Registrare un'app Microsoft Entra e creare un'entità servizio

Questo articolo illustra come creare un'applicazione Microsoft Entra e un'entità servizio che possono essere usate con il controllo degli accessi in base al ruolo. Quando si registra una nuova applicazione in Microsoft Entra ID, viene creata automaticamente un'entità servizio per la registrazione dell'app. L'entità servizio è l'identità dell'app nel tenant di Microsoft Entra. L'accesso alle risorse è limitato dai ruoli assegnati all'entità servizio, consentendo di controllare le risorse a cui è possibile accedere e a quale livello. Per motivi di sicurezza, è sempre consigliabile usare le entità servizio con gli strumenti automatizzati anziché consentire loro l'accesso con un'identità utente.

Questo esempio è applicabile alle applicazioni line-of-business usate all'interno di un'organizzazione. È anche possibile usare Azure PowerShell o Azure CLI per creare un'entità servizio.

Per altre informazioni sulla relazione tra la registrazione dell'app, gli oggetti applicazione e le entità servizio, vedere Oggetti applicazione e entità servizio in Microsoft Entra ID.

Prerequisiti

Per registrare un'applicazione nel tenant Microsoft Entra, è necessario:

• Un account utente di Microsoft Entra. Se non è già disponibile, è possibile creare gratuitamente un account.
• Autorizzazioni sufficienti per registrare un'applicazione con il tenant di Microsoft Entra e assegnare all'applicazione un ruolo nella sottoscrizione di Azure. Per completare queste attività, è necessaria l'autorizzazione Application.ReadWrite.All .

Registrare un'applicazione con Microsoft Entra ID e creare un'entità servizio

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud.

2. Passare aRegistrazioni appEntra ID> e quindi selezionare Nuova registrazione.

3. Assegnare all'applicazione un nome, ad esempio app.

4. In Tipi di account supportati, selezionare Solo account in questa directory organizzativa.

5. In URI di reindirizzamento selezionare Web per il tipo di applicazione che si vuole creare. Immettere l'URI a cui viene inviato il token di accesso.

6. Selezionare Registra.

   

Assegnare un ruolo all'applicazione

Per accedere alle risorse della sottoscrizione, è necessario assegnare un ruolo all'applicazione. Decidere quale ruolo offre le autorizzazioni appropriate per l'applicazione. Per informazioni sui ruoli disponibili, vedere Ruoli predefiniti di Azure.

È possibile impostare l'ambito al livello della sottoscrizione, del gruppo di risorse o della risorsa. Le autorizzazioni vengono ereditate a livelli inferiori dell'ambito.

1. Accedere al portale di Azure.

2. Selezionare il livello di ambito a cui si vuole assegnare l'applicazione. Ad esempio, per assegnare un ruolo nell'ambito della sottoscrizione, cercare e selezionare Sottoscrizioni. Se non viene visualizzata la sottoscrizione che si sta cercando, selezionare filtro sottoscrizioni globali. Assicurarsi che la sottoscrizione desiderata sia selezionata per il tenant.

3. Selezionare Controllo di accesso (IAM).

4. Selezionare Aggiungi e quindi Aggiungi assegnazione di ruolo.

5. Nella scheda Ruolo selezionare il ruolo da assegnare all'applicazione nell'elenco.

6. Selezionare Avanti.

7. Nella scheda Membri , per Assegna accesso a, selezionare Utente, gruppo o entità servizio.

8. Seleziona membri. Per impostazione predefinita, le applicazioni Microsoft Entra non vengono visualizzate nelle opzioni disponibili. Per trovare l'applicazione, cercarla in base al nome.

9. Selezionare il pulsante Seleziona , quindi selezionare Rivedi e assegna.

   

L'entità servizio è stata configurata ed è possibile iniziare a usarla per eseguire script o app. Per gestire l'entità servizio (autorizzazioni, autorizzazioni concesse dall'utente, vedere quali utenti hanno acconsentito, esaminare le autorizzazioni, vedere informazioni di accesso e altro ancora), passare ad Applicazioni aziendali.

Nella sezione successiva viene illustrato come ottenere i valori necessari quando si accede a livello di codice.

Accedere all'applicazione

Quando si accede a livello di codice, passare l'ID della directory (tenant) e l'ID applicazione (client) nella richiesta di autenticazione. È anche necessario un certificato o una chiave di autenticazione. Per ottenere l'ID directory e l'ID applicazione:

1. Aprire la home page dell'interfaccia di amministrazione di Microsoft Entra.
2. Passare aRegistrazioni appEntra ID> e quindi selezionare l'applicazione.
3. Nella pagina di panoramica dell'app, copiare il valore dell'ID directory (tenant) e archiviarlo nel codice dell'applicazione.
4. Copiare il valore ID applicazione (client) e archiviarlo nel codice dell'applicazione.

