Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il portale di registrazione delle app di Microsoft Identity Platformè il punto di ingresso principale per le applicazioni che usano la piattaforma per l'autenticazione e le esigenze associate. Come sviluppatore, quando registri e configuri le tue app, le tue scelte determinano e influiscono su quanto bene la tua applicazione soddisfi i principi Zero Trust. La registrazione efficace delle app considera i principi dell'accesso con privilegi minimi e presuppone la violazione. Questo articolo illustra il processo di registrazione dell'applicazione e i relativi requisiti per garantire che le app seguano un approccio zero trust alla sicurezza.
La gestione delle applicazioni in Microsoft Entra ID (Microsoft Entra ID) consente di creare, configurare, gestire e monitorare in modo sicuro le applicazioni nel cloud. Quando si registra l'applicazione in un tenant di Microsoft Entra, si configura l'accesso utente sicuro.
Microsoft Entra ID rappresenta le applicazioni in base agli oggetti di applicazione e agli oggetti servizio. Con alcune eccezioni, le applicazioni sono oggetti applicazione. Si consideri un'entità servizio come un'istanza di un'applicazione che fa riferimento a un oggetto applicazione. Più entità servizio tra directory possono fare riferimento a un singolo oggetto applicazione.
È possibile configurare l'applicazione in modo da usare Microsoft Entra ID tramite tre metodi: in Visual Studio, con l'API Microsoft Graph o con PowerShell. Sono disponibili esperienze per sviluppatori in Azure e in Esplora API nei centri per sviluppatori. Fare riferimento alle decisioni e alle attività necessarie per i ruoli per sviluppatori e professionisti IT per creare e distribuire applicazioni sicure in Microsoft Identity Platform.
Chi può aggiungere e registrare applicazioni
Gli amministratori e, quando il tenant consente, anche gli utenti e gli sviluppatori, possono creare oggetti di applicazione quando registrano le applicazioni nel portale di Azure. Per impostazione predefinita, tutti gli utenti di una directory possono registrare gli oggetti applicazione sviluppati. Gli sviluppatori di oggetti applicazione decidono quali applicazioni condividono e danno accesso ai dati dell'organizzazione tramite il consenso.
Quando il primo utente in una directory accede a un'applicazione e concede il consenso, il sistema crea un'entità servizio nel tenant che archivia tutte le informazioni di consenso utente. Microsoft Entra ID crea automaticamente un principale del servizio per un'app appena registrata nel tenant prima che un utente esegua l'operazione di autenticazione.
Gli utenti con almeno il ruolo Amministratore applicazioni o Amministratore applicazioni cloud possono eseguire attività specifiche dell'applicazione, ad esempio l'aggiunta di applicazioni dalla raccolta di app e la configurazione delle applicazioni per l'uso del proxy dell'applicazione.
Registrare gli oggetti dell'applicazione
In qualità di sviluppatore, registri le tue app che utilizzano la piattaforma di identità Microsoft. Registrare le app nel portale di Azure o chiamando le API dell'applicazione Microsoft Graph. Dopo aver registrato l'app, comunica con Microsoft Identity Platform inviando richieste all'endpoint.
Potrebbe non essere disponibile l'autorizzazione per creare o modificare una registrazione dell'applicazione. Quando gli amministratori non forniscono le autorizzazioni per registrare le applicazioni, chiedere loro come comunicare le informazioni di registrazione dell'app necessarie.
Le proprietà di registrazione dell'applicazione possono includere i componenti seguenti.
- Nome, logo ed editore
- Reindirizzamento degli URI (Uniform Resource Identifier)
- Segreti (chiavi simmetriche e/o asimmetriche usate per autenticare l'applicazione)
- Dipendenze API (OAuth)
- API/risorse/scopi pubblicati (OAuth)
- Ruoli dell'app per il controllo degli accessi in base al ruolo
- Metadati e configurazione per l'accesso Single Sign-On (SSO), l'aprovisionamento degli utenti e il proxy
Una parte necessaria della registrazione dell'app è la selezione dei tipi di account supportati per definire chi può usare l'app in base al tipo di account dell'utente. Gli amministratori di Microsoft Entra seguono il modello applicativo per gestire gli oggetti applicazione nel portale di Azure tramite l'esperienza di Registrazioni app e definire le impostazioni dell'applicazione che indicano al servizio come rilasciare token all'applicazione.
