Uso del controllo degli accessi in base al ruolo per le applicazioni

Si applica a: Cerchio bianco con un simbolo X grigio. Tenant delle risorse Cerchio verde con un segno di spunta bianco. Tenant esterni (altre informazioni)

Il controllo degli accessi in base al ruolo è uno dei metodi più comuni per introdurre il processo di autorizzazione nelle applicazioni. Quando un'organizzazione usa il controllo degli accessi in base al ruolo, i ruoli applicazione sono definiti da uno sviluppatore di applicazioni. L'amministratore può quindi assegnare i ruoli a utenti e gruppi diversi per determinare chi può accedere a specifici contenuti e funzionalità nell’applicazione.

Le applicazioni in genere ricevono informazioni sui ruoli utente sotto forma di attestazioni in un token di sicurezza. Gli sviluppatori possono scegliere se fornire la propria implementazione per la modalità di interpretazione delle attestazioni del ruolo come autorizzazioni dell'applicazione. Questa interpretazione delle autorizzazioni può comportare l'uso di middleware o di altre opzioni fornite dalla piattaforma delle applicazioni o dalle librerie correlate.

Ruoli dell'app

Microsoft Entra per ID esterno consente di definire i ruoli applicazione per l'applicazione e di assegnare tali ruoli a utenti e gruppi. I ruoli assegnati a un utente o a un gruppo definiscono il livello di accesso alle risorse e alle operazioni nell'applicazione.

Quando Microsoft Entra per ID esterno rilascia un token di sicurezza per un utente autenticato, include i nomi dei ruoli assegnati all'utente o al gruppo nell'attestazione dei ruoli del token di sicurezza. Un'applicazione che riceve tale token di sicurezza in una richiesta può quindi prendere decisioni di autorizzazione in base ai valori dell'attestazione dei ruoli.

Suggerimento

Da provare subito

Per provare questa funzionalità, passare alla demo Woodgrove Groceries e avviare il caso d'uso "Controllo degli accessi in base al ruolo".

Gruppi

Gli sviluppatori possono quindi usare i gruppi di sicurezza per implementare il controllo degli accessi in base al ruolo nelle applicazioni, in cui le appartenenze dell'utente a gruppi specifici vengono interpretate come appartenenze ai ruoli. Quando un'organizzazione usa gruppi di sicurezza, nel token viene inclusa un'attestazione basata su gruppi. L'attestazione basata su gruppi specifica gli identificatori di tutti i gruppi a cui è stato assegnato l'utente all'interno del tenant esterno corrente.

Suggerimento

Da provare subito

Per provare questa funzionalità, passare alla demo Woodgrove Groceries e avviare il caso d'uso "Controllo degli accessi in base al gruppo".

Ruoli app e gruppi

Anche se è possibile usare i ruoli o i gruppi dell'app per l'autorizzazione, le differenze principali tra di questi elementi possono influenzare l'uso per lo scenario.

Ruoli dell'app Gruppi
Sono specifici di un'applicazione e sono definiti nella registrazione dell'app. Non sono specifici di un'app, ma di un tenant esterno.
Non possono essere condivisi tra le applicazioni. Possono esser usati in più applicazioni.
I ruoli app vengono rimossi dopo la rimozione della registrazione dell'app. I gruppi rimangono intatti anche se l'app viene rimossa.
Fornito nell'attestazione roles. Fornito nell'attestazione groups.

Creare un gruppo di sicurezza

I gruppi di sicurezza gestiscono l'accesso di utenti e computer alle risorse condivise. È possibile creare un gruppo di sicurezza in modo che tutti i membri del gruppo abbiano lo stesso set di autorizzazioni di sicurezza.

Per creare un gruppo di sicurezza, seguire questa procedura:

  1. Accedere all’interfaccia di amministrazione di Microsoft Entra almeno come amministratore di gruppo.
  2. Se si dispone dell'accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Gruppi>Tutti i gruppi.
  4. Selezionare Nuovo gruppo.
  5. Nell'elenco a discesa Tipo di gruppo selezionare Sicurezza.
  6. Immettere il nome del gruppo per il gruppo di sicurezza, ad esempio Contoso_App_Administrators.
  7. Immettere la descrizione del gruppo per il gruppo di sicurezza, ad esempio Amministratore della sicurezza dell’app Contoso.
  8. Seleziona Crea.

