Creare una registrazione dell'app da usare con Gemelli digitali di Azure

Questo articolo descrive come creare una registrazione dell'app Microsoft Entra IDin grado di accedere a Gemelli digitali di Azure. Questo articolo include i passaggi per la portale di Azure e l'interfaccia della riga di comando di Azure.

Quando si lavora con Gemelli digitali di Azure, è comune interagire con l'istanza tramite applicazioni client. Queste applicazioni devono eseguire l'autenticazione con Gemelli digitali di Azure e alcuni dei meccanismi di autenticazione che le app possono usare comportano la registrazione di un'app.

La registrazione dell'app non è necessaria per tutti gli scenari di autenticazione. Tuttavia, se si usa una strategia di autenticazione o un esempio di codice che richiede una registrazione dell'app, questo articolo illustra come configurarne uno e concedere le autorizzazioni alle API di Gemelli digitali di Azure. Illustra anche come raccogliere valori importanti che dovrai usare la registrazione dell'app durante l'autenticazione.

Suggerimento

Puoi preferire di configurare una nuova registrazione dell'app ogni volta che ne hai bisogno o di farlo una sola volta, stabilendo una sola registrazione dell'app che verrà condivisa tra tutti gli scenari che lo richiedono.

Creare la registrazione

Per iniziare, selezionare la scheda seguente per l'interfaccia preferita.

Portale

Passare a Microsoft Entra ID nella portale di Azure (è possibile usare questo collegamento o trovarlo con la barra di ricerca del portale). Selezionare Registrazioni app dal menu del servizio e quindi + Nuova registrazione.

Nella pagina Registra un'applicazione che segue compilare i valori richiesti:

• Nome: nome visualizzato dell'applicazione Microsoft Entra da associare alla registrazione
• Tipi di account supportati: selezionare Solo account in questa directory organizzativa (solo directory predefinita - Tenant singolo)
• URI di reindirizzamento: URL di risposta dell'applicazione Microsoft Entra per l'applicazione Microsoft Entra. Aggiungere un URI client/nativo pubblico (mobile e desktop) per http://localhost.

Al termine, selezionare il pulsante Registra .

Al termine della configurazione della registrazione, il portale reindirizzerà alla relativa pagina dei dettagli.

CLI

Per iniziare, creare un file manifesto che contiene le informazioni sul servizio necessarie per la registrazione dell'app per accedere alle API di Gemelli digitali di Azure. Successivamente, si passerà questo file in un comando dell'interfaccia della riga di comando per creare la registrazione.

Creare un manifesto

Creare un nuovo file con estensione json nel computer denominato manifest.json. Copiare il testo nel file:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

Il valore 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 statico è l'ID risorsa per l'endpoint del servizio Gemelli digitali di Azure, che la registrazione dell'app dovrà accedere alle API di Gemelli digitali di Azure.

Salvare il file completato.

Utenti di Cloud Shell: Caricare il manifesto

Se si usa Azure Cloud Shell per questa esercitazione, è necessario caricare il file manifesto creato in Cloud Shell, in modo che sia possibile accedervi nei comandi di Cloud Shell durante la configurazione della registrazione dell'app. Se si usa un'installazione locale dell'interfaccia della riga di comando di Azure, è possibile passare al passaggio successivo, Eseguire il comando di creazione.

Per caricare il file, passare alla finestra di Cloud Shell nel browser. Selezionare l'icona "Carica/Scarica file" e scegliere "Carica".

Passare al file manifest.json nel computer e selezionare Apri. In questo modo il file verrà caricato nella radice dell'archiviazione di Cloud Shell.

Eseguire il comando di creazione

In questa sezione si eseguirà un comando dell'interfaccia della riga di comando per creare una registrazione dell'app con le impostazioni seguenti:

• Nome della scelta
• Disponibile solo per gli account nella directory predefinita (tenant singolo)
• URL di risposta Web di http://localhost
• Autorizzazioni di lettura/scrittura per le API di Gemelli digitali di Azure

Eseguire il comando seguente per creare la registrazione. Se si usa Cloud Shell, il percorso del file manifest.json è @manifest.json.

az ad app create --display-name <app-registration-name> --available-to-other-tenants false --reply-urls http://localhost --native-app --required-resource-accesses "<path-to-manifest.json>"

L'output del comando è costituito da informazioni sulla registrazione dell'app creata.

Verificare l'esito positivo

È possibile verificare che le autorizzazioni di Gemelli digitali di Azure siano state concesse cercando i campi seguenti nell'output del comando di creazione, in requiredResourceAccess. Verificare che i valori corrispondano a quelli elencati di seguito.

• resourceAccess > id è 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId è 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Raccogliere i valori importanti

Raccogliere quindi alcuni valori importanti sulla registrazione dell'app che sarà necessario usare la registrazione dell'app per autenticare un'applicazione client. Questi valori includono:

• nome risorsa: quando si usa Gemelli digitali di Azure, il nome della risorsa è http://digitaltwins.azure.net.
• ID client
• ID del tenant
• Segreto client

Le sezioni seguenti descrivono come trovare i valori rimanenti.

Raccogliere l'ID client e l'ID tenant

Per usare la registrazione dell'app per l'autenticazione, potrebbe essere necessario specificare l'ID applicazione (client) e l'ID directory (tenant). In questo caso, questi valori verranno raccolti in modo da poterli salvare e usarli ogni volta che sono necessari.

Portale

I valori id client e ID tenant possono essere raccolti dalla pagina dei dettagli della registrazione dell'app nella portale di Azure:

Prendere nota dell'ID applicazione (client) e dell'ID directory (tenant) visualizzati nella pagina.

CLI

È possibile trovare entrambi questi valori nell'output del az ad app create comando eseguito in precedenza. È anche possibile visualizzare nuovamente le informazioni di registrazione dell'app usando az ad app show.

Cercare questi valori nel risultato:

ID applicazione (client):

ID della directory (tenant):

Raccogliere il segreto client

Configurare un segreto client per la registrazione dell'app, che altre applicazioni possono usare per eseguire l'autenticazione.

Portale

Iniziare nella pagina di registrazione dell'app nel portale di Azure.

1. Selezionare Certificati e segreti dal menu della registrazione e quindi selezionare + Nuovo segreto client.

   

2. Immettere i valori desiderati per Descrizione e Scadenza e selezionare Aggiungi.

   

3. Verificare che il segreto client sia visibile nella pagina Certificati e segreti con i campi Scadenza e Valore.

4. Prendere nota dell'ID segreto e del valore da usare in un secondo momento (è anche possibile copiarli negli Appunti con le icone Copia).

   

Importante

Assicurarsi di copiare i valori ora e archiviarli in un luogo sicuro, perché non possono essere recuperati di nuovo. Se non è possibile trovarli in un secondo momento, sarà necessario creare un nuovo segreto.

CLI

Per creare un segreto client per la registrazione dell'app, è necessario il valore dell'ID client della registrazione dell'app raccolto nel passaggio precedente. Usare il valore nel comando dell'interfaccia della riga di comando seguente per creare un nuovo segreto:

az ad app credential reset --id <client-ID> --append

È anche possibile aggiungere parametri facoltativi a questo comando per specificare una descrizione delle credenziali, una data di fine e altri dettagli. Per altre informazioni sul comando e sui relativi parametri, vedere la documentazione az ad app credential reset.

L'output di questo comando è costituito da informazioni sul segreto client creato.

Copiare il valore per password da usare quando è necessario il segreto client per l'autenticazione.

Importante

Assicurarsi di copiare il valore ora e archiviarlo in un luogo sicuro, perché non può essere recuperato di nuovo. Se non è possibile trovare il valore in un secondo momento, sarà necessario creare un nuovo segreto.

Fornire le autorizzazioni di Gemelli digitali di Azure

Configurare quindi la registrazione dell'app creata con le autorizzazioni per accedere a Gemelli digitali di Azure. Sono necessari due tipi di autorizzazioni:

• Assegnazione di ruolo per la registrazione dell'app nell'istanza di Gemelli digitali di Azure
• Autorizzazioni API per l'app per leggere e scrivere nelle API di Gemelli digitali di Azure

Crea assegnazione ruolo

In questa sezione si creerà un'assegnazione di ruolo per la registrazione dell'app nell'istanza di Gemelli digitali di Azure. Questo ruolo determinerà le autorizzazioni che la registrazione dell'app contiene nell'istanza, quindi è necessario selezionare il ruolo che corrisponde al livello di autorizzazione appropriato per la situazione. Un ruolo possibile è il proprietario dei dati di Gemelli digitali di Azure. Per un elenco completo dei ruoli e delle relative descrizioni, vedere Ruoli predefiniti di Azure.

Portale

Usare questi passaggi per creare l'assegnazione di ruolo per la registrazione.

1. Aprire la pagina per l'istanza di Gemelli digitali di Azure nella portale di Azure.

2. Seleziona Controllo di accesso (IAM).

3. Selezionare Aggiungi>Aggiungi assegnazione di ruolo per aprire la pagina Aggiungi assegnazione di ruolo.

4. Assegnare il ruolo appropriato. Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

   Impostazione	Valore
   Ruolo	Selezionare come appropriato
   Membri > Assegnare l'accesso a	Utente, gruppo o entità servizio
   Membri >	+ Selezionare i membri, quindi cercare il nome o l'ID client della registrazione dell'app

   

   

   Dopo aver selezionato il ruolo, rivedi e assegnalo .

Verificare l'assegnazione di ruolo

È possibile visualizzare l'assegnazione di ruolo configurata in Assegnazioni di ruolo di controllo di accesso (IAM). >

La registrazione dell'app dovrebbe essere visualizzata nell'elenco insieme al ruolo assegnato.

CLI

Usare il comando az dt role-assignment create per assegnare il ruolo (deve essere eseguito da un utente con autorizzazioni sufficienti nella sottoscrizione di Azure). Il comando richiede di passare il nome del ruolo da assegnare, il nome dell'istanza di Gemelli digitali di Azure e il nome o l'ID oggetto della registrazione dell'app.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

Il risultato di questo comando viene restituito informazioni sull'assegnazione di ruolo creata per la registrazione dell'app.

Per verificare ulteriormente l'assegnazione di ruolo, è possibile cercarla nella portale di Azure (passare alla scheda Istruzioni del portale).

Fornire autorizzazioni API

In questa sezione si concedono le autorizzazioni di lettura/scrittura della baseline dell'app alle API di Gemelli digitali di Azure.

Se si usa l'interfaccia della riga di comando di Azure e si configura la registrazione dell'app in precedenza con un file manifesto, questo passaggio è già stato completato. Se si usa il portale di Azure per creare la registrazione dell'app, continuare con la parte restante di questa sezione per configurare le autorizzazioni API.

Portale

Nella pagina del portale per la registrazione dell'app selezionare Autorizzazioni API dal menu. Nella pagina delle autorizzazioni seguente selezionare il pulsante + Aggiungi un'autorizzazione.

Nella pagina Richiedi autorizzazioni API che segue passare alle API usate dall'organizzazione e cercare Gemelli digitali di Azure. Selezionare Gemelli digitali di Azure nei risultati della ricerca per continuare con l'assegnazione delle autorizzazioni per le API di Gemelli digitali di Azure.

Nota

Se la sottoscrizione ha ancora un'istanza di Gemelli digitali di Azure esistente dall'anteprima pubblica precedente del servizio (prima di luglio 2020), sarà necessario cercare e selezionare invece servizio Azure Smart Spaces. Si tratta di un nome meno recente per lo stesso set di API (si noti che l'ID applicazione (client) è uguale a quello dello screenshot precedente e l'esperienza non verrà modificata oltre questo passaggio.

Successivamente, si selezioneranno le autorizzazioni da concedere per queste API. Espandere l'autorizzazione Lettura (1) e selezionare la casella Read.Write per concedere le autorizzazioni di lettura e scrittura per la registrazione dell'app.

Al termine, selezionare Aggiungi autorizzazioni .

Verificare le autorizzazioni API

Nella pagina Autorizzazioni API verificare che sia presente una voce per Gemelli digitali di Azure che rifletta le autorizzazioni Lettura.Scrittura :

È anche possibile verificare la connessione a Gemelli digitali di Azure all'interno del file manifest.json della registrazione dell'app, che è stato aggiornato automaticamente con le informazioni di Gemelli digitali di Azure quando sono state aggiunte le autorizzazioni API.

A tale scopo, selezionare Manifesto dal menu per visualizzare il codice manifesto della registrazione dell'app. Scorrere fino alla fine della finestra del codice e cercare i campi e i valori seguenti in requiredResourceAccess:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Questi valori sono visualizzati nella schermata seguente:

Se questi valori mancano, ripetere i passaggi nella sezione per aggiungere l'autorizzazione API.

CLI

Se si usa l'interfaccia della riga di comando, le autorizzazioni API sono state configurate in precedenza come parte del passaggio Creare la registrazione .

È ora possibile verificarli usando il portale di Azure (passare alla scheda Istruzioni del portale).

Altri passaggi possibili per l'organizzazione

È possibile che l'organizzazione richieda più azioni da parte dei proprietari o degli amministratori delle sottoscrizioni per completare la configurazione della registrazione dell'app. I passaggi necessari possono variare a seconda delle impostazioni specifiche dell'organizzazione. Scegliere una scheda di seguito per visualizzare queste informazioni personalizzate per l'interfaccia preferita.

Portale

Ecco alcune attività comuni che un proprietario o un amministratore nella sottoscrizione potrebbe dover eseguire. Queste e altre operazioni possono essere eseguite dalla pagina Registrazioni app di Microsoft Entra nel portale di Azure.

• Concedere il consenso dell'amministratore per la registrazione dell'app. L'organizzazione potrebbe avere Amministrazione consenso richiesto a livello globale attivato in Microsoft Entra ID per tutte le registrazioni dell'app all'interno della sottoscrizione. In tal caso, il proprietario/amministratore dovrà selezionare questo pulsante per la società nella pagina delle autorizzazioni API di registrazione dell'app affinché la registrazione dell'app sia valida:

  

  • Se il consenso è stato concesso correttamente, la voce per Gemelli digitali di Azure dovrebbe quindi visualizzare il valore Status di Granted per (l'azienda)

  

• Attivare l'accesso client pubblico

• Impostare URL di risposta specifici per l'accesso Web e desktop

• Consenti flussi di autenticazione OAuth2 impliciti

CLI

Ecco alcune attività comuni che un proprietario o un amministratore nella sottoscrizione potrebbe dover eseguire.

• Concedere il consenso dell'amministratore per la registrazione dell'app. L'organizzazione potrebbe avere Amministrazione consenso richiesto a livello globale attivato in Microsoft Entra ID per tutte le registrazioni dell'app all'interno della sottoscrizione. In tal caso, il proprietario o l'amministratore potrebbe dover concedere autorizzazioni aggiuntive delegate o dell'applicazione.
• Attivare l'accesso client pubblico aggiungendo --set publicClient=true a un comando di creazione o aggiornamento per la registrazione.
• Impostare URL di risposta specifici per l'accesso Web e desktop usando il --reply-urls parametro . Per altre informazioni sull'uso di questo parametro con az ad i comandi, vedere la documentazione di az ad app.
• Consentire flussi di autenticazione OAuth2 impliciti usando il --oauth2-allow-implicit-flow parametro . Per altre informazioni sull'uso di questo parametro con az ad i comandi, vedere la documentazione di az ad app.

Per altre informazioni sulla registrazione delle app e sulle diverse opzioni di configurazione, vedere Registrare un'applicazione con Microsoft Identity Platform.

Passaggi successivi

In questo articolo viene configurata una registrazione dell'app Microsoft Entra che può essere usata per autenticare le applicazioni client con le API di Gemelli digitali di Azure.

Leggere quindi i meccanismi di autenticazione, tra cui uno che usa le registrazioni dell'app e altre che non:

• Scrivere codice di autenticazione dell'app