Come e perché le applicazioni vengono aggiunte a Microsoft Entra ID

  • Articolo

Esistono due rappresentazioni delle applicazioni in Microsoft Entra ID:

  • Oggetti applicazione: anche se ci sono alcune eccezioni, questi oggetti possono essere considerati la definizione di un'applicazione.
  • Entità servizio: questi oggetti possono essere considerati un'istanza di un'applicazione. Le entità servizio in genere fanno riferimento a un oggetto applicazione e a ogni oggetto applicazione possono fare riferimento più entità servizio in diverse directory.

Cosa sono gli oggetti applicazione e da dove provengono?

È possibile gestire gli oggetti applicazione nell'interfaccia di amministrazione di Microsoft Entra tramite l'esperienza di Registrazioni app. Gli oggetti applicazione descrivono l'applicazione all'ID Microsoft Entra e possono essere considerati la definizione dell'applicazione, consentendo al servizio di sapere come rilasciare token all'applicazione in base alle relative impostazioni. L'oggetto applicazione è disponibile solo nella relativa home directory, anche se si tratta di un'applicazione multi-tenant che supporta entità servizio in altre directory. L'oggetto applicazione può includere (ma non solo) uno dei seguenti elementi:

  • Nome, logo ed editore
  • URI di reindirizzamento
  • Segreti (chiavi simmetriche e/o asimmetriche usate per autenticare l'applicazione)
  • Dipendenze API (OAuth)
  • API/risorse/ambiti pubblicati (OAuth)
  • Ruoli dell'app
  • Metadati e configurazione dell'accesso Single Sign-On (SSO)
  • Metadati e configurazione del provisioning utenti
  • Metadati e configurazione proxy

È possibile creare oggetti applicazione in più modi, tra cui:

  • Registrazioni delle applicazioni nell'interfaccia di amministrazione di Microsoft Entra
  • Creazione di una nuova applicazione con Visual Studio e configurazione per l'uso dell'autenticazione di Microsoft Entra
  • Quando un amministratore aggiunge un'applicazione dalla raccolta di app (in questo caso viene creata anche un'entità servizio)
  • Uso dell'API Microsoft Graph o di PowerShell per creare una nuova applicazione
  • Molti altri modi, tra cui diverse esperienze di sviluppo in Azure ed esperienze di esplorazione API nei centri per sviluppatori

Cosa sono le entità servizio e da dove provengono?

È possibile gestire le entità servizio nell'interfaccia di amministrazione di Microsoft Entra tramite l'esperienza Applicazioni aziendali. Le entità servizio sono ciò che regolano un'applicazione che si connette all'ID Microsoft Entra e possono essere considerate l'istanza dell'applicazione nella directory. Per qualsiasi applicazione specifica, può avere al massimo un oggetto applicazione (registrato in una directory "home") e uno o più oggetti entità servizio che rappresentano istanze dell'applicazione in ogni directory in cui agisce.

L'entità servizio può includere:

  • Un riferimento a un oggetto applicazione tramite la proprietà ID applicazione
  • Record delle assegnazioni di ruolo dell'applicazione a gruppi e utenti locali
  • Record di autorizzazioni utente e amministratore locali concesse all'applicazione
    • Ad esempio, l'autorizzazione dell'applicazione ad accedere a un indirizzo di posta elettronica di un utente specifico
  • Record dei criteri locali, inclusi i criteri di accesso condizionale
  • Record di impostazioni locali alternative per un'applicazione
    • Regole di trasformazione delle attestazioni
    • Mapping degli attributi (provisioning utenti)
    • Ruoli dell'app specifici della directory (se l'applicazione supporta i ruoli personalizzati)
    • Nome o logo specifico della directory

Come gli oggetti applicazione, anche gli oggetti entità servizio possono essere creati in più modi, tra cui:

  • Quando gli utenti accedono a un'applicazione di terze parti integrata con Microsoft Entra ID
    • Durante la procedura di accesso, agli utenti viene chiesto di concedere all'applicazione l'autorizzazione ad accedere al proprio profilo e altri tipi di autorizzazioni. Quando viene dato il primo consenso da un utente, l'entità servizio che rappresenta l'applicazione viene aggiunta alla directory.
  • Quando gli utenti accedono ai servizi online Microsoft, ad esempio Microsoft 365.
    • Quando si effettua la sottoscrizione a Microsoft 365 o si avvia una versione di valutazione, vengono create una o più entità servizio nella directory che rappresentano i vari servizi usati per fornire tutte le funzionalità associate a Microsoft 365.
    • Alcuni servizi di Microsoft 365 come SharePoint creano entità servizio in modo continuativo per consentire comunicazioni sicure tra componenti, inclusi i flussi di lavoro.
  • Quando un amministratore aggiunge un'applicazione dalla raccolta di app (in questo caso viene creato anche un oggetto app sottostante)
  • Aggiungere un'applicazione per l'uso del proxy dell'applicazione Microsoft Entra
  • Connessione un'applicazione per l'accesso Single Sign-On con SAML o password SSO
  • A livello di codice tramite l'API Microsoft Graph o PowerShell

Un'applicazione ha un oggetto applicazione nella relativa home directory a cui fanno riferimento una o più entità di servizio in ognuna delle directory in cui è in funzione (inclusa la home directory dell'applicazione).

Mostra la relazione tra gli oggetti dell'app e le entità servizio

Nel diagramma precedente Microsoft mantiene internamente due directory (visualizzate a sinistra) usate per pubblicare le applicazioni:

  • Una per le app Microsoft (directory di servizi Microsoft)
  • Una per le applicazioni di terze parti preintegrate (directory della raccolta di app)

Gli editori/fornitori di applicazioni che si integrano con Microsoft Entra ID sono tenuti ad avere una directory di pubblicazione (visualizzata a destra come "Directory SaaS (Software as a Service).

Le applicazioni aggiunte dall'utente (indicate come app dell'utente al centro del diagramma) includono:

  • App sviluppate (integrate con Microsoft Entra ID)
  • App connesse per l'accesso SSO
  • App pubblicate con il proxy dell'applicazione Microsoft Entra

Note ed eccezioni

  • Non tutte le entità servizio fanno riferimento a un oggetto applicazione. Quando Microsoft Entra ID è stato originariamente creato i servizi forniti alle applicazioni erano più limitati e l'entità servizio era sufficiente per stabilire un'identità dell'applicazione. L'entità servizio originale assomigliava più all'account del servizio di Windows Server Active Directory. Per questo motivo, è comunque possibile creare entità servizio tramite percorsi diversi, ad esempio usando Microsoft Graph PowerShell, senza prima creare un oggetto applicazione. L'API Microsoft Graph richiede che sia disponibile un oggetto applicazione prima di creare un'entità servizio.
  • Non tutte le informazioni riportate sopra sono al momento esposte a livello di codice. Di seguito sono disponibili solo nell'interfaccia utente:
    • Regole di trasformazione delle attestazioni
    • Mapping degli attributi (provisioning utenti)
  • Per informazioni più dettagliate sull'entità servizio e sugli oggetti applicazione, vedere la documentazione di riferimento dell'API Microsoft Graph:

Perché le applicazioni si integrano con Microsoft Entra ID?

Le applicazioni vengono aggiunte a Microsoft Entra ID per l'uso di uno o più dei servizi forniti, tra cui:

  • Autenticazione e autorizzazione delle applicazioni.
  • Autenticazione e autorizzazione degli utenti.
  • Accesso SSO tramite federazione o password.
  • Provisioning e sincronizzazione degli utenti.
  • Controllo degli accessi in base al ruolo : usare la directory per definire i ruoli dell'applicazione per eseguire controlli di autorizzazione basati sui ruoli in un'applicazione
  • Servizi di autorizzazione OAuth - Usato da Microsoft 365 e altre applicazioni Microsoft per autorizzare l'accesso alle API/risorse
  • Proxy e pubblicazione dell'applicazione. È possibile pubblicare un'applicazione in Internet da una rete privata.
  • Attributi dell'estensione dello schema della directory - Estendere lo schema dell'entità servizio e degli oggetti utente per archiviare dati aggiuntivi in Microsoft Entra ID

Chi ha l'autorizzazione per aggiungere applicazioni all'istanza di Microsoft Entra?

Anche se esistono alcune attività che solo i Amministrazione istratori globali possono eseguire (ad esempio l'aggiunta di applicazioni dalla raccolta di app e la configurazione di un'applicazione per l'uso del proxy di applicazione) per impostazione predefinita, tutti gli utenti nella directory dispongono dei diritti per registrare gli oggetti applicazione che stanno sviluppando e discrezionalmente rispetto alle applicazioni condivise/concedere l'accesso ai dati dell'organizzazione tramite il consenso. Se una persona è il primo utente nella directory per accedere a un'applicazione e concedere il consenso, verrà creata un'entità servizio nel tenant. In caso contrario, le informazioni sulla concessione del consenso verranno archiviate nell'entità servizio esistente.

Consentire agli utenti di registrarsi e fornire il consenso alle applicazioni potrebbe inizialmente sembrare preoccupante, ma tenere presenti i motivi seguenti:

  • Le applicazioni sono state in grado di usare Windows Server Active Directory per l'autenticazione utente per molti anni senza richiedere la registrazione o la registrazione dell'applicazione nella directory. Ora le organizzazioni hanno maggiore visibilità sul numero esatto di applicazioni che usano la directory e sul relativo scopo.
  • Delegando queste responsabilità agli utenti si evita la necessità di un processo di pubblicazione e di registrazione dell'applicazione basato su amministratore. Con Active Directory Federation Services (ADFS) un amministratore doveva in genere aggiungere un'applicazione come relying party per conto degli sviluppatori. Ora gli sviluppatori possono eseguire queste operazioni in modo indipendente.
  • L'accesso alle applicazioni da parte degli utenti per scopi lavorativi tramite un account aziendale è un fatto positivo. Se successivamente lasciano l'organizzazione perderanno automaticamente l'accesso al proprio account nell'applicazione in uso.
  • È positivo anche il fatto di poter tenere sotto controllo quali dati sono stati condivisi e con quali applicazioni. I dati sono più trasportabili che mai ed è quindi utile sapere chi ha condiviso determinati dati e con quali applicazioni.
  • I proprietari delle API, che usano Microsoft Entra ID per OAuth, decidono esattamente quali autorizzazioni gli utenti possono concedere alle applicazioni e quali autorizzazioni richiedono il consenso di un amministratore. Solo gli amministratori possono dare il consenso per ambiti più ampi e autorizzazioni più significative, mentre il consenso degli utenti è limitato alle funzionalità e ai dati degli utenti stessi.
  • Quando un utente aggiunge o consente a un'applicazione di accedere ai dati, l'evento può essere controllato in modo da poter visualizzare i report di controllo all'interno dell'interfaccia di amministrazione di Microsoft Entra per determinare come è stata aggiunta un'applicazione alla directory.

Se si vuole comunque impedire agli utenti nella directory di registrare le applicazioni e di accedere alle applicazioni senza l'approvazione dell'amministratore, ci sono due impostazioni che è possibile modificare per disattivare queste funzionalità:

  • Per modificare le impostazioni di consenso utente nell'organizzazione, vedere Configurare il consenso degli utenti alle applicazioni.

  • Per impedire agli utenti di registrare le proprie applicazioni:

    1. Nell'interfaccia di amministrazione di Microsoft Entra passare a Identity Users User settings (Impostazioni utente utenti>identità).>
    2. Impostare l'opzione Gli utenti possono registrare applicazioni su No.