Il nuovo gruppo di sicurezza viene visualizzato nell'elenco Tutti i gruppi. Se non viene visualizzato immediatamente, aggiornare la pagina.

Microsoft Entra per ID esterno può includere le informazioni sull'appartenenza a un gruppo di un utente nei token da usare all'interno delle applicazioni. Per informazioni su come aggiungere l'attestazione di gruppo ai token, vedere la sezione Assegnare utenti e gruppi ai ruoli.

Dichiarare i ruoli per un'applicazione

  1. Accedere all’interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore ruolo con privilegi.

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Applicazioni>Registrazioni app.

  4. Selezionare l'applicazione in cui si vuole definire i ruoli dell'app.

  5. Selezionare Ruoli dell'app e quindi Crea un ruolo app.

  6. Nel riquadro Crea ruolo app immettere le impostazioni per il ruolo. La tabella seguente descrive ogni impostazione e i relativi parametri.

    Campo Description Esempio
    Nome visualizzato Nome visualizzato per il ruolo app visualizzato nelle esperienze di assegnazione dell’app. Questo valore può contenere spazi. Orders manager
    Tipi di membro consentiti Specifica se il ruolo app può essere assegnato a utenti, applicazioni o entrambi. Users/Groups
    valore Specifica il valore dell'attestazione dei ruoli che l'applicazione prevede di trovare nel token. Il valore deve corrispondere esattamente alla stringa a cui si fa riferimento nel codice dell'applicazione. Il valore non può contenere spazi. Orders.Manager
    Descrizione Descrizione più dettagliata del ruolo app visualizzato durante le esperienze di assegnazione dell'app amministratore. Manage online orders.
    Abilitare questo ruolo app? Specifica se il ruolo app è abilitato. Per eliminare un ruolo app, deselezionare questa casella di controllo e applicare la modifica prima di tentare l'operazione di eliminazione. Selezionato
  7. Selezionare Applica per creare il ruolo applicazione.

Assegnare i ruoli a utenti e gruppi

Dopo aver aggiunto i ruoli app nell'applicazione, l’amministratore può assegnarli a utenti e gruppi. Le assegnazioni di utenti e gruppi ai ruoli possono essere eseguite tramite l'interfaccia di amministrazione o a livello di codice usando Microsoft Graph. Quando gli utenti assegnati ai vari ruoli app accedono all'applicazione, i ruoli dei token sono assegnati nell'attestazione roles.

Per assegnare utenti e gruppi ai ruoli applicazione con il portale di Azure:

  1. Accedere all’interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore ruolo con privilegi.
  2. Se si dispone dell'accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Applicazioni>Applicazioni aziendali.
  4. Selezionare Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni. Se l'applicazione desiderata non viene visualizzata nell'elenco, usare i filtri disponibili nella parte superiore dell'elenco Tutte le applicazioni per limitare l'elenco o scorrerlo verso il basso fino a trovare l'applicazione.
  5. Selezionare l'applicazione in cui si vuole assegnare ruoli a utenti o gruppi di sicurezza.
  6. In Gestisciselezionare Utenti e gruppi.
  7. Selezionare Aggiungi utente per aprire il riquadro Aggiungi assegnazione.
  8. Nel riquadro Aggiungi assegnazione selezionare Utenti e gruppi. Viene visualizzato un elenco di utenti e gruppi di sicurezza. È possibile selezionare più utenti e gruppi nell'elenco.
  9. Dopo aver selezionato utenti e gruppi, scegliere Seleziona.
  10. Nel riquadro Aggiungi assegnazione scegliere Seleziona un ruolo. Vengono visualizzati tutti i ruoli definiti per l'applicazione.
  11. Selezionare un ruolo e quindi scegliere Seleziona.
  12. Selezionare Assegna per completare l'assegnazione di utenti e gruppi all'app.
  13. Verificare che gli utenti e i gruppi aggiunti siano presenti nell'elenco Utenti e gruppi.

