'account è assegnato al ruolo Utente, ma l'impostazione Registrazioni per l'app (dei passaggi precedenti) è limitata agli utenti amministratori, chiedere all'amministratore di essere assegnati a un ruolo amministrativo o di consentire agli utenti di registrare le app.

    Visualizzare il ruolo

Controllare le autorizzazioni di sottoscrizione di Azure

Nella sottoscrizione di Azure è necessario che l'account disponga dell'accesso Microsoft.Authorization/*/Write per assegnare un'app di Active Directory a un ruolo. Questa azione è concessa tramite il ruolo Proprietario o Amministratore accessi utente. Se il proprio account è assegnato al ruolo Collaboratore, non si dispone dell'autorizzazione appropriata. Se si tenterà di assegnare l'entità servizio a un ruolo si riceve un errore.

Per controllare le proprie autorizzazioni di sottoscrizione:

  1. Se non è già visualizzato il proprio account Azure AD in seguito ai passaggi precedenti, selezionare Azure Active Directory nel pannello a sinistra.

  2. Trovare il proprio account Azure AD. Selezionare Panoramica e Trova un utente da Attività rapide.

    Trova un utente

  3. Cercare il proprio account e selezionarlo.

    Cercare un utente

  4. Selezionare Risorse di Azure.

    Selezionare le risorse

  5. Visualizzare i propri ruoli assegnati e determinare se si dispone delle autorizzazioni adeguate per assegnare un'app di Active Directory a un ruolo. In caso contrario chiedere all'amministratore della sottoscrizione di essere aggiunti al ruolo Amministratore accessi utente. Nella figura seguente l'utente è assegnato al ruolo Proprietario per due sottoscrizioni, perciò dispone delle autorizzazioni adeguate.

    Visualizzare le autorizzazioni

Creare un'applicazione Azure Active Directory

  1. Accedere all'account di Azure tramite il portale di Azure.
  2. Selezionare Azure Active Directory.

    Selezionare Azure Active Directory

  3. Selezionare Registrazioni per l'app.

    Selezionare Registrazioni per l'app

  4. Selezionare Registrazione nuova applicazione.

    Aggiungere l'app

  5. Specificare un nome e un URL per l'applicazione. Selezionare App Web/API o Nativa come tipo di applicazione da creare. Dopo aver impostato i valori selezionare Crea.

    assegnare un nome all'applicazione

L'applicazione è stata creata.

Ottenere l'ID applicazione e la chiave di autenticazione

Quando si esegue l'accesso a livello di codice sono necessari l'ID dell'applicazione e una chiave di autenticazione. Per ottenere questi valori eseguire la procedura seguente:

  1. Da Registrazioni dell'app in Azure Active Directory selezionare l'applicazione.

    Selezionare l'applicazione

  2. Copiare l'ID applicazione e archiviarlo nel codice dell'applicazione. Le applicazioni nella sezione delle applicazioni di esempio indicano questo valore come ID client.

    ID client

  3. Per generare una chiave di autenticazione selezionare Chiavi.

    Selezionare Chiavi

  4. Specificare una descrizione e una durata per la chiave. Al termine scegliere Salva.

    Salvare la chiave

    Dopo aver salvato la chiave viene visualizzato il valore della chiave. Copiare il valore in quanto non sarà possibile recuperare la chiave in seguito. Il valore della chiave sarà fornito insieme all'ID applicazione per eseguire l'accesso come applicazione. Salvare il valore della chiave in una posizione in cui l'applicazione possa recuperarlo.

    chiave salvata

Ottenere l'ID tenant

Quando si esegue l'accesso a livello di codice è necessario specificare l'ID tenant con la richiesta di autenticazione.

  1. Selezionare Azure Active Directory.

    Selezionare Azure Active Directory

  2. Per ottenere l'ID tenant selezionare Proprietà per il tenanto di Azure AD.

    selezionare le proprietà di Azure AD

  3. Copiare l'ID directory. Questo valore è l'ID tenant.

    ID tenant

Assegnare l'applicazione al ruolo

Per accedere alle risorse della propria sottoscrizione è necessario assegnare l'applicazione a un ruolo. Decidere quale ruolo rappresenti le autorizzazioni appropriate per l'applicazione. Per informazioni sui ruoli disponibili, vedere Controllo degli accessi in base al ruolo: ruoli predefiniti.

È possibile impostare l'ambito al livello della sottoscrizione, del gruppo di risorse o della risorsa. Le autorizzazioni vengono ereditate a livelli inferiori dell'ambito. Se ad esempio si aggiunge un'applicazione al ruolo Lettore per un gruppo di risorse, l'applicazione può leggere il gruppo di risorse e le risorse in esso contenute.

  1. Passare al livello dell'ambito al quale si vuole assegnare l'applicazione. Ad esempio, per assegnare un ruolo a un ambito della sottoscrizione, selezionare Sottoscrizioni. In alternativa è possibile selezionare una risorsa o un gruppo di risorse.

    selezionare la sottoscrizione

  2. Selezionare la sottoscrizione specifica (risorsa o un gruppo di risorse) a cui assegnare l'applicazione.

    selezionare la sottoscrizione per l'assegnazione

  3. Selezionare Controllo di accesso (IAM).

    selezionare accesso

  4. Selezionare Aggiungi.

    selezionare aggiungi

  5. Selezionare il ruolo che si desidera assegnare all'applicazione. L'immagine seguente mostra il ruolo Lettore.

    selezionare il ruolo

  6. Cercare l'applicazione e selezionarla.

    Cercare l'app

  7. Selezionare Salva per completare l'assegnazione del ruolo. L'applicazione ora compare nell'elenco degli utenti assegnati a un ruolo per quell'ambito.

Eseguire l'accesso come applicazione

L'applicazione è ora configurata in Azure Active Directory. Si dispone di un ID e una chiave da usare per eseguire l'accesso come applicazione. L'applicazione viene assegnata a un ruolo che le consente di eseguire alcune azioni. Per informazioni su come effettuare l'accesso all'applicazione su diverse piattaforme, vedere:

Passaggi successivi