Esplorare le entità servizio
Per delegare le funzioni di gestione delle identità e degli accessi a Microsoft Entra ID è necessario che un'applicazione sia registrata con un tenant di Microsoft Entra. Quando si registra l'applicazione con Microsoft Entra ID, si crea una configurazione di identità per l'applicazione che ne consente l'integrazione con Microsoft Entra ID. Quando si registra un'app nel portale di Azure, è possibile scegliere se si tratta di:
- Tenant singolo: accessibile solo nel tenant
- Multi-tenant: accessibile in altri tenant
Se si registra un'applicazione nel portale, nel tenant principale vengono creati automaticamente un oggetto applicazione (l'istanza univoca globale dell'app) e un oggetto entità servizio. È anche disponibile un ID univoco globale per l'app (l'ID app o client). Nel portale è quindi possibile aggiungere segreti o certificati e ambiti per consentire all'app di funzionare, effettuare la personalizzazione dell'app nella finestra di dialogo di accesso e altro ancora.
Nota
È inoltre possibile creare oggetti entità servizio in un tenant usando Azure PowerShell, l'interfaccia della riga di comando di Azure, Microsoft Graph e altri strumenti.
Oggetto applicazione
Un'applicazione Microsoft Entra ha come ambito solo l'oggetto applicazione. Questo oggetto risiede nel tenant di Microsoft Entra in cui l'applicazione è stata registrata. Tale tenant è noto come tenant "home" dell'applicazione. Un oggetto applicazione viene usato come modello o come progetto per creare uno o più oggetti entità servizio. Viene creata un'entità servizio in ogni tenant in cui viene usata l'app. Analogamente a una classe della programmazione orientata agli oggetti, l'oggetto applicazione presenta alcune proprietà statiche che vengono applicate a tutte le entità servizio create (o istanze dell'applicazione).
L'oggetto applicazione descrive tre aspetti di un'applicazione:
- Come il servizio può emettere token per accedere all'applicazione.
- Risorse a cui potrebbe essere necessario accedere l'applicazione.
- Azioni che l'applicazione può eseguire.
L'entità applicazione di Microsoft Graph definisce lo schema per le proprietà di un oggetto applicazione.
Oggetto entità servizio
Per accedere alle risorse protette da un tenant di Microsoft Entra, l'entità che richiede l'accesso deve essere rappresentata da un'entità di sicurezza. Questo requisito è applicabile all'utente (entità utente) e alle applicazioni (entità servizio).
L'entità di sicurezza definisce i criteri di accesso e le autorizzazioni per l'utente/applicazione nel tenant di Microsoft Entra. Ciò abilita le funzionalità di base, ad esempio l'autenticazione dell'utente/applicazione durante l'accesso e l'autorizzazione durante l'accesso alle risorse.
Esistono tre tipi di entità servizio:
Applicazione - Questo tipo di entità servizio è la rappresentazione locale o l'istanza dell'applicazione di un oggetto applicazione globale in un singolo tenant o directory. In ogni tenant in cui viene usata l'applicazione viene creata un'entità servizio, che fa riferimento all'oggetto app univoco globale. L'oggetto entità servizio definisce il comportamento dell'app nello specifico tenant, ad esempio le risorse che accedono all'app e le risorse a cui l'app può accedere.
Identità gestita - Questo tipo di entità servizio viene usato per rappresentare un'identità gestita. Le identità gestite forniscono un'identità per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Quando un'identità gestita è abilitata, nel tenant viene creata un'entità servizio che rappresenta l'identità gestita. Alle entità servizio che rappresentano le identità gestite è possibile concedere accesso e autorizzazioni. Tuttavia, non possono essere aggiornate né modificate in modo diretto.
Legacy - Questo tipo di entità servizio rappresenta un'app legacy, ovvero un'app creata prima dell'introduzione delle registrazioni delle app o un'app creata tramite esperienze legacy. Un'entità servizio legacy può avere:
- credentials
- nomi di entità servizio
- URL di risposta
- e altre proprietà che un utente autorizzato può modificare, ma non ha una registrazione dell'app associata.
Relazione tra oggetti applicazione ed entità servizio
L'oggetto applicazione può essere considerato come la rappresentazione globaledell'applicazione per l'uso in tutti i tenant, mentre l'entità servizio costituisce la rappresentazione localeper l'uso in uno specifico tenant. L'oggetto applicazione funge da modello da cui derivano le proprietà comuni e predefinite per l'uso nella creazione di oggetti entità servizio corrispondenti.
In un oggetto applicazione si distingue:
- Una relazione 1:1 con l'applicazione software e
- Uno a molti rapporti con gli oggetti entità servizio corrispondenti.
In ogni tenant in cui viene usata l'applicazione è necessario creare un'entità servizio per stabilire un'identità per l'iscrizione e/o l'accesso alle risorse che venga protetta da un tenant. Un'applicazione single-tenant ha una sola entità servizio (nel relativo tenant principale), creata e autorizzata per essere usata durante la registrazione dell'applicazione. Un'applicazione multi-tenant ha anche un'entità servizio creata in ogni tenant in cui un utente di tale tenant ha acconsentito all'uso.