Registrare le applicazioni
Il portale di registrazione delle app di Microsoft Identity Platform è il punto di ingresso principale per le applicazioni che usano la piattaforma per l'autenticazione e le esigenze associate. Gli sviluppatori, quando si registrano e si configurano le app, le scelte effettuate e influiscono sul livello di soddisfazione dell'applicazione in base ai principi Zero Trust. La registrazione efficace delle app considera in particolare i principi dell'accesso con privilegi minimi e presuppone la violazione. Questo articolo illustra il processo di registrazione dell'applicazione e i relativi requisiti per garantire che le app seguano un approccio zero trust alla sicurezza.
La gestione delle applicazioni in Microsoft Entra ID (Microsoft Entra ID) è il processo di creazione, configurazione, gestione e monitoraggio delle applicazioni nel cloud in modo sicuro. Quando si registra l'applicazione in un tenant di Microsoft Entra, si configura l'accesso utente sicuro.
Microsoft Entra ID rappresenta le applicazioni in base agli oggetti applicazione e alle entità servizio. Con alcune eccezioni, le applicazioni sono oggetti applicazione. Si consideri un'entità servizio come un'istanza di un'applicazione che fa riferimento a un oggetto applicazione. Più entità servizio tra directory possono fare riferimento a un singolo oggetto applicazione.
È possibile configurare l'applicazione per l'uso dell'ID Microsoft Entra tramite tre metodi: in Visual Studio, tramite l'API Microsoft Graph o tramite PowerShell. Sono disponibili esperienze per sviluppatori in Azure e in Esplora API nei centri per sviluppatori. Fare riferimento alle decisioni e alle attività necessarie per i ruoli per sviluppatori e professionisti IT per creare e distribuire applicazioni sicure in Microsoft Identity Platform.
Chi può aggiungere e registrare applicazioni
Gli amministratori e, se consentiti dal tenant, gli utenti e gli sviluppatori possono creare oggetti applicazione registrando le applicazioni nel portale di Azure. Per impostazione predefinita, tutti gli utenti di una directory possono registrare gli oggetti applicazione sviluppati. Gli sviluppatori di oggetti applicazione decidono quali applicazioni condividono e danno accesso ai dati dell'organizzazione tramite il consenso.
Quando il primo utente in una directory accede a un'applicazione e concede il consenso, il sistema crea un'entità servizio nel tenant che archivia tutte le informazioni di consenso utente. Microsoft Entra ID crea automaticamente un'entità servizio per un'app appena registrata nel tenant prima che un utente esegua l'autenticazione.
Gli utenti assegnati almeno il ruolo Amministratore applicazioni o Amministratore applicazioni cloud possono eseguire attività specifiche dell'applicazione, ad esempio l'aggiunta di applicazioni dalla raccolta di app e la configurazione delle applicazioni per l'uso del proxy dell'applicazione.
Registrare gli oggetti applicazione
Gli sviluppatori registrano le app che usano Microsoft Identity Platform. Registrare le app nel portale di Azure o chiamando le API dell'applicazione Microsoft Graph. Dopo aver registrato l'app, comunica con Microsoft Identity Platform inviando richieste all'endpoint.
Potrebbe non essere disponibile l'autorizzazione per creare o modificare una registrazione dell'applicazione. Quando gli amministratori non forniscono le autorizzazioni per registrare le applicazioni, chiedere loro come comunicare le informazioni di registrazione dell'app necessarie.
Le proprietà di registrazione dell'applicazione possono includere i componenti seguenti.
- Nome, logo ed editore
- URI (Uniform Resource Identifier) di reindirizzamento
- Segreti (chiavi simmetriche e/o asimmetriche usate per autenticare l'applicazione)
- Dipendenze API (OAuth)
- API/risorse/ambiti pubblicati (OAuth)
- Ruoli dell'app per il controllo degli accessi in base al ruolo
- Metadati e configurazione per l'accesso Single Sign-On (SSO), il provisioning utenti e il proxy
Una parte necessaria della registrazione dell'app è la selezione dei tipi di account supportati per definire chi può usare l'app in base al tipo di account dell'utente. Gli amministratori di Microsoft Entra seguono il modello applicativo per gestire gli oggetti applicazione nel portale di Azure tramite l'esperienza di Registrazioni app e definire le impostazioni dell'applicazione che indicano al servizio come rilasciare token all'applicazione.
