Inicio rápido: Registro de una aplicación en la plataforma de identidad de Microsoft

En este inicio rápido, va a registrar una aplicación en Azure Portal con el fin de que la plataforma de identidad de Microsoft pueda proporcionar servicios de autenticación y autorización para la aplicación y sus usuarios.

La plataforma de identidad de Microsoft realiza la administración de identidades y acceso (IAM) solo para las aplicaciones registradas. Tanto si se trata de una aplicación cliente (por ejemplo, móvil o web) como de una API web que respalda una aplicación cliente, al registrarlas se establece una relación de confianza entre la aplicación y el proveedor de identidades, es decir, la plataforma de identidad de Microsoft.

Sugerencia

Para registrar una aplicación en Azure AD B2C, siga los pasos que se indican en Tutorial: Registro de una aplicación web en Azure AD B2C.

Requisitos previos

Registro de una aplicación

El registro de la aplicación establece una relación de confianza entre la aplicación y la plataforma de identidad de Microsoft. La confianza es unidireccional: la aplicación confía en la plataforma de identidad de Microsoft y no al revés.

Siga estos pasos para crear el registro de la aplicación:

  1. Inicie sesión en Azure Portal.

  2. Si tiene acceso a varios inquilinos, use el filtro Directorios y suscripciones del menú superior para ir al inquilino en el que quiere registrar la aplicación.

  3. Busque y seleccione Azure Active Directory.

  4. En Administrar, seleccione Registros de aplicaciones > y, luego, Nuevo registro.

  5. Escriba un Nombre para mostrar para la aplicación. Los usuarios de la aplicación pueden ver el nombre para mostrar cuando usan la aplicación, por ejemplo, durante el inicio de sesión. Puede cambiar el nombre para mostrar en cualquier momento y varios registros de aplicaciones pueden compartir el mismo nombre. El identificador de la aplicación (cliente) generado automáticamente del registro de la aplicación, y no su nombre para mostrar, identifica de forma única la aplicación en la plataforma de identidades.

  6. Especifique qué personas pueden usar la aplicación. A veces, se conoce a estas personas como público de inicio de sesión.

    Tipos de cuenta admitidos Descripción
    Solo las cuentas de este directorio organizativo Seleccione esta opción si va a desarrollar una aplicación para que la utilicen usuarios (o invitados) de su inquilino.

    A menudo denominada aplicación de línea de negocio, se trata de una aplicación de un solo inquilino en la plataforma de identidad de Microsoft.
    Cuentas en cualquier directorio organizativo Seleccione esta opción si desea que los usuarios de cualquier inquilino de Azure Active Directory (Azure AD) pueda usar la aplicación. Esta opción es adecuada si, por ejemplo, va a desarrollar una aplicación de software como servicio (SaaS) que desea proporcionar a varias organizaciones.

    Este tipo de aplicación se denomina multiinquilino en la plataforma de identidad de Microsoft.
    Cuentas en cualquier directorio organizativo y cuentas Microsoft personales Seleccione esta opción para establecer como destino el mayor conjunto posible de clientes.

    Al seleccionar esta opción, estará registrando una aplicación multiinquilino que también admite usuarios con cuentas personales de Microsoft.
    Cuentas personales de Microsoft Seleccione esta opción si va a crear una aplicación solo para usuarios con cuentas personales de Microsoft. Las cuentas personales de Microsoft abarcan las cuentas de Skype, Xbox, Live y Hotmail.
  7. No escriba nada en URI de redirección (opcional) . Configurará un URI de redirección en la sección siguiente.

  8. Seleccione Registrar para completar el registro inicial de la aplicación.

    Captura de pantalla de Azure Portal en un explorador web que muestra el panel Registrar una aplicación .

Cuando finaliza el registro, en Azure Portal se muestra el panel Información general del registro de la aplicación. Verá el id. de aplicación (cliente) . Este valor, también conocido como Id. de cliente, identifica de forma única la aplicación en la plataforma de identidad de Microsoft.

Importante

De forma predeterminada, los nuevos registros de aplicaciones están ocultos a los usuarios. Cuando esté listo para que los usuarios puedan ver la aplicación en su página Mis aplicaciones, puede habilitarla. Para habilitar la aplicación, en Azure Portal vaya a Azure Active Directory > Aplicaciones empresariales y seleccione la aplicación. Después, en la página Propiedades, cambie ¿Es visible para los usuarios? a Sí.

El código de la aplicación, o lo que es más común, una biblioteca de autenticación que se usa en la aplicación, también se sirve del identificador de cliente. El identificador forma parte de la validación de los tokens de seguridad que recibe de la plataforma de identidad.

Captura de pantalla de Azure Portal en un explorador web que muestra el panel de información general del registro de una aplicación.

Incorporación de un URI de redirección

Un URI de redirección es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación.

En una aplicación web de producción, por ejemplo, el URI de redirección suele ser un punto de conexión público en el que se ejecuta la aplicación, por ejemplo, https://contoso.com/auth-response. Durante la fase de desarrollo, también es habitual incorporar el punto de conexión en el que se ejecuta la aplicación localmente, como https://127.0.0.1/auth-response o http://localhost/auth-response.

Para agregar y modificar los URI de redirección de las aplicaciones registradas, especifique los parámetros en Configuraciones de plataforma.

Configuración de los valores de plataforma

Los valores de cada tipo de aplicación, incluidos los URI de redirección, se especifican en Configuraciones de plataforma en Azure Portal. Algunas plataformas, como las de aplicaciones web y aplicaciones de página única, requieren que se especifique manualmente un URI de redirección. Para otras plataformas, como las de aplicaciones móviles y de escritorio, es posible elegir entre los URI de redirección que se generan automáticamente al configurar las demás opciones.

