Guida introduttiva: Registrare un'applicazione in Microsoft Entra ID

In questa guida introduttiva si apprenderà come registrare un'applicazione in Microsoft Entra ID. Questo processo è essenziale per stabilire una relazione di trust tra l'applicazione e Microsoft Identity Platform. Completando questa guida introduttiva, si abilita la gestione delle identità e degli accessi (IAM) per l'app, consentendo di interagire in modo sicuro con i servizi e le API Microsoft.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
• L'account Azure deve essere almeno uno sviluppatore di applicazioni .
• Una forza lavoro o un tenant esterno. Per questa guida introduttiva è possibile usare la tua directory predefinita . Se è necessario un tenant esterno, completare e configurare un tenant esterno.

Registrare un'applicazione

La registrazione dell'applicazione in Microsoft Entra stabilisce una relazione di trust tra l'app e Microsoft Identity Platform. La fiducia è unidirezionale. L'app si fida della Microsoft Identity Platform, e non viceversa. Dopo la creazione, l'oggetto applicazione non può essere spostato tra tenant diversi.

Per creare la registrazione dell'app, seguire questa procedura:

1. Accedi al centro di amministrazione di Microsoft Entra come sviluppatore di applicazioni o superiore.

2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant in cui si vuole registrare l'applicazione.

3. Passare a Identità>Applicazioni>Registrazioni app e selezionare Nuova registrazione.

4. Immettere un Nome significativo per il vostro, ad esempio identity-client-app. Gli utenti dell'app possono visualizzare questo nome e possono essere modificati in qualsiasi momento. È possibile avere più registrazioni dell'app con lo stesso nome.

5. In Tipi di account supportatispecificare chi può usare l'applicazione. È consigliabile selezionare account in questa directory organizzativa solo per la maggior parte delle applicazioni. Per altre informazioni su ogni opzione, vedere la tabella seguente.

   Tipi di conto supportati	Descrizione
   Solo gli account in questa directory organizzativa	Per app a singolo tenant per l'uso esclusivo da parte di utenti (o ospiti) nel tuo tenant .
   Account in qualsiasi directory organizzativa	Per app multi-tenant e si vuole che gli utenti in qualsiasi tenant Microsoft Entra possa usare l'applicazione. Ideale per applicazioni SaaS (Software-as-a-Service) che si intende fornire a più organizzazioni.
   Account in qualsiasi elenco organizzativo e gli account Microsoft personali	Per applicazioni multi-tenant che offrono supporto per account Microsoft aziendali e personali (ad esempio, Skype, Xbox, Live, Hotmail).
   Account personali di Microsoft	Per le app usate solo dagli account Microsoft personali (ad esempio Skype, Xbox, Live, Hotmail).

6. Selezionare Registra per completare la registrazione dell'app.

   

7. Viene visualizzata la pagina panoramica dell'applicazione. Registrare l'ID applicazione (client) , che identifica in modo univoco l'applicazione e viene usato nel codice dell'applicazione come parte della convalida dei token di sicurezza ricevuti dalla piattaforma di identità Microsoft.

   

Importante

Le nuove registrazioni dell'app sono nascoste agli utenti per impostazione predefinita. Quando sei pronto per consentire agli utenti di visualizzare l'app nella pagina App personali puoi abilitarla. Per abilitare l’app, nell'interfaccia di amministrazione di Microsoft Entra passare a Identità>Applicazioni>Applicazioni aziendali e selezionare l’app. Nella pagina Proprietà, impostare Visibile agli utenti? su Sì.

Concedere il consenso dell'amministratore (solo tenant esterni)

Dopo aver registrato l'applicazione, viene assegnata l'autorizzazione User.Read. Tuttavia, per i tenant esterni, gli utenti del cliente stessi non possono fornire il consenso a questa autorizzazione. L'amministratore deve fornire il consenso a questa autorizzazione per conto di tutti gli utenti nel tenant:

1. Nella pagina Panoramica della registrazione dell'app, sotto Gestione selezionare permessi API.
2. Seleziona Concedi il consenso amministratore per il nome tenant <>, quindi seleziona Sì.
3. Selezionare Aggiorna, quindi verificare che Concesso per < nome del tenant > appare sotto Stato per l'autorizzazione.

Aggiungere un URI di reindirizzamento

Un URI di reindirizzamento è la posizione in cui Microsoft Identity Platform invia i token di sicurezza dopo l'autenticazione. È possibile configurare gli URI di reindirizzamento nelle configurazioni di Platform nell'interfaccia di amministrazione di Microsoft Entra. Per Web e applicazioni a pagina singola, è necessario specificare manualmente un URI di reindirizzamento. Per le piattaforme per dispositivi mobili e desktop, è possibile selezionare gli URI di reindirizzamento generati. Seguire questa procedura per configurare le impostazioni in base alla piattaforma o al dispositivo di destinazione:

1. Nell'interfaccia di amministrazione di Microsoft Entra, in Registrazioni app selezionare l'applicazione.

2. In Gestisci selezionare Autenticazione.

3. In Configurazioni della piattaforma selezionare Aggiungi una piattaforma.

4. In Configura le piattaforme selezionare il riquadro relativo al tipo di applicazione (piattaforma) per configurarne le impostazioni.

   

   Piattaforma	Impostazioni di configurazione	Esempio
   Web	Immettere il URI di reindirizzamento per un'app Web in esecuzione in un server. È anche possibile aggiungere URL di disconnessione del canale frontale	Node.js: • http://localhost:3000/auth/redirect ASP.NET Core: • https://localhost:7274/signin-oidc • https://localhost:7274/signout-callback-oidc (URL di disconnessione del canale anteriore) Pitone: • http://localhost:3000/getAToken
   Applicazione a pagina singola	Immettere un URI di reindirizzamento per le app sul lato client usando JavaScript, Angular, React.jso Blazor WebAssembly. È anche possibile aggiungere URL di disconnessione del canale principale	JavaScript, React: • http://localhost:3000 Angular: • http://localhost:4200/
   iOS/macOS	Inserisci l'app ID bundle, che genera automaticamente un URI di reindirizzamento per te. Trovarlo in Impostazioni di compilazione o in Xcode in Info.plist.	Tenant della forza lavoro: • com.<yourname>.identitysample.MSALMacOS Tenant esterno: • com.microsoft.identitysample.ciam.MSALiOS
   Android	Inserisci l'app Nome del pacchetto, che genera automaticamente un URI di reindirizzamento. Trovarlo nel file AndroidManifest.xml. Inoltre, generare e immettere l'hash della firma.	Kotlin: • com.azuresamples.msaldelegatedandroidkotlinsampleapp .NET MAUI: • msal{CLIENT_ID}://auth Giava: • com.azuresamples.msalandroidapp
   Applicazioni per dispositivi mobili e desktop	Selezionare questa piattaforma per app desktop o app per dispositivi mobili che non usano MSAL o un broker. Selezionare un URI di reindirizzamento suggeritooppure specificare uno o più URI di reindirizzamento personalizzati	App desktop con browser incorporato • https://login.microsoftonline.com/common/oauth2/nativeclient App desktop del browser di sistema: • http://localhost

5. Selezionare Configura per completare la configurazione della piattaforma.

Restrizioni relative agli URI di reindirizzamento

Sono previste alcune restrizioni relative al formato degli URI di reindirizzamento aggiunti a una registrazione dell'app. Per informazioni dettagliate su queste restrizioni, vedere Restrizioni e limitazioni degli URI di reindirizzamento (URL di risposta).

Aggiungi credenziali

Dopo aver registrato un'app, è possibile aggiungere certificati, segreti client (stringa) o credenziali di identità federate come credenziali per la registrazione dell'app client riservata. Le credenziali consentono all'applicazione di eseguire l'autenticazione come se stessa, senza alcuna interazione da un utente in fase di esecuzione e vengono usate da applicazioni client riservate che accedono a un'API Web.

Aggiungere un certificato

A volte chiamata chiave pubblica, un certificato è il tipo di credenziale consigliato perché sono considerati più sicuri rispetto ai segreti client.

1. Nell'interfaccia di amministrazione di Microsoft Entra, in Registrazioni app selezionare l'applicazione.
2. Selezionare Certificati e segreti>Certificati>Carica certificato.
3. Selezionare i file che si vogliono caricare. Il tipo di file deve essere uno dei seguenti: .cer, .pem, .crt.
4. Selezionare Aggiungi.

Nell'ambiente di produzione è necessario usare un certificato firmato da un'autorità di certificazione (CA) nota, ad esempio Azure Key Vault. Per altre informazioni sull'uso di un certificato come metodo di autenticazione nell'applicazione, vedere credenziali del certificato di autenticazione dell'applicazione Microsoft Identity Platform.

Aggiungere un segreto del client

A volte chiamata password dell'applicazione, un segreto client è un valore stringa che l'app può usare al posto di un certificato per identificarsi.

I segreti client sono meno sicuri delle credenziali federate o del certificato e pertanto non devono essere usati negli ambienti di produzione. Anche se possono essere utili per lo sviluppo di app locali, è fondamentale usare credenziali federate o certificati per qualsiasi applicazione in esecuzione nell'ambiente di produzione per garantire una maggiore sicurezza.

1. Nell'interfaccia di amministrazione di Microsoft Entra, in Registrazioni app selezionare l'applicazione.
2. Selezionare Certificati e segreti>Segreti client>Nuovo segreto client.
3. Aggiungi una descrizione per il segreto del client.
4. Selezionare una scadenza per il segreto o specificare una durata personalizzata.
   • La durata del segreto client è limitata a due anni (24 mesi) o meno. Non è possibile specificare una durata personalizzata di più di 24 mesi.
   • Microsoft consiglia di impostare un valore di scadenza inferiore a 12 mesi.
5. Selezionare Aggiungi.
6. Registrare il valore del segreto da usare nel codice dell'applicazione client. Questo valore del segreto non viene mai più visualizzato dopo aver lasciato questa pagina.

Per altre informazioni sulle vulnerabilità dei segreti client, vedere Eseguire la migrazione di applicazioni dall'autenticazione basata su segreto.

Se si usa una connessione al servizio Azure DevOps che crea automaticamente un'entità servizio, è necessario aggiornare il segreto client dal sito del portale di Azure DevOps anziché aggiornare direttamente il segreto client. Fare riferimento a questo documento su come aggiornare il segreto client dal sito del portale di Azure DevOps: Risolvere i problemi di connessioni al servizio Azure Resource Manager.

Aggiungere una credenziale federata

Le credenziali di identità federate sono un tipo di credenziale che consente ai carichi di lavoro, come GitHub Actions, carichi in esecuzione su Kubernetes o su piattaforme di calcolo esterne ad Azure, di accedere alle risorse protette di Microsoft Entra senza dover gestire segreti, utilizzando la federazione delle identità del carico di lavoro.

Per aggiungere una credenziale federata, seguire questa procedura:

1. Nell'interfaccia di amministrazione di Microsoft Entra, in Registrazioni app selezionare l'applicazione.

2. Selezionare Certificati e segreti>Credenziali federate>Aggiungi credenziali.

3. Nella casella di riepilogo a discesa Scenario delle credenziali federate selezionare uno degli scenari supportati e seguire le indicazioni corrispondenti per completare la configurazione.

   • Chiavi gestite dal cliente per crittografare i dati nel tenant usando Azure Key Vault in un altro tenant.
   • GitHub Actions che distribuiscono risorse Azure per configurare un flusso di lavoro GitHub, ottenere i token per l'applicazione e distribuire le risorse su Azure.
   • Kubernetes che accede alle risorse di Azure per configurare un account del servizio Kubernetes per ottenere i token per l'applicazione e accedere alle risorse di Azure.
   • Altro emittente per configurare l'applicazione affinché si possa fidarsi di un'identità gestita o di un'identità gestita da un provider OpenID Connect esterno per ottenere token per l'applicazione e accedere alle risorse di Azure.

Per altre informazioni su come ottenere un token di accesso con credenziali federate, vedere Microsoft Identity Platform e il flusso di credenziali client OAuth 2.0.

Passaggio successivo

Esporre un'API Web

Dopo aver registrato un'app, è possibile configurarla per esporre un'API Web. Per informazioni su come, fare riferimento a;

Configurare un'applicazione per esporre un'API Web

Esplorare il codice di esempio

Microsoft Identity Platform offre un'ampia gamma di esempi di codice personalizzati per diversi tipi di applicazioni e piattaforme. Per esplorare questi esempi, fare riferimento a;

Esempi di codice per Microsoft Identity Platform