Oggetti applicazione ed entità servizio in Microsoft Entra ID

Questo articolo descrive la registrazione dell'applicazione, gli oggetti applicazione e le entità servizio in Microsoft Entra ID, illustrando che cosa sono, come vengono usati e come sono correlati tra loro. Viene inoltre presentato uno scenario di esempio multi-tenant per illustrare la relazione tra l'oggetto applicazione di un'applicazione e gli oggetti entità servizio corrispondenti.

Registrazione dell'applicazione

Per delegare le funzioni di gestione delle identità e degli accessi ad Microsoft Entra ID, è necessario registrare un'applicazione con un tenant di Microsoft Entra. Quando si registra l'applicazione con Microsoft Entra ID, si crea una configurazione di identità per l'applicazione che ne consente l'integrazione con Microsoft Entra ID. Quando si registra un'app, si sceglie se si tratta di un tenant singolo o multi-tenant e, facoltativamente, è possibile impostare un URI di reindirizzamento. Per istruzioni dettagliate sulla registrazione di un'app, vedere avvio rapido alla registrazione dell'app.

Dopo aver completato la registrazione dell'app, si dispone di un'istanza univoca globale dell'app (l'oggetto applicazione) che si trova all'interno del tenant o della directory principale. È anche disponibile un ID univoco globale per l'app (l'ID app o client). È possibile aggiungere segreti o certificati e ambiti per consentire il funzionamento dell'app, effettuare la personalizzazione dell'app nella finestra di dialogo di accesso e altro ancora.

Se si registra un'applicazione, un oggetto applicazione e un oggetto entità servizio vengono creati automaticamente nel tenant principale. Se si registra/crea un'applicazione usando le API Microsoft Graph, la creazione dell'oggetto entità servizio è un passaggio separato.

Oggetto applicazione

Un'applicazione Microsoft Entra è definita dal relativo unico oggetto applicazione, che risiede nel tenant di Microsoft Entra in cui è stata registrata l'applicazione (nota come tenant "home" dell'applicazione). Un oggetto applicazione viene usato come modello o come progetto per creare uno o più oggetti entità servizio. Viene creata un'entità servizio in ogni tenant in cui viene usata l'app. Analogamente a una classe della programmazione orientata agli oggetti, l'oggetto applicazione presenta alcune proprietà statiche che vengono applicate a tutte le entità servizio create (o istanze dell'applicazione).

L'oggetto applicazione descrive tre aspetti di un'applicazione:

  • Come il servizio può emettere token per accedere all'applicazione
  • Risorse a cui potrebbe essere necessario accedere l'applicazione
  • Azioni che l'applicazione può eseguire

È possibile usare la pagina Registrazioni app nell'interfaccia di amministrazione di Microsoft Entra per elencare e gestire gli oggetti applicazione nel tenant principale.

Pannello Registrazioni app

L'entità applicazione di Microsoft Graph definisce lo schema per le proprietà di un oggetto applicazione.

Oggetto entità servizio

Per accedere alle risorse protette da un tenant di Microsoft Entra, l'entità che richiede l'accesso deve essere rappresentata da un'entità di sicurezza. Questo requisito è applicabile agli utenti (entità utente) e alle applicazioni (entità servizio). L'entità di sicurezza definisce i criteri di accesso e le autorizzazioni per l'utente/applicazione nel tenant di Microsoft Entra. Ciò abilita le funzionalità di base, ad esempio l'autenticazione dell'utente/applicazione durante l'accesso e l'autorizzazione durante l'accesso alle risorse.

Esistono tre tipi di entità servizio:

  • Applicazione - Questo tipo di entità servizio è la rappresentazione locale o l'istanza dell'applicazione di un oggetto applicazione globale in un singolo tenant o directory. In questo caso, un'entità servizio è un'istanza concreta creata dall'oggetto applicazione ed eredita determinate proprietà da tale oggetto applicazione. In ogni tenant in cui viene usata l'applicazione viene creata un'entità servizio, che fa riferimento all'oggetto app univoco globale. L'oggetto entità servizio definisce il comportamento dell'app nello specifico tenant, ad esempio le risorse che accedono all'app e le risorse a cui l'app può accedere.

    Quando a un'applicazione viene concesso di accedere alle risorse in un tenant (al momento della registrazione o del consenso), viene creato un oggetto entità servizio. Quando si registra un'applicazione, viene creata automaticamente un'entità servizio. È inoltre possibile creare oggetti entità servizio in un tenant usando Azure PowerShell, l'interfaccia della riga di comando di Azure, Microsoft Graph e altri strumenti.

  • Identità gestita - Questo tipo di entità servizio viene usato per rappresentare un'identità gestita. Le identità gestite eliminano la necessità per gli sviluppatori di gestire credenziali. Le identità gestite forniscono un'identità per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Quando un'identità gestita è abilitata, nel tenant viene creata un'entità servizio che rappresenta l'identità gestita. Alle entità servizio che rappresentano le identità gestite è possibile concedere accesso e autorizzazioni. Tuttavia, non possono essere aggiornate né modificate in modo diretto.

  • Legacy - Questo tipo di entità servizio rappresenta un'app legacy, ovvero un'app creata prima dell'introduzione delle registrazioni delle app o un'app creata tramite esperienze legacy. Un'entità servizio legacy può avere credenziali, nomi dell'entità servizio, URL di risposta e altre proprietà che un utente autorizzato può modificare, ma non dispone di una registrazione dell'app associata. L'entità servizio può essere usata solo nel tenant in cui è stata creata.

L'entità ServicePrincipal di Microsoft Graph definisce lo schema delle proprietà di un oggetto entità servizio.

È possibile usare la pagina Applicazioni aziendali nell'interfaccia di amministrazione di Microsoft Entra per elencare e gestire le entità servizio in un tenant. È possibile visualizzare le autorizzazioni dell’entità servizio e quelle per cui l'utente ha fornito il consenso, i dati relativi agli utenti che hanno fornito tale consenso, le informazioni di accesso e altro ancora.

Pannello App aziendali

Relazione tra oggetti applicazione ed entità servizio

L'oggetto applicazione può essere considerato come la rappresentazione globale dell'applicazione per l'uso in tutti i tenant, mentre l'entità servizio costituisce la rappresentazione locale per l'uso in uno specifico tenant. L'oggetto applicazione funge da modello da cui derivano le proprietà comuni e predefinite per l'uso nella creazione di oggetti entità servizio corrispondenti.

Un oggetto applicazione possiede:

  • Una relazione uno-a-uno con l'applicazione software e
  • Una relazione uno-a-molti con gli oggetti entità servizio corrispondenti

In ogni tenant in cui viene usata l'applicazione è necessario creare un'entità servizio per poter stabilire un'identità per l'iscrizione e/o l'accesso alle risorse che venga protetta da un tenant. Un'applicazione a tenant singolo ha una sola entità servizio (nel relativo tenant principale), creata e autorizzata per essere usata durante la registrazione dell'applicazione. Un'applicazione multi-tenant ha anche un'entità servizio creata in ogni tenant in cui un utente di tale tenant ha acconsentito all'uso.

Elencare le entità servizio associate a un'app

È possibile trovare le entità servizio associate a un oggetto applicazione.

Nell'interfaccia di amministrazione di Microsoft Entra passare alla panoramica della registrazione dell'applicazione. Selezionare Applicazione gestita nella directory locale.

Screenshot che mostra l'opzione Applicazione gestita nella directory locale nella panoramica.

Conseguenze della modifica e dell'eliminazione di applicazioni

Tutte le modifiche apportate all'oggetto applicazione si riflettono anche nell'oggetto entità servizio solo nel tenant principale dell'applicazione (il tenant in cui è stato registrato). Ciò significa che l'eliminazione di un oggetto applicazione comporta anche l'eliminazione dell'oggetto entità servizio del tenant principale. Tuttavia, il ripristino dell'oggetto applicazione tramite l'interfaccia utente delle registrazioni dell'app non consente di ripristinare l'entità servizio corrispondente. Per altre informazioni sull'eliminazione e il ripristino delle applicazioni e dei relativi oggetti entità servizio, vedere Eliminare e ripristinare applicazioni e oggetti entità servizio.

Esempio

Il diagramma seguente illustra la relazione tra l'oggetto applicazione di un'applicazione e gli oggetti entità servizio corrispondenti nel contesto di un'applicazione multi-tenant di esempio denominata app HR. In questo scenario di esempio sono presenti tre tenant di Microsoft Entra:

  • Adatum, il tenant usato dalla società che ha sviluppato l'app HR
  • Contoso, il tenant usato dall'organizzazione Contoso, che utilizza l'app HR
  • Fabrikam, il tenant usato dall'organizzazione Fabrikam, che utilizza anche in questo caso l'app HR

Relazione tra un oggetto applicazione e un oggetto entità servizio

In questo scenario di esempio:

Procedi Descrizione
1 Processo di creazione dell'applicazione e degli oggetti entità servizio nel tenant principale dell'applicazione.
2 Quando gli amministratori di Contoso e Fabrikam completano il consenso, viene creato un oggetto entità servizio nel tenant di Microsoft Entra dell'azienda e vengono assegnate le autorizzazioni concesse dall'amministratore. Si noti anche che l'app HR potrebbe essere configurata/progettata per permettere il consenso da parte di utenti per l'uso individuale.
3 I tenant consumer dell'applicazione HR (Contoso e Fabrikam) dispongono ognuno del proprio oggetto entità servizio. Ognuno rappresenta l'uso di un'istanza dell'applicazione in fase di runtime, gestito tramite le autorizzazioni concesse dall'amministratore.

Passaggi successivi

Informazioni su come creare un'entità servizio: