Configuración de la aplicación de pestaña en Microsoft Entra id.

Microsoft Entra id. proporciona acceso a la aplicación de pestaña en función de la identidad de Teams del usuario de la aplicación. Registre la aplicación de pestaña con Microsoft Entra identificador para que el usuario de la aplicación que ha iniciado sesión en Teams pueda tener acceso a la aplicación de pestaña.

Habilitación del inicio de sesión único en Microsoft Entra id.

El registro de la aplicación de pestaña en Microsoft Entra id. y su habilitación para SSO requiere realizar configuraciones de aplicación, como generar el identificador de aplicación, definir el ámbito de la API y autenticar previamente los identificadores de cliente para aplicaciones de confianza.

Cree un nuevo registro de aplicación en Microsoft Entra id. y exponga su API (web) mediante ámbitos (permisos). Configure una relación de confianza entre la API expuesta en Microsoft Entra id. y la aplicación. Permite al cliente de Teams obtener un token de acceso en nombre de la aplicación y del usuario que ha iniciado sesión. Puede agregar identificadores de cliente para las aplicaciones móviles, de escritorio y web de confianza que desea autorizar previamente.

También es posible que deba configurar otros detalles, como autenticar a los usuarios de la aplicación en la plataforma o el dispositivo en el que quiera dirigirse a la aplicación de pestaña.

Se admiten permisos de Graph API a nivel de usuario, es decir, correo electrónico, perfil, offline_access y OpenId. Si necesita acceso a otros ámbitos de Graph, como User.Read o Mail.Read, consulte Obtención de un token de acceso con permisos de Graph.

Microsoft Entra configuración habilita el inicio de sesión único para la aplicación de pestaña en Teams. Responde con un token de acceso para validar al usuario de la aplicación.

Antes de configurar la aplicación

Es útil si aprende sobre la configuración para registrar la aplicación en Microsoft Entra id. de antemano. Asegúrese de que se ha preparado para configurar los siguientes detalles antes de registrar la aplicación:

• Opciones únicas o multiinquilino: ¿se usará la aplicación solo en el inquilino de Microsoft 365 donde está registrada, o la usarán muchos inquilinos de Microsoft 365? Las aplicaciones escritas para una empresa suelen ser de un solo inquilino. Las aplicaciones escritas por un proveedor de software independiente y usadas por muchos clientes deben ser multiinquilino para que el inquilino de cada cliente pueda acceder a la aplicación.
• URI de id. de aplicación: es un URI único mundial que identifica la API web que expone para el acceso de la aplicación a través de ámbitos. También se conoce como un URI de identificador. El URI del identificador de aplicación incluye el identificador de la aplicación y el subdominio donde se hospeda la aplicación. El nombre de dominio de la aplicación y el nombre de dominio que registre para la aplicación Microsoft Entra deben ser los mismos. Actualmente, no se admiten varios dominios por aplicación.
• Ámbito: es el permiso que se puede conceder a un usuario de aplicación autorizado o a su aplicación para acceder a un recurso expuesto por la API.

Nota:

• Aplicaciones personalizadas creadas para su organización (aplicaciones LOB): las aplicaciones personalizadas creadas para su organización (aplicaciones LOB) son internas o específicas dentro de su organización o empresa. Su organización puede hacer que estas aplicaciones estén disponibles a través de Microsoft Store.
• A aplicaciones propiedad del Cliente: SSO también se admite para las aplicaciones propiedad del cliente dentro de los inquilinos de Azure AD B2C.

Para crear y configurar la aplicación en Microsoft Entra identificador para habilitar el inicio de sesión único:

• Configure el ámbito del token de acceso.
• Configure la versión del token de acceso.

Configuración de la aplicación en Microsoft Entra id.

Puede configurar la aplicación de pestaña en Microsoft Entra identificador para configurar el ámbito y los permisos para los tokens de acceso.

Registre la aplicación en Microsoft Entra id. y configure el inquilino y la plataforma de la aplicación, para poder habilitarla para el inicio de sesión único. Microsoft Entra id. genera un nuevo identificador de aplicación que debe tener en cuenta. Debe actualizarlo más adelante en el archivo de manifiesto de aplicación (anteriormente denominado manifiesto de aplicación de Teams).

Nota:

Microsoft Teams Toolkit registra la aplicación Microsoft Entra en un proyecto de SSO. Puede omitir esta sección si ha usado Teams Toolkit para crear la aplicación. Sin embargo, tendría que configurar los permisos y el ámbito, y confiar en las aplicaciones cliente.

Obtenga información sobre cómo registrar la aplicación en Microsoft Entra id.

Para registrar una nueva aplicación en Microsoft Entra id.

1. Abra el Azure Portal en el explorador web.

2. Seleccione el icono Registros de aplicaciones.

   

   Aparece la página Registros de aplicaciones.

3. Seleccione + Nuevo icono de registro..

   

   Aparece la página Registrar una aplicación.

4. Escriba el nombre de la aplicación que desea que se muestre al usuario de la aplicación. Puede cambiar el nombre en una fase posterior, si lo desea.

   

5. Seleccione el tipo de cuenta de usuario que puede acceder a su aplicación. Puede seleccionar entre opciones únicas o multiinquilino en directorios organizativos o restringir el acceso solo a cuentas personales de Microsoft.

   Opciones para tipos de cuenta admitidos

   Opción	Seleccione esta opción para...
   Solo cuentas en este directorio organizativo (solo Microsoft: inquilino único)	Compile una aplicación para que solo la usen los usuarios (o invitados) de su inquilino. A menudo denominada aplicación personalizada creada para su organización (aplicación LOB), esta aplicación es una aplicación de inquilino único en el Plataforma de identidad de Microsoft.
   Cuentas en cualquier directorio organizativo (cualquier inquilino de identificador de Microsoft Entra: multiinquilino)	Permitir que los usuarios de cualquier Microsoft Entra inquilino usen la aplicación. Esta opción es adecuada si, por ejemplo, está creando una aplicación SaaS y tiene previsto que esté disponible para varias organizaciones. Este tipo de aplicación se conoce como una aplicación multiinquilino en el Plataforma de identidