Definire Microsoft Entra ID
Il team di gestione di Adatum vuole assicurarsi che i clienti dell'azienda siano in grado di accedere in modo sicuro ai servizi forniti dalle applicazioni. Si intende implementare questa funzionalità basandosi sulle funzionalità di autenticazione e autorizzazione di Microsoft Entra ID. Per raggiungere questo obiettivo, si decide di esaminare le funzionalità e i vantaggi principali di Microsoft Entra ID, concentrandosi su quelle applicabili alle applicazioni native del cloud.
L'autenticazione determina l'identità di un'entità di sicurezza, ad esempio un utente o un dispositivo. L'autorizzazione prevede la concessione di un'autorizzazione dell'entità di sicurezza autenticata per eseguire un'azione o accedere a una risorsa.
Che cos'è Microsoft Entra ID e quali sono i vantaggi?
Microsoft Entra ID è il servizio Microsoft basato sul cloud per la gestione delle identità e dell'accesso. Fornisce funzionalità di autenticazione e facilita l'autorizzazione grazie all'integrazione con la maggior parte dei servizi cloud Microsoft e un'ampia gamma di offerte SaaS (software come un servizio) di terze parti. Supporta protocolli di autenticazione e autorizzazione moderni e standard del settore.
Nota
Grazie all'integrazione con Windows Server Active Directory, Microsoft Entra ID consente anche di proteggere le risorse interne, ad esempio le app nella rete aziendale e nella Intranet, oltre a tutte le app cloud sviluppate dall'organizzazione.
Microsoft Entra ID funge da archivio delle identità, offrendo la possibilità di creare account per utenti, gruppi e dispositivi dell'organizzazione. Consente anche di creare account guest, che rappresentano le identità delle organizzazioni partner, facilitando così la condivisione delle risorse in modo sicuro in scenari B2B (Business-To-Business). È anche possibile usare Microsoft Entra ID in scenari B2C (Business-To-Consumer) consentendo agli utenti esterni di iscriversi per l'accesso alle app con le credenziali esistenti, incluso il supporto per i provider di identità di social network più comuni.
Per ognuno di questi scenari è possibile implementare altri controlli che determinano il livello di protezione da potenziali minacce. Questi controlli includono il supporto predefinito per l'autenticazione a più fattori e l'accesso condizionale.
Microsoft Entra ID organizza i relativi oggetti, ad esempio utenti, gruppi e app, in contenitori denominati tenant. Ogni tenant rappresenta un limite amministrativo e di sicurezza. È possibile creare uno o più tenant per l'organizzazione. Ogni sottoscrizione di Azure è associata a un'entità di Microsoft Entra.
Qual è il ruolo di Microsoft Entra ID nelle applicazioni native del cloud?
Gli sviluppatori di app possono usare Microsoft Entra ID per autenticare e autorizzare l'accesso per le applicazioni e i relativi dati. Microsoft Entra ID offre metodi programmatici utili per creare app personalizzate. Funge anche da posizione centralizzata per archiviare le informazioni relative alle identità digitali, incluso il supporto per la registrazione delle applicazioni e le rispettive entità di sicurezza. Questa funzionalità consente di fornire l'accesso granulare alle applicazioni sviluppate internamente a ogni utente, guest o gruppo. Consente anche alle applicazioni di operare in modo indipendente o per conto degli utenti quando accedono ad altri servizi, risorse e applicazioni protetti da Microsoft Entra ID.
Le applicazioni native del cloud si basano su protocolli aperti basati su HTTP per autenticare le entità di sicurezza, perché sia i client che le applicazioni potrebbero essere in esecuzione ovunque e su qualsiasi piattaforma o dispositivo. Microsoft Entra ID, come soluzione di gestione delle identità nativa del cloud, offre questa funzionalità, inclusi l'interfaccia basata su REST e il supporto per le query basate su API Graph e OData.
Microsoft Entra ID semplifica l'implementazione di un'ampia gamma di scenari comuni durante la creazione di applicazioni native del cloud, ad esempio:
- Utenti che accedono alle applicazioni Web in un Web browser.
- Utenti che accedono alle API Web back-end da app basate su browser.
- Utenti che accedono alle API Web back-end da app per dispositivi mobili.
- Applicazioni che accedono alle API Web back-end senza un'interfaccia utente o un'utente attivo, usando la propria identità.
- Applicazioni che interagiscono con altre API Web, che operano per conto di un utente con le credenziali delegate di tale utente.
In ognuno di questi scenari, le applicazioni devono essere protette da un uso non autorizzato. Questo passaggio richiede almeno l'autenticazione dell'entità di sicurezza che richiede l'accesso a una risorsa. Per questa autenticazione si può usare uno di vari protocolli comuni, ad esempio SAML (Security Assertion Markup Language) V2.0, WS-Fed o OpenID Connect. La comunicazione con le API Web si basa in genere sul protocollo OAuth2 e sul relativo supporto per i token di accesso.