Aggiungere e gestire le credenziali dell'applicazione in Microsoft Entra ID

A volte chiamata chiave pubblica, un certificato è il tipo di credenziale consigliato perché sono considerati più sicuri rispetto ai segreti client.

1. Nell'interfaccia di amministrazione di Microsoft Entra, in Registrazioni app selezionare l'applicazione.

2. Selezionare Certificati e segreti>Certificati>Carica certificato.

3. Selezionare i file che si vogliono caricare. Il tipo di file deve essere uno dei seguenti: .cer, .pem, .crt.

4. Seleziona Aggiungi.

5. Registrare l' impronta digitale del certificato da usare nel codice dell'applicazione client.

   

A volte chiamata password dell'applicazione, un segreto client è un valore stringa che l'app può usare al posto di un certificato per identificarsi.

I segreti client sono meno sicuri delle credenziali federate o del certificato e pertanto non devono essere usati negli ambienti di produzione. Anche se possono essere utili per lo sviluppo di app locali, è fondamentale usare credenziali federate o certificati per qualsiasi applicazione in esecuzione nell'ambiente di produzione per garantire una maggiore sicurezza.

1. Nell'interfaccia di amministrazione di Microsoft Entra, in Registrazioni app selezionare l'applicazione.

2. Selezionare Certificati e segreti>Segreti client>Nuovo segreto client.

3. Aggiungi una descrizione per il segreto del cliente.

4. Selezionare una scadenza per il segreto o specificare una durata personalizzata.

   • La durata del segreto client è limitata a due anni (24 mesi) o meno. Non è possibile specificare una durata personalizzata di più di 24 mesi.
   • Microsoft consiglia di impostare un valore di scadenza inferiore a 12 mesi.

5. Seleziona Aggiungi.

6. Registrare il valore del segreto del client da usare nel codice dell'applicazione client. Questo valore del segreto non viene mai più visualizzato dopo aver lasciato questa pagina.

   

Le credenziali di identità federate sono un tipo di credenziale che consente ai carichi di lavoro, come GitHub Actions, carichi in esecuzione su Kubernetes o su piattaforme di calcolo esterne ad Azure, di accedere alle risorse protette di Microsoft Entra senza dover gestire segreti, utilizzando la federazione delle identità del carico di lavoro.

Per aggiungere una credenziale federata, seguire questa procedura:

1. Nell'interfaccia di amministrazione di Microsoft Entra, in Registrazioni app selezionare l'applicazione.

2. Selezionare Certificati e segreti>Credenziali federate>Aggiungi credenziali.

   

3. Nella casella di riepilogo a discesa Scenario delle credenziali federate selezionare uno degli scenari supportati e seguire le indicazioni corrispondenti per completare la configurazione.

   • Chiavi gestite dal cliente per crittografare i dati nel tenant usando Azure Key Vault in un altro tenant.
   • GitHub Actions che distribuiscono risorse Azure per configurare un flusso di lavoro GitHub, ottenere i token per l'applicazione e distribuire le risorse su Azure.
   • Kubernetes che accede alle risorse di Azure per configurare un account del servizio Kubernetes per ottenere i token per l'applicazione e accedere alle risorse di Azure.
   • Altro emittente per configurare l'applicazione affinché si possa fidarsi di un'identità gestita o di un'identità gestita da un provider OpenID Connect esterno per ottenere token per l'applicazione e accedere alle risorse di Azure.

Per altre informazioni su come ottenere un token di accesso con credenziali federate, vedere Microsoft Identity Platform e il flusso di credenziali client OAuth 2.0.