Per testare l'applicazione, disconnettersi e accedere di nuovo con l'utente a cui sono stati assegnati i ruoli. Esaminare il token di sicurezza per assicurarsi che contenga il ruolo dell'utente.

Aggiungere attestazioni di gruppo ai token di sicurezza

Per generare le attestazioni di appartenenza ai gruppi nei token di sicurezza, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come un Amministratore di applicazioni.
  2. Se si ha accesso a più tenant, usare l'icona impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Applicazioni>Registrazioni app.
  4. Selezionare l'applicazione in cui si vuole aggiungere l'attestazione basata su gruppi.
  5. In Gestisci selezionare la Configurazione del token.
  6. Selezionare Aggiungi un'attestazione basata su gruppi.
  7. Selezionare i tipi di gruppo da includere nei token di sicurezza.
  8. Per Personalizzare le proprietà del token per tipo, selezionare ID gruppo.
  9. Selezionare Aggiungi per aggiungere l'attestazione basata su gruppi.

Aggiungere membri a un gruppo

Dopo aver aggiunto l'attestazione basata su gruppi dell’app nell'applicazione, aggiungere utenti ai gruppi di sicurezza. Se non è disponibile un gruppo di sicurezza, crearne uno.

  1. Accedere all’interfaccia di amministrazione di Microsoft Entra almeno con il ruolo diAmministratore di gruppi.
  2. Se si dispone dell'accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Gruppi>Tutti i gruppi.
  4. Selezionare il gruppo da gestire.
  5. Selezionare Membri.
  6. Selezionare + Aggiungi membri.
  7. Scorrere l'elenco o digitare un nome nella casella di ricerca. È possibile scegliere più nomi. Al termine, scegliere OK.
  8. La pagina Panoramica gruppo viene aggiornata per indicare il numero di membri aggiunti al gruppo.

Per testare l'applicazione, disconnettersi e quindi accedere di nuovo con l'utente aggiunto al gruppo di sicurezza. Esaminare il token di sicurezza per assicurarsi che contenga l'appartenenza al gruppo dell'utente.

Supporto di gruppi e ruoli applicazione

Un tenant esterno segue il modello di gestione degli utenti e gruppi di Microsoft Entra e di assegnazione delle applicazioni. Molte delle principali funzionalità di Microsoft Entra vengono inserite in tenant esterni.

Nella tabella seguente vengono illustrate le funzionalità attualmente disponibili.

Funzionalità Attualmente disponibile?
Creare un ruolo applicazione per una risorsa Sì, modificando il manifesto dell'applicazione
Assegnare un ruolo applicazione ad utenti
Assegnare un ruolo applicazione a gruppi Sì, solo tramite Microsoft Graph
Assegnare un ruolo applicazione ad applicazioni Sì, tramite le autorizzazioni dell'applicazione
Assegnare un utente a un ruolo applicazione
Assegnare un'applicazione a un ruolo applicazione (autorizzazione dell'applicazione)
Aggiungere un gruppo a un'applicazione o a un'entità servizio (attestazione basata su gruppi) Sì, solo tramite Microsoft Graph
Creare/aggiornare/eliminare un cliente (utente locale) tramite l'Interfaccia di amministrazione di Microsoft Entra
Reimpostare una password per un cliente (utente locale) tramite l'Interfaccia di amministrazione di Microsoft Entra
Creare/aggiornare/eliminare un cliente (utente locale) tramite Microsoft Graph
Reimpostare una password per un cliente (utente locale) tramite Microsoft Graph Sì, solo se l'entità servizio viene aggiunta al ruolo di amministratore globale
Creare/aggiornare/eliminare un gruppo di sicurezza tramite l'Interfaccia di amministrazione di Microsoft Entra
Creare/aggiornare/eliminare un gruppo di sicurezza tramite l'API di Microsoft Graph
Modificare i membri di un gruppo di sicurezza tramite l'Interfaccia di amministrazione di Microsoft Entra
Modificare i membri di un gruppo di sicurezza tramite l'API di Microsoft Graph
Crescere fino a 50.000 utenti e 50.000 gruppi Attualmente non disponibile
Aggiungere 50.000 utenti ad almeno due gruppi Attualmente non disponibile

Passaggi successivi