Configurazione dell'autenticazione

Per le entità servizio sono disponibili due tipi di autenticazione: autenticazione basata su password (segreto dell'applicazione) e autenticazione basata su certificato. È consigliabile usare un certificato attendibile emesso da un'autorità di certificazione, ma è anche possibile creare un segreto dell'applicazione o creare un certificato autofirmato per il test.

Opzione 1 (scelta consigliata): Caricare un certificato attendibile emesso da un'autorità di certificazione

Per caricare il file del certificato:

1. Passare aRegistrazioni appEntra ID> e quindi selezionare l'applicazione.
2. Selezionare Certificati e segreti.
3. Selezionare Certificati, quindi carica certificato e quindi selezionare il file del certificato da caricare.
4. Selezionare Aggiungi. Dopo aver caricato il certificato, vengono visualizzati i valori di identificazione personale, data di inizio e scadenza.

Dopo aver registrato il certificato con l'applicazione nel portale di registrazione delle applicazioni, abilita il codice dell'applicazione client riservata per utilizzare il certificato.

Opzione 2: Solo test: Creare e caricare un certificato autofirmato

Facoltativamente, è possibile creare un certificato autofirmato solo a scopo di test. Per creare un certificato autofirmato, aprire Windows PowerShell ed eseguire New-SelfSignedCertificate con i parametri seguenti per creare il certificato nell'archivio certificati utente nel computer:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Esportare questo certificato in un file usando lo snap-in MMC Gestisci certificato utente accessibile dal Pannello di controllo di Windows.

1. Selezionare Esegui dal menu Start e quindi immettere certmgr.msc. Viene visualizzato lo strumento Gestione certificati per l'utente corrente.
2. Per visualizzare i certificati, in Certificati - Utente corrente nel riquadro sinistro, dovete espandere la directory Personale.
3. Fare clic con il pulsante destro del mouse sul certificato creato, selezionare Tutte le attività-Esporta>.
4. Seguire la procedura guidata di esportazione del certificato.

Per caricare il certificato:

1. Passare aRegistrazioni appEntra ID> e quindi selezionare l'applicazione.
2. Selezionare Certificati e segreti.
3. Selezionare Certificati, quindi carica certificato e quindi selezionare il certificato (un certificato esistente o il certificato autofirmato esportato).
4. Selezionare Aggiungi.

Dopo aver registrato il certificato con l'applicazione nel portale di registrazione dell'applicazione, abilitare il codice dell'applicazione client riservato per l'uso del certificato.

Opzione 3: Creare un nuovo segreto client

Se si sceglie di non usare un certificato, è possibile creare un nuovo segreto client.

1. Passare aRegistrazioni appEntra ID> e quindi selezionare l'applicazione.
2. Selezionare Certificati e segreti.
3. Selezionare Segreti client e quindi Nuovo segreto client.
4. Specificare una descrizione del segreto e una durata.
5. Selezionare Aggiungi.

Dopo aver salvato il segreto client, viene visualizzato il valore del segreto client. Questa operazione viene visualizzata una sola volta, quindi copiare questo valore e archiviarlo in cui l'applicazione può recuperarla, in genere in cui l'applicazione mantiene valori come clientIdo authority nel codice sorgente. Si fornirà il valore del segreto insieme all'ID client dell'applicazione per accedere come applicazione.

Configurare i criteri di accesso alle risorse

Potrebbe essere necessario configurare autorizzazioni aggiuntive sulle risorse a cui l'applicazione deve accedere. Ad esempio, è necessario anche aggiornare i criteri di accesso di una cassaforte delle chiavi per concedere all'applicazione l'accesso a chiavi, segreti o certificati.

Per configurare i criteri di accesso:

1. Accedere al portale di Azure.

2. Selezionare il Key Vault e selezionare Criteri di accesso.

3. Selezionare Aggiungi criteri di accesso, quindi selezionare la chiave, il segreto e le autorizzazioni del certificato che si vuole concedere all'applicazione. Selezionare l'entità servizio creata in precedenza.

4. Selezionare Aggiungi per aggiungere i criteri di accesso e quindi selezionare Salva.

   

Contenuto correlato

• Per ulteriori informazioni su come utilizzare Azure PowerShell o Azure CLI per creare un principale del servizio.
• Per informazioni sulla specifica dei criteri di sicurezza, vedere Controllo degli accessi in base al ruolo di Azure.
• Per un elenco delle azioni disponibili che possono essere concesse o negate agli utenti, vedere Operazioni del provider di risorse di Azure Resource Manager.
• Per informazioni sull'uso delle registrazioni delle app con Microsoft Graph, vedere le informazioni di riferimento sulle API delle applicazioni .