Durante la registrazione si riceve l'identità dell'applicazione: l'ID applicazione (client). L'app usa l'ID client ogni volta che esegue una transazione tramite Microsoft Identity Platform.
Procedure consigliate per la registrazione delle app
Seguire le migliori pratiche di sicurezza per le proprietà dell'applicazione quando si registra l'applicazione in Microsoft Entra ID, una parte critica del suo utilizzo aziendale. Mirare a evitare tempi di inattività o compromissioni che potrebbero influire sull'intera organizzazione. I consigli seguenti consentono di sviluppare l'applicazione sicura in base ai principi Zero Trust.
- Usare l'elenco di controllo per l'integrazione di Microsoft Identity Platform per garantire un'integrazione di alta qualità e sicurezza. Mantenere la qualità e la sicurezza dell'app.
- Definire correttamente gli URL di reindirizzamento. Fare riferimento alle restrizioni e alle limitazioni dell'URI di reindirizzamento (URL di risposta) per evitare problemi di compatibilità e sicurezza.
- Verifica gli indirizzi URI di reindirizzamento nella registrazione dell'app per confermare la proprietà ed evitare acquisizioni di dominio. Gli URL di reindirizzamento devono trovarsi in domini noti e di proprietà. Esaminare e rimuovere regolarmente gli URI non necessari e inutilizzati. Non usare URI non HTTPS nelle app di produzione.
- Definire e gestire sempre i proprietari di app e delle principali servizi per le app registrate nel tenant. Evitare app orfane (app e principali di servizio senza un proprietario assegnato). Assicurarsi che gli amministratori IT possano identificare facilmente e rapidamente i proprietari delle app durante un'emergenza. Mantenere il numero di proprietari di app di piccole dimensioni. Rendere difficile che un account utente compromesso influisca su più applicazioni.
-
Evita di usare la stessa registrazionedell'app per applicazioni diverse. La separazione delle registrazioni delle app consente di abilitare l'accesso con privilegi minimi e ridurre l'impatto durante una violazione.
- Usare registrazioni di app separate per le app che accedono a utenti e app che espongono dati e operazioni tramite API (a meno che non siano strettamente associate). Questo approccio consente le autorizzazioni per un'API con privilegi più elevati, ad esempio Microsoft Graph e le credenziali (ad esempio segreti e certificati), a distanza dalle app che accedono e interagiscono con gli utenti.
- Usare registrazioni di app separate per le app Web e le API. Questo approccio garantisce che, se l'API Web ha un set di autorizzazioni superiore, l'app client non le eredita.
- Definire l'applicazione come app multi-tenant solo quando necessario. Le app multi-tenant consentono il provisioning in tenant diversi dal proprio. Richiedono un sovraccarico di gestione maggiore per filtrare l'accesso indesiderato. A meno che non si intenda sviluppare l'app come app multi-tenant, iniziare con un valore SignInAudience di AzureADMyOrg.
Passaggi successivi
- Fare riferimento alla documentazione di Microsoft Identity Platform per informazioni su come registrare i tipi di applicazione. I tipi di app di esempio includono app a pagina singola, app Web, API Web, app desktop, app per dispositivi mobili e servizi in background, daemon e script.
- Integrare applicazioni con Microsoft Entra ID e Microsoft Identity Platform consente agli sviluppatori di creare e integrare app che i professionisti IT possono proteggere nell'azienda.
- Acquisire l'autorizzazione per accedere alle risorse consente di comprendere come garantire al meglio Zero Trust durante l'acquisizione delle autorizzazioni di accesso alle risorse per l'applicazione.
- Le procedure consigliate per l'autorizzazione consentono di implementare i modelli di autorizzazione, autorizzazione e consenso ottimali per le applicazioni.