Condividi tramite

Come e perché le applicazioni vengono aggiunte a Microsoft Entra ID

  • Articolo

Esistono due rappresentazioni delle applicazioni in Microsoft Entra ID:

  • Oggetti applicazione: anche se ci sono alcune eccezioni, questi oggetti possono essere considerati la definizione di un'applicazione.
  • Entità servizio: questi oggetti possono essere considerati un'istanza di un'applicazione. Le entità servizio in genere fanno riferimento a un oggetto applicazione e a ogni oggetto applicazione possono fare riferimento più entità servizio in diverse directory.

Cosa sono gli oggetti applicazione e da dove provengono?

È possibile gestire gli oggetti applicazione nell'interfaccia di amministrazione di Microsoft Entra tramite l'esperienza Registrazioni app. Gli oggetti applicazione descrivono l'applicazione a Microsoft Entra ID e possono essere considerati la definizione dell'applicazione, che consente al servizio di sapere come rilasciare token per l'applicazione in base alle relative impostazioni. L'oggetto applicazione è disponibile solo nella relativa home directory, anche se si tratta di un'applicazione multi-tenant che supporta entità servizio in altre directory. L'oggetto applicazione può includere (ma non solo) uno dei seguenti elementi:

  • Nome, logo ed editore
  • URI di reindirizzamento
  • Segreti (chiavi simmetriche e/o asimmetriche usate per autenticare l'applicazione)
  • Dipendenze API (OAuth)
  • API/risorse/ambiti pubblicati (OAuth)
  • Ruoli dell'app
  • Metadati e configurazione dell'accesso Single Sign-On (SSO)
  • Metadati e configurazione del provisioning utenti
  • Metadati e configurazione proxy

È possibile creare oggetti applicazione in più modi, tra cui:

  • Registrazioni di applicazioni nell'interfaccia di amministrazione di Microsoft Entra
  • Creazione di una nuova applicazione con Visual Studio e configurazione dell'applicazione per l'uso dell'autenticazione di Microsoft Entra
  • Quando un amministratore aggiunge un'applicazione dalla raccolta di app (in questo caso viene creata anche un'entità servizio)
  • Uso dell'API Microsoft Graph o PowerShell per creare una nuova applicazione
  • Molti altri modi, tra cui diverse esperienze di sviluppo in Azure ed esperienze di esplorazione API nei centri per sviluppatori

Cosa sono le entità servizio e da dove provengono?

È possibile gestire le entità servizio nell'interfaccia di amministrazione di Microsoft Entra tramite l'esperienza Applicazioni aziendali. Le entità servizio sono oggetti che governano un'applicazione che si connette a Microsoft Entra ID e possono essere considerate come l'istanza dell'applicazione nella directory. Per ogni applicazione specifica possono esserci più oggetti applicazione (registrati in una home directory) e uno o più oggetti entità servizio che rappresentano le istanze dell'applicazione in ogni directory in cui è in funzione.

L'entità servizio può includere:

  • Un riferimento a un oggetto applicazione tramite la proprietà ID applicazione
  • Record delle assegnazioni di ruolo dell'applicazione a gruppi e utenti locali
  • Record delle autorizzazioni amministratore e utente locali concesse all'applicazione
    • Ad esempio, l'autorizzazione dell'applicazione ad accedere a un indirizzo di posta elettronica di un utente specifico
  • Record dei criteri locali, inclusi i criteri di accesso condizionale
  • Record delle impostazioni locali alternative per un'applicazione
    • Regole di trasformazione delle attestazioni
    • Mapping degli attributi (provisioning utenti)
    • Ruoli dell'app specifici della directory (se l'applicazione supporta i ruoli personalizzati)
    • Nome o logo specifico della directory

Come gli oggetti applicazione, anche gli oggetti entità servizio possono essere creati in più modi, tra cui:

  • Quando gli utenti accedono a un'applicazione di terze parti integrata con Microsoft Entra ID
    • Durante la procedura di accesso, agli utenti viene chiesto di concedere all'applicazione l'autorizzazione ad accedere al proprio profilo e altri tipi di autorizzazioni. Quando viene dato il primo consenso da un utente, l'entità servizio che rappresenta l'applicazione viene aggiunta alla directory.
  • Quando gli utenti accedono ai servizi online Microsoft, ad esempio Microsoft 365.
    • Quando si effettua la sottoscrizione a Microsoft 365 o si avvia una versione di valutazione, vengono create una o più entità servizio nella directory che rappresentano i vari servizi usati per fornire tutte le funzionalità associate a Microsoft 365.
    • Alcuni servizi di Microsoft 365 come SharePoint creano entità servizio in modo continuativo, per consentire la comunicazione sicura tra i componenti, inclusi i flussi di lavoro.
  • Quando un amministratore aggiunge un'applicazione dalla raccolta di app (in questo caso viene creato anche un oggetto app sottostante)
  • Aggiungere un'applicazione per l'uso del proxy di applicazione di Microsoft Entra
  • Connettere un'app per l'accesso Single Sign-On tramite SAML o SSO basato su password
  • A livello di codice tramite l'API Microsoft Graph o PowerShell

Un'applicazione ha un oggetto applicazione nella relativa home directory a cui fanno riferimento una o più entità di servizio in ognuna delle directory in cui è in funzione (inclusa la home directory dell'applicazione).

Mostra la relazione tra gli oggetti app e le entità servizio

Nel diagramma precedente Microsoft mantiene internamente due directory (visualizzate a sinistra) usate per pubblicare le applicazioni:

  • Una per le app Microsoft (directory di servizi Microsoft)
  • Una per le applicazioni di terze parti preintegrate (directory della raccolta di app)

I fornitori/editori di applicazioni che procedono all'integrazione con Microsoft Entra ID devono avere una directory di pubblicazione (illustrata a destra come directory SaaS).

Le applicazioni aggiunte dall'utente (indicate come app dell'utente al centro del diagramma) includono:

  • App sviluppate dall'utente (integrate con Microsoft Entra ID)
  • App connesse per l'accesso Single Sign-On
  • App pubblicate tramite il proxy di applicazione di Microsoft Entra

Note ed eccezioni

  • Non tutte le entità servizio fanno riferimento a un oggetto applicazione. Al momento dello sviluppo inziale di Microsoft Entra ID, i servizi forniti alle applicazioni erano più limitati e l'entità servizio era sufficiente per stabilire l'identità di un'applicazione. L'entità servizio originale assomigliava più all'account del servizio di Windows Server Active Directory. Per questo motivo, è ancora possibile creare entità servizio in modi diversi, ad esempio usando Microsoft Graph PowerShell, senza dover prima creare un oggetto applicazione. L'API Microsoft Graph richiede che sia disponibile un oggetto applicazione prima di creare un'entità servizio.
  • Non tutte le informazioni riportate sopra sono al momento esposte a livello di codice. Le funzionalità seguenti sono disponibili solo nell'interfaccia utente:
    • Regole di trasformazione delle attestazioni
    • Mapping degli attributi (provisioning utenti)
  • Per informazioni dettagliate su oggetti applicazione ed entità servizio, vedere la documentazione di riferimento dell'API Microsoft Graph:

Perché le applicazioni vengono integrate con Microsoft Entra ID?

Le applicazioni vengono aggiunte a Microsoft Entra ID per sfruttare uno o più dei servizi offerti, tra cui:

  • Autenticazione e autorizzazione delle applicazioni.
  • Autenticazione e autorizzazione degli utenti.
  • Accesso SSO tramite federazione o password.
  • Provisioning e sincronizzazione degli utenti.
  • Controllo degli accessi in base al ruolo - Usare la directory per definire i ruoli dell'applicazione per eseguire i controlli di autorizzazione in base al ruolo in un'applicazione
  • Servizi di autorizzazione OAuth - Usati da Microsoft 365 e altre applicazioni Microsoft per autorizzare l'accesso ad API e risorse
  • Proxy e pubblicazione dell'applicazione. È possibile pubblicare un'applicazione in Internet da una rete privata.
  • Attributi dell'estensione dello schema della directory - Estendere lo schema dell'entità servizio e degli oggetti utente per archiviare dati aggiuntivi in Microsoft Entra ID

Chi ha l'autorizzazione per aggiungere applicazioni all'istanza di Microsoft Entra?

Per impostazione predefinita, tutti gli utenti nella directory dispongono dei diritti per registrare gli oggetti applicazione che stanno sviluppando e discrezionalmente su quali applicazioni condividono/concede l'accesso ai dati dell'organizzazione tramite il consenso. Se l'utente della directory che accede per la prima volta a un'applicazione concede il consenso, verrà creata un'entità servizio nel tenant. In caso contrario, le informazioni sulla concessione del consenso verranno archiviate nell'entità servizio esistente.

Anche se il fatto di concedere agli utenti di registrarsi e dare il consenso alle applicazioni può inizialmente destare qualche preoccupazione, tenere presente quanto segue:

  • Le applicazioni hanno usato Windows Server Active Directory per autenticare gli utenti per anni senza richiedere la registrazione dell'applicazione nella directory. Ora le organizzazioni hanno maggiore visibilità sul numero esatto di applicazioni che usano la directory e sul relativo scopo.
  • Delegando queste responsabilità agli utenti si evita la necessità di un processo di pubblicazione e di registrazione dell'applicazione basato su amministratore. Con Active Directory Federation Services (ADFS) un amministratore doveva in genere aggiungere un'applicazione come relying party per conto degli sviluppatori. Ora gli sviluppatori possono eseguire queste operazioni in modo indipendente.
  • L'accesso alle applicazioni da parte degli utenti per scopi lavorativi tramite un account aziendale è un fatto positivo. Se successivamente gli utenti lasciano l'azienda, perdono automaticamente l'accesso al proprio account nelle applicazioni in uso.
  • È positivo anche il fatto di poter tenere sotto controllo quali dati sono stati condivisi e con quali applicazioni. I dati sono più trasportabili che mai ed è quindi utile sapere chi ha condiviso determinati dati e con quali applicazioni.
  • I proprietari delle API, che usano Microsoft Entra ID per OAuth, decidono esattamente quali autorizzazioni gli utenti possono concedere alle applicazioni e quali autorizzazioni richiedono il consenso di un amministratore. Solo gli amministratori possono dare il consenso per ambiti più ampi e autorizzazioni più significative, mentre il consenso degli utenti è limitato alle funzionalità e ai dati degli utenti stessi.
  • Quando un utente aggiunge un'applicazione o consente all'applicazione di accedere ai propri dati, l'evento può essere controllato, quindi è possibile visualizzare i report di controllo nell'interfaccia di amministrazione di Microsoft Entra per determinare il modo in cui un'applicazione è stata aggiunta alla directory.

Se si vuole comunque impedire agli utenti nella directory di registrare le applicazioni e di accedere alle applicazioni senza l'approvazione dell'amministratore, ci sono due impostazioni che è possibile modificare per disattivare queste funzionalità: