Che cos'è la gestione delle applicazioni in Azure Active Directory?

La gestione delle applicazioni in Azure Active Directory (Azure AD) è il processo di creazione, configurazione, gestione e monitoraggio delle applicazioni nel cloud. Quando un'applicazione viene registrata in un tenant di Azure AD, gli utenti assegnati a esso possono accedervi in modo sicuro. Molti tipi di applicazioni possono essere registrati in Azure AD. Per altre informazioni, vedere Tipi di applicazione per Microsoft Identity Platform.

In questo articolo vengono illustrati questi aspetti importanti della gestione del ciclo di vita di un'applicazione:

  • Sviluppare, aggiungere o connettersi : si accettano percorsi diversi a seconda che si stia sviluppando un'applicazione personalizzata, usando un'applicazione pre-integrata o connettendosi a un'applicazione locale.
  • Gestire l'accesso: l'accesso può essere gestito tramite Single Sign-On (SSO), assegnando risorse, definendo il modo in cui l'accesso viene concesso e autorizzato e usando il provisioning automatizzato.
  • Configurare le proprietà: configurare i requisiti per l'accesso all'applicazione e come l'applicazione è rappresentata nei portali utente.
  • Proteggere l'applicazione : gestire la configurazione delle autorizzazioni, l'autenticazione a più fattori (MFA), l'accesso condizionale, i token e i certificati.
  • Gestire e monitorare l'attività di interazione e revisione usando la gestione e la creazione di report e il monitoraggio delle risorse.
  • Pulizia : quando l'applicazione non è più necessaria, pulire il tenant rimuovendo l'accesso e eliminandolo.

Sviluppare, aggiungere o connettere

Esistono diversi modi per gestire le applicazioni in Azure AD. Il modo più semplice per iniziare a gestire un'applicazione consiste nell'usare un'applicazione pre-integrata dalla raccolta di Azure AD. Lo sviluppo di un'applicazione personalizzata e la registrazione di Azure AD è un'opzione oppure è possibile continuare a usare un'applicazione locale.

L'immagine seguente illustra come queste applicazioni interagiscono con Azure AD.

Diagramma che mostra come le app sviluppate, le app pre-integrate e le app locali possono essere usate come app aziendali.

Applicazioni preintegrate

Molte applicazioni sono già pre-integrate (visualizzate come "Applicazioni cloud" nell'immagine precedente) e possono essere configurate con un minimo sforzo. Ogni applicazione nella raccolta di Azure AD include un articolo disponibile che illustra i passaggi necessari per configurare l'applicazione. Per un semplice esempio di come un'applicazione può essere aggiunta al tenant di Azure AD dalla raccolta, vedere Avvio rapido: Aggiungere un'applicazione aziendale.

Applicazioni personalizzate

Se si sviluppa un'applicazione aziendale, è possibile registrarla con Azure AD per sfruttare le funzionalità di sicurezza fornite dal tenant. È possibile registrare l'applicazione in Registrazioni app oppure registrarla usando il collegamento Crea applicazione personalizzata quando si aggiunge una nuova applicazione nelle applicazioni Enterprise. Valutare la modalità di implementazione dell'autenticazione nell'applicazione per l'integrazione con Azure AD.

Se si vuole rendere disponibile l'applicazione tramite la raccolta, è possibile inviare una richiesta per aggiungerla.

Applicazioni locali

Per continuare a usare un'applicazione locale, ma sfruttare le offerte di Azure AD, connettersi ad Azure AD usando Azure AD Application Proxy. Application Proxy può essere implementato quando si desidera pubblicare applicazioni locali esternamente. Gli utenti remoti che hanno bisogno di accesso alle applicazioni interne possono quindi accedervi in modo sicuro.

Gestire l'accesso

Per gestire l'accesso per un'applicazione, è necessario rispondere alle domande seguenti:

  • Come viene concesso l'accesso e autorizzato per l'applicazione?
  • L'applicazione supporta l'accesso SSO?
  • Quali utenti, gruppi e proprietari devono essere assegnati all'applicazione?
  • Esistono altri provider di identità che supportano l'applicazione?
  • Sarà utile automatizzare il provisioning delle identità utente e dei ruoli?

È possibile gestire le impostazioni di consenso utente per scegliere se gli utenti possono consentire a un'applicazione o al servizio di accedere ai profili utente e ai dati dell'organizzazione. Quando le applicazioni vengono concesse l'accesso, gli utenti possono accedere alle applicazioni integrate con Azure AD e l'applicazione può accedere ai dati dell'organizzazione per offrire esperienze avanzate basate sui dati.

Gli utenti spesso non sono in grado di consenso alle autorizzazioni richieste da un'applicazione. Configurare il flusso di lavoro di consenso amministratore per consentire agli utenti di fornire una giustificazione e richiedere la revisione e l'approvazione di un amministratore di un'applicazione. Per informazioni su come configurare il flusso di lavoro di consenso amministratore nel tenant di Azure AD, vedere Configurare il flusso di lavoro del consenso amministratore.

Come amministratore, è possibile concedere il consenso amministratore a livello di tenant a un'applicazione. Il consenso amministratore a livello di tenant è necessario quando un'applicazione richiede autorizzazioni che gli utenti regolari non possono concedere e consente alle organizzazioni di implementare i propri processi di revisione. Esaminare sempre attentamente le autorizzazioni che l'applicazione richiede prima di concedere il consenso. Quando un'applicazione è stata concessa il consenso amministratore a livello di tenant, tutti gli utenti possono accedere all'applicazione a meno che non sia stato configurato per richiedere l'assegnazione dell'utente.

Single sign-on

Valutare la possibilità di implementare l'accesso SSO nell'applicazione. È possibile configurare manualmente la maggior parte delle applicazioni per l'accesso SSO. Le opzioni più popolari in Azure AD sono l'accesso SSO basato su SAML e l'accesso SSO basato su OpenID Connect. Prima di iniziare, assicurarsi di comprendere i requisiti per l'accesso SSO e come pianificare la distribuzione. Per altre informazioni su come configurare l'accesso Single Sign-On basato su SAML per un'applicazione aziendale nel tenant di Azure AD, vedere Abilitare l'accesso Single Sign-On per un'applicazione usando Azure Active Directory.

Assegnazione utente, gruppo e proprietario

Per impostazione predefinita, tutti gli utenti possono accedere alle applicazioni aziendali senza essere assegnati a loro. Tuttavia, se si vuole assegnare l'applicazione a un set di utenti, l'applicazione richiede l'assegnazione dell'utente. Per un semplice esempio di come creare e assegnare un account utente a un'applicazione, vedere Avvio rapido: Creare e assegnare un account utente.

Se incluso nella sottoscrizione, assegnare gruppi a un'applicazione in modo che sia possibile delegare la gestione degli accessi in corso al proprietario del gruppo.

L'assegnazione dei proprietari è un modo semplice per concedere la possibilità di gestire tutti gli aspetti della configurazione di Azure AD per un'applicazione. Come proprietario, un utente può gestire la configurazione specifica dell'organizzazione dell'applicazione.

Automatizzare il provisioning

Il provisioning delle applicazioni fa riferimento alla creazione automatica di identità utente e ruoli nelle applicazioni a cui gli utenti devono accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano.

Provider di identità

Si dispone di un provider di identità con cui si vuole che Azure AD interagisca? Individuazione area di autenticazione home offre una configurazione che consente ad Azure AD di determinare quale provider di identità deve eseguire l'autenticazione con quando accedono.

Portali utente

Azure AD offre modi personalizzabili per distribuire applicazioni agli utenti dell'organizzazione. Ad esempio, il portale di App personali o il launcher dell'applicazione Microsoft 365. App personali offre agli utenti un'unica posizione per avviare il proprio lavoro e trovare tutte le applicazioni a cui hanno accesso. Come amministratore di un'applicazione, è necessario pianificare il modo in cui gli utenti dell'organizzazione useranno App personali.

Configurare le proprietà

Quando si aggiunge un'applicazione al tenant di Azure AD, è possibile configurare le proprietà che influiscono sul modo in cui gli utenti possono interagire con l'applicazione. È possibile abilitare o disabilitare la possibilità di accedere e l'assegnazione utente può essere necessaria. È anche possibile determinare la visibilità dell'applicazione, il logo che rappresenta l'applicazione e le eventuali note sull'applicazione. Per altre informazioni sulle proprietà che possono essere configurate, vedere Proprietà di un'applicazione aziendale.

Proteggere l'applicazione

Esistono diversi metodi che consentono di proteggere le applicazioni aziendali. Ad esempio, è possibile limitare l'accesso al tenant, gestire visibilità, dati e analisi e, eventualmente, fornire l'accesso ibrido. La sicurezza delle applicazioni aziendali comporta anche la gestione della configurazione delle autorizzazioni, dell'autenticazione a più fattori, dell'accesso condizionale, dei token e dei certificati.

Autorizzazioni

È importante esaminare periodicamente e, se necessario, gestire le autorizzazioni concesse a un'applicazione o a un servizio. Assicurarsi di consentire solo l'accesso appropriato alle applicazioni valutando regolarmente se esiste un'attività sospetta.

Le classificazioni delle autorizzazioni consentono di identificare l'effetto di autorizzazioni diverse in base ai criteri e alle valutazioni dei rischi dell'organizzazione. È possibile ad esempio usare le classificazioni delle autorizzazioni nei criteri di consenso per identificare il set di autorizzazioni a cui gli utenti possono fornire il consenso.

Autenticazione a più fattori e accesso condizionale

Azure AD MFA consente di proteggere l'accesso ai dati e alle applicazioni, fornendo un altro livello di sicurezza usando una seconda forma di autenticazione. Esistono molti metodi che possono essere usati per un'autenticazione a secondo fattore. Prima di iniziare, pianificare la distribuzione di MFA per l'applicazione nell'organizzazione .

Le organizzazioni possono abilitare l'autenticazione a più fattori con accesso condizionale per rendere la soluzione adatta alle proprie esigenze specifiche. I criteri di accesso condizionale consentono agli amministratori di assegnare controlli a applicazioni, azioni o contesto di autenticazione specifici.

Token e certificati

Diversi tipi di token di sicurezza vengono usati in un flusso di autenticazione in Azure AD a seconda del protocollo usato. Ad esempio, i token SAML vengono usati per il protocollo SAML e i token ID e i token di accesso vengono usati per il protocollo OpenID Connect. I token vengono firmati con il certificato univoco generato in Azure AD e da algoritmi standard specifici.

È possibile fornire maggiore sicurezza crittografando il token. È anche possibile gestire le informazioni in un token, inclusi i ruoli consentiti per l'applicazione.

Azure AD usa l'algoritmo SHA-256 per impostazione predefinita per firmare la risposta SAML. Usare SHA-256 a meno che l'applicazione non richieda SHA-1. Stabilire un processo per la gestione della durata del certificato. La durata massima di un certificato di firma è di tre anni. Per evitare o ridurre al minimo l'interruzione a causa della scadenza di un certificato, usare i ruoli e le liste di distribuzione di posta elettronica per assicurarsi che le notifiche di modifica correlate al certificato vengano monitorate attentamente.

Governance e monitoraggio

La gestione entitlement in Azure AD consente di gestire l'interazione tra applicazioni e amministratori, proprietari di cataloghi, gestori di pacchetti di accesso, responsabili approvazione e richiedenti.

La soluzione di creazione di report e monitoraggio di Azure AD dipende dai requisiti legali, di sicurezza e operativi e dall'ambiente e dai processi esistenti. Esistono diversi log gestiti in Azure AD e si consiglia di pianificare la distribuzione di report e monitoraggio per mantenere l'esperienza migliore possibile per l'applicazione.

Eseguire la pulizia

È possibile pulire l'accesso alle applicazioni. Ad esempio, la rimozione dell'accesso di un utente. È anche possibile disabilitare la modalità di accesso di un utente. Infine, è possibile eliminare l'applicazione se non è più necessaria per l'organizzazione. Per un semplice esempio di come eliminare un'applicazione aziendale dal tenant di Azure AD, vedere Avvio rapido: Eliminare un'applicazione aziendale.

Passaggi successivi