Condividi tramite


Come registrare un'applicazione libro mastro riservato di Azure con Microsoft Entra ID

In questo articolo si apprenderà come integrare l'applicazione libro mastro riservato di Azure con l'ID Microsoft Entra, registrandolo con Microsoft Identity Platform.

Microsoft Identity Platform esegue la gestione delle identità e degli accessi (IAM) solo per le applicazioni registrate. Sia che si tratti di un'applicazione client, come un'app Web o per dispositivi mobili, oppure di un'API Web a supporto di un'app client, la registrazione consente di stabilire una relazione di trust tra l'applicazione e il provider di identità, ovvero Microsoft Identity Platform. Altre informazioni su Microsoft Identity Platform.

Prerequisiti

Registrare un'applicazione

La registrazione dell'applicazione mastro riservata di Azure stabilisce una relazione di trust tra l'app e Microsoft Identity Platform. La relazione di trust è unidirezionale, ovvero l'app considera attendibile Microsoft Identity Platform e non viceversa.

Per creare la registrazione dell'app, seguire questa procedura:

  1. Accedi al portale di Azure.

  2. Se si ha accesso a più tenant, usare il filtro Directory e sottoscrizioni nel menu in alto per passare al tenant in cui si vuole registrare l'applicazione.

  3. Cercare e selezionare Microsoft Entra ID.

  4. In Gestisci selezionare Registrazioni app>Nuova registrazione.

  5. Immettere un nome visualizzato per l'applicazione. Gli utenti dell'applicazione potrebbero vedere il nome visualizzato quando usano l'app, ad esempio durante l'accesso. È possibile modificare il nome visualizzato in qualsiasi momento e più registrazioni dell'app possono condividere lo stesso nome. L'ID applicazione (client) generato automaticamente dalla registrazione dell'app, non il nome visualizzato, identifica in modo univoco l'app all'interno di Identity Platform.

  6. Specificare chi può usare l'applicazione, talvolta denominata gruppo di destinatari di accesso.

    Tipi di conto supportati Descrizione
    Account solo in questa directory organizzativa Selezionare questa opzione se si intende creare un'applicazione utilizzabile solo da utenti (o guest) nel tenant personale.

    Spesso chiamata applicazione line-of-business (LOB), questa app è un'applicazione a tenant singolo in Microsoft Identity Platform.
    Account in qualsiasi directory organizzativa Selezionare questa opzione se si vuole che gli utenti in qualsiasi tenant di Microsoft Entra possano usare l'applicazione. Questa opzione è appropriata se, ad esempio, si sta creando un'applicazione SaaS (Software-As-A-Service) che si intende fornire a più organizzazioni.

    Questo tipo di app è noto come applicazione multi-tenant in Microsoft Identity Platform.
    Account in qualsiasi directory organizzativa e account Microsoft personali Selezionare questa opzione per il più ampio gruppo di clienti.

    Selezionando questa opzione, si sta registrando un'applicazione multi-tenant che può supportare anche gli utenti con account Microsoft personali.
    Account Microsoft personali Selezionare questa opzione se si sta creando un'applicazione solo per gli utenti con account Microsoft personali. Gli account Microsoft personali includono gli account Skype, Xbox, Live e Hotmail.
  7. Non immettere nulla per URI di reindirizzamento (facoltativo). Nella sezione successiva verrà configurato un URI di reindirizzamento.

  8. Selezionare Registra per completare la registrazione iniziale dell'app.

    Screenshot of the Azure portal in a web browser, showing the Register an application pane.

Al termine della registrazione nel portale di Azure viene visualizzato il riquadro Panoramica della registrazione dell'app. Viene visualizzato l'ID applicazione (client). Detto anche ID client, questo valore identifica in modo univoco l'applicazione in Microsoft Identity Platform.

Importante

Le nuove registrazioni dell'app sono nascoste agli utenti per impostazione predefinita. Quando si è pronti per consentire agli utenti di visualizzare l'app nella pagina App personali, è possibile abilitarla. Per abilitare l'app, nella portale di Azure passare alle applicazioni Microsoft Entra ID>Enterprise e selezionare l'app. Nella pagina Proprietà passare quindi a Visibile agli utenti? su Sì.

Il codice dell'applicazione o più in genere una libreria di autenticazione usata nell'applicazione usa anche l'ID client. L'ID viene usato come parte della convalida dei token di sicurezza ricevuti dalla piattaforma di gestione delle identità.

Screenshot of the Azure portal in a web browser, showing an app registration's Overview pane.

Aggiungere un URI di reindirizzamento

Un URI di reindirizzamento è il percorso in cui Microsoft Identity Platform reindirizza il client di un utente e invia i token di sicurezza dopo l'autenticazione.

In un'applicazione Web di produzione, ad esempio, l'URI di reindirizzamento è spesso un endpoint pubblico in cui viene eseguita l'app, ad esempio https://contoso.com/auth-response. Durante lo sviluppo capita di aggiungere l'endpoint in cui l'app viene eseguita in locale, ad esempio https://127.0.0.1/auth-response o http://localhost/auth-response.

Per aggiungere e modificare gli URI di reindirizzamento per le applicazioni registrate, configurarne le impostazioni della piattaforma.

Configurare le impostazioni della piattaforma

Le impostazioni per ogni tipo di applicazione, inclusi gli URI di reindirizzamento, vengono configurate in Configurazioni della piattaforma nel portale di Azure. Con alcune piattaforme, ad esempio le applicazioni Web e a pagina singola, è necessario specificare manualmente un URI di reindirizzamento. Per altre piattaforme, ad esempio per applicazioni desktop e per dispositivi mobili, è possibile scegliere tra gli URI di reindirizzamento generati quando si configurano le altre impostazioni di tali piattaforme.

Per configurare le impostazioni dell'applicazione in base alla piattaforma o al dispositivo di destinazione, seguire questa procedura:

  1. Nel portale di Azure selezionare l'applicazione in Registrazioni app.

  2. In Gestisci selezionare Autenticazione.

  3. In Configurazioni della piattaforma selezionare Aggiungi una piattaforma.

  4. In Configura piattaforme selezionare il riquadro per il tipo di applicazione (piattaforma) per configurarne le impostazioni.

    Screenshot of the platform configuration pane in the Azure portal.

    Piattaforma Impostazioni di configurazione
    Web Immettere un URI di reindirizzamento per l'app. Questo URI è il percorso in cui Microsoft Identity Platform reindirizza il client di un utente e invia i token di sicurezza dopo l'autenticazione.

    Selezionare questa piattaforma per le applicazioni Web standard eseguite in un server.
    Applicazione a pagina singola Immettere un URI di reindirizzamento per l'app. Questo URI è il percorso in cui Microsoft Identity Platform reindirizza il client di un utente e invia i token di sicurezza dopo l'autenticazione.

    Selezionare questa piattaforma se si sta creando un'app Web sul lato client usando JavaScript o un framework come Angular, Vue.js, React.js o Blazor WebAssembly.
    iOS/macOS Immettere l'ID bundle dell'app. Trovarlo in Build Impostazioni o in Xcode in Info.plist.

    Quando si specifica un ID bundle, viene generato automaticamente un URI di reindirizzamento.
    Android Immettere il nome del pacchetto dell'app. Trovarlo nel file AndroidManifest.xml . Generare e immettere anche l'hash della firma.

    Quando si specificano queste impostazioni, viene generato automaticamente un URI di reindirizzamento.
    Applicazioni per dispositivi mobili e desktop Selezionare uno degli URI di reindirizzamento suggeriti. In alternativa, specificare un URI di reindirizzamento personalizzato.

    Per le applicazioni desktop che usano il browser incorporato, è consigliabile
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Per le applicazioni desktop che usano il browser di sistema, è consigliabile
    http://localhost

    Selezionare questa piattaforma per le applicazioni per dispositivi mobili che non usano la versione più recente di Microsoft Authentication Library (MSAL) o che non usano un broker. Selezionare questa piattaforma anche per le applicazioni desktop.
  5. Selezionare Configura per completare la configurazione della piattaforma.

Restrizioni relative agli URI di reindirizzamento

Esistono alcune restrizioni sul formato degli URI di reindirizzamento aggiunti a una registrazione dell'app. Per informazioni dettagliate su queste restrizioni, vedere Restrizioni e limitazioni dell'URI di reindirizzamento (URL di risposta).

Aggiungi credenziali

Le credenziali vengono usate dalle applicazioni client riservate che accedono a un'API Web. Esempi di client riservati sono app Web, altre API Web o applicazioni di tipo servizio e tipo di daemon. Le credenziali consentono all'applicazione di eseguire l'autenticazione in modo autonomo, senza richiedere alcuna interazione utente in fase di esecuzione.

È possibile aggiungere sia certificati che segreti client (una stringa) come credenziali della registrazione dell'app client riservata.

Screenshot of the Azure portal, showing the Certificates and secrets pane in an app registration.

Aggiungere un certificato

A volte chiamato chiave pubblica, un certificato è il tipo di credenziale consigliato perché sono considerati più sicuri rispetto ai segreti client. Per altre informazioni sull'uso di un certificato come metodo di autenticazione nell'applicazione, vedere Credenziali del certificato di autenticazione delle applicazioni di Microsoft Identity Platform.

  1. Nel portale di Azure selezionare l'applicazione in Registrazioni app.
  2. Selezionare Certificati e segreti>Certificati>Carica certificato.
  3. Selezionare il file da caricare. Deve essere uno dei tipi di file seguenti: .cer, .pem, .crt.
  4. Selezionare Aggiungi.

Aggiungere un segreto client

A volte chiamato password dell'applicazione, un segreto client è un valore stringa che l'app può usare al posto di un certificato per l'identità stessa.

I segreti client sono considerati meno sicuri delle credenziali del certificato. Gli sviluppatori di applicazioni usano talvolta segreti client durante lo sviluppo di app locali a causa della facilità d'uso. Tuttavia, è consigliabile usare le credenziali del certificato per qualsiasi applicazione in esecuzione nell'ambiente di produzione.

  1. Nel portale di Azure selezionare l'applicazione in Registrazioni app.
  2. Selezionare Certificati e segreti Segreti>>client Nuovo segreto client.
  3. Aggiungere una descrizione per il segreto client.
  4. Selezionare una scadenza per il segreto o specificare una durata personalizzata.
    • La durata del segreto client è limitata a due anni (24 mesi) o meno. Non è possibile specificare una durata personalizzata di più di 24 mesi.
    • Microsoft consiglia di impostare un valore di scadenza inferiore a 12 mesi.
  5. Selezionare Aggiungi.
  6. Registrare il valore del segreto da usare nel codice dell'applicazione client. Questo valore del segreto non viene mai più visualizzato dopo aver lasciato questa pagina.

Per le raccomandazioni sulla sicurezza delle applicazioni, vedere Procedure consigliate e consigli di Microsoft Identity Platform.

Passaggi successivi