Metodi di autenticazione con Azure Active Directory
Importante
Questa è la documentazione di Azure Sphere (legacy). Azure Sphere (legacy) viene ritirato il 27 settembre 2027 e gli utenti devono eseguire la migrazione ad Azure Sphere (integrato) entro questo periodo. Usare il selettore di versione posizionato sopra il sommario per visualizzare la documentazione di Azure Sphere (integrata).
L'API pubblica di Azure Sphere supporta più metodi di autenticazione e autorizzazione utente in Azure Active Directory (AAD).
Con Azure Active Directory, è possibile usare un token dell'applicazione per autenticare e concedere l'accesso a risorse di Azure specifiche da un'app utente, un servizio o uno strumento di automazione usando l'entità servizio o il metodo di identità gestita per l'autenticazione.
Importante
Quando si crea un'entità servizio, è necessario proteggere le credenziali dell'applicazione generate, ad esempio segreti client o certificati client. Assicurarsi di non includere le credenziali dell'applicazione nel codice o controllare le credenziali nel controllo del codice sorgente. In alternativa, è consigliabile usare l'identità gestita per evitare la necessità di usare le credenziali.
La figura seguente illustra i metodi di autenticazione supportati con Azure Active Directory:
Metodo dell'entità servizio
È possibile configurare un'entità servizio di Azure per usare un segreto client o un certificato client per l'autenticazione. Le entità servizio sono account non associati a un determinato utente, ma possono avere autorizzazioni assegnate tramite ruoli predefiniti. L'autenticazione con un'entità servizio è il modo migliore per scrivere script o programmi sicuri, consentendo di applicare restrizioni di autorizzazione e informazioni sulle credenziali statiche archiviate localmente. Per altre informazioni, vedere Entità servizio di Azure.
Sono disponibili due opzioni per le entità servizio: segreti client e certificati client. Per altre informazioni, vedere Metodo di autenticazione dell'entità servizio.
Metodo di identità gestita
L'identità gestita di Azure può essere usata anche per comunicare con il servizio API pubblica di Azure Sphere. L'identità gestita è supportata in vari servizi di Azure. Il vantaggio dell'uso di un'identità gestita per il metodo di autenticazione delle risorse di Azure è che non è necessario gestire segreti client o certificati client. Per altre informazioni, vedere Identità gestita per il metodo di risorsa.
Metodo di identità utente
L'uso di questo metodo non è necessario eseguire l'autenticazione usando il tenant di Azure Sphere. È possibile accedere usando l'identità utente di Azure Active Directory. Per altre informazioni, vedere Metodo di autenticazione utente.
Aggiungere l'ID applicazione dell'API pubblica di Azure Sphere al tenant di Azure
È prima necessario aggiungere l'ID applicazione dell'API pubblica di Azure Sphere al tenant di Azure usando una configurazione monouso:
Nota
- Usare un account di amministratore globale per il tenant di Azure Active Directory (Azure AD) per eseguire questo comando.
- Il valore per il
AppIdparametro è statico. - È consigliabile usare
Azure Sphere Public APIper in-DisplayNamemodo che un nome visualizzato comune possa essere usato tra i tenant.
Aprire una finestra del prompt dei comandi di Windows PowerShell con privilegi elevati (eseguire Windows PowerShell come amministratore) ed eseguire il comando seguente per installare il modulo Azure AD PowerShell:
Install-Module AzureADAccedere ad Azure AD PowerShell con un account amministratore. Specificare il
-TenantIdparametro da autenticare come entità servizio:Connect-AzureAD -TenantId <Azure Active Directory TenantID><Azure Active Directory TenantID> rappresenta l'ID tenant di Azure Active Directory. Per altre informazioni, vedere Come trovare l'ID tenant di Azure Active Directory.
Creare l'entità servizio e connetterla all'applicazione
Azure Sphere Public APIspecificando l'ID applicazione dell'API pubblica di Azure Sphere, come descritto di seguito:New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"