Durante la registrazione si riceve l'identità dell'applicazione: l'ID applicazione (client). L'app usa l'ID client ogni volta che esegue una transazione tramite Microsoft Identity Platform.
Procedure consigliate per la registrazione delle app
Seguire le procedure consigliate per la sicurezza per le proprietà dell'applicazione durante la registrazione dell'applicazione in Microsoft Entra ID come parte fondamentale dell'uso aziendale. Mirare a evitare tempi di inattività o compromissioni che potrebbero influire sull'intera organizzazione. I consigli seguenti consentono di sviluppare l'applicazione sicura in base ai principi Zero Trust.
- Usare l'elenco di controllo per l'integrazione di Microsoft Identity Platform per garantire un'integrazione di alta qualità e sicurezza. Mantenere la qualità e la sicurezza dell'app.
- Definire correttamente gli URL di reindirizzamento. Fare riferimento alle restrizioni e alle limitazioni dell'URI di reindirizzamento (URL di risposta) per evitare problemi di compatibilità e sicurezza.
- Controllare gli URI di reindirizzamento nella registrazione dell'app per la proprietà per evitare acquisizioni di dominio. Gli URL di reindirizzamento devono trovarsi in domini noti e di proprietà. Esaminare e rimuovere regolarmente gli URI non necessari e inutilizzati. Non usare URI non HTTPS nelle app di produzione.
- Definire e gestire sempre i proprietari di app e entità servizio per le app registrate nel tenant. Evitare app orfane (app e entità servizio senza proprietari assegnati). Assicurarsi che gli amministratori IT possano identificare facilmente e rapidamente i proprietari delle app durante un'emergenza. Mantenere il numero di proprietari di app di piccole dimensioni. Rendere difficile che un account utente compromesso influisca su più applicazioni.
- Evitare di usare la stessa registrazione dell'app per più app. La separazione delle registrazioni delle app consente di abilitare l'accesso con privilegi minimi e ridurre l'impatto durante una violazione.
- Usare registrazioni di app separate per le app che accedono a utenti e app che espongono dati e operazioni tramite API (a meno che non siano strettamente associate). Questo approccio consente le autorizzazioni per un'API con privilegi più elevati, ad esempio Microsoft Graph e le credenziali (ad esempio segreti e certificati), a distanza dalle app che accedono e interagiscono con gli utenti.
- Usare registrazioni di app separate per le app Web e le API. Questo approccio garantisce che, se l'API Web ha un set di autorizzazioni superiore, l'app client non le eredita.
- Definire l'applicazione come app multi-tenant solo quando necessario. Le app multi-tenant consentono il provisioning in tenant diversi da quelli dell'utente. Richiedono un sovraccarico di gestione maggiore per filtrare l'accesso indesiderato. A meno che non si intenda sviluppare l'app come app multi-tenant, iniziare con un valore SignInAudience di AzureADMyOrg.
Passaggi successivi
- Fare riferimento alla documentazione di Microsoft Identity Platform per informazioni su come registrare i tipi di applicazione. I tipi di app di esempio includono app a pagina singola, app Web, API Web, app desktop, app per dispositivi mobili e servizi in background, daemon e script.
- L'articolo New Registrazioni app experience for Azure Active Directory B2C (Nuova esperienza di Registrazioni app per Azure Active Directory B2C) consente di acquisire familiarità con la nuova esperienza che sostituisce l'esperienza legacy.
- Integrare applicazioni con Microsoft Entra ID e Microsoft Identity Platform consente agli sviluppatori di creare e integrare app che i professionisti IT possono proteggere nell'azienda.
- Acquisire l'autorizzazione per accedere alle risorse consente di comprendere come garantire al meglio Zero Trust durante l'acquisizione delle autorizzazioni di accesso alle risorse per l'applicazione.
- Le procedure consigliate per l'autorizzazione consentono di implementare i modelli di autorizzazione, autorizzazione e consenso ottimali per le applicazioni.