Para configurar los valores de la aplicación según la plataforma o el dispositivo de destino:

  1. En Azure Portal, seleccione la aplicación en Registros de aplicaciones.

  2. En Administrar, seleccione Autenticación.

  3. En Configuraciones de plataforma, seleccione Agregar una plataforma.

  4. En Configurar plataformas, seleccione el icono del tipo de aplicación (plataforma) para configurar los valores.

    Captura de pantalla del panel de configuración de la plataforma en Azure Portal.

    Plataforma Parámetros de configuración
    Web Escriba un URI de redirección para la aplicación. Este URI es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación.

    Seleccione esta plataforma para las aplicaciones web estándar que se ejecuten en un servidor.
    Aplicación de página única Escriba un URI de redirección para la aplicación. Este URI es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación.

    Seleccione esta plataforma si va a desarrollar una aplicación web del lado del cliente con JavaScript, o bien, con un marco como Angular, Vue.js, React.js o Blazor WebAssembly.
    iOS/macOS Escriba el ID de agrupación de la aplicación. Lo encontrará en Configuración de la compilación o, en Xcode, en Info.plist.

    Al especificar un ID de agrupación, se genera un URI de redirección.
    Android Escriba el valor en Nombre del paquete de la aplicación. Lo encontrará en el archivo AndroidManifest.xml. Además, genere y especifique el valor de Hash de firma.

    Al especificar estos valores, se genera un URI de redirección.
    Aplicaciones móviles y de escritorio Seleccione uno de los valores de URI de redirección sugeridos. O bien, especifique un valor para URI de redireccionamiento personalizado.

    En el caso de las aplicaciones de escritorio que usan el explorador insertado, se recomienda
    https://login.microsoftonline.com/common/oauth2/nativeclient

    En el caso de las aplicaciones de escritorio que usan el explorador del sistema, se recomienda
    http://localhost

    Seleccionar esta plataforma para las aplicaciones móviles que no utilicen la biblioteca de autenticación de Microsoft (MSAL) más reciente o que no usen un agente. Seleccione también esta plataforma para las aplicaciones de escritorio.
  5. Seleccione Configurar para completar la configuración de la plataforma.

Restricciones aplicables a los URI de redirección

Existen algunas restricciones con respecto al formato de los URI de redirección que se agregan al registro de una aplicación. Para más información sobre estas restricciones, consulte Restricciones y limitaciones del identificador URI de redirección (dirección URL de respuesta).

Adición de credenciales

Las credenciales se usan en las aplicaciones cliente confidenciales que acceden a una API web. Ejemplos de aplicaciones cliente confidenciales son, entre otras, las aplicaciones web, las API web o las aplicaciones demonio y de tipo servicio. Las credenciales permiten que la aplicación se autentique a sí misma, por lo que no se requiere la interacción del usuario en tiempo de ejecución.

Puede agregar certificados y secretos de cliente (una cadena) como credenciales al registro de la aplicación cliente confidencial.

Captura de pantalla de Azure Portal que muestra el panel de certificados y secretos durante el registro de una aplicación.

Incorporación de un certificado

Un certificado, que a veces se denomina clave pública, es el tipo de credencial recomendado porque se considera más seguro que los secretos de cliente. Para más información sobre el uso de un certificado como método de autenticación en la aplicación, consulte Credenciales de certificado para la autenticación de aplicaciones en la plataforma de identidad de Microsoft.

  1. En Azure Portal, seleccione la aplicación en Registros de aplicaciones.
  2. Seleccione Certificates & secrets (Certificados y secretos) > Certificados > Cargar certificado.
  3. Seleccione el archivo que quiere cargar. Debe ser uno de los siguientes tipos de archivo: .cer, .pem, .crt.
  4. Seleccione Agregar.

Agregar un secreto de cliente

El secreto de cliente, a veces denominado contraseña de aplicación, es un valor de cadena que la aplicación puede usar en lugar de un certificado a fin de identificarse.

Los secretos de cliente se consideran menos seguros que las credenciales de certificado. Los desarrolladores de aplicaciones a veces usan secretos de cliente durante el desarrollo de aplicaciones locales debido a su facilidad de uso. Sin embargo, debe usar credenciales de certificado para cualquier aplicación que se ejecute en producción.

  1. En Azure Portal, seleccione la aplicación en Registros de aplicaciones.
  2. Seleccione Certificates & secrets > Client secrets > New client secret (Certificados y secretos > Secretos de cliente > Nuevo secreto de cliente).
  3. Agregue una descripción para el secreto de cliente.
  4. Seleccione una expiración para el secreto o especifique una duración personalizada.
    • La duración del secreto de cliente se limita a dos años (24 meses) o menos. No se puede especificar una duración personalizada superior a 24 meses.
    • Microsoft recomienda establecer un valor de expiración de menos de 12 meses.
  5. Seleccione Agregar.
  6. Registre el valor del secreto para su uso en el código de la aplicación cliente. Este valor secreto no se volverá a mostrar una vez que abandone esta página.

Para obtener las recomendaciones de seguridad de aplicaciones, consulte Procedimientos recomendados y recomendaciones de la plataforma de identidad de Microsoft.

Pasos siguientes

Las aplicaciones cliente suelen necesitar acceso a los recursos de una API web. Puede proteger la aplicación cliente mediante la plataforma de identidad de Microsoft. También puede usar la plataforma para autorizar el acceso con permisos con ámbito a la API web.

Pase al siguiente inicio rápido de la serie con el fin de crear otro registro de aplicación para la API web y exponer sus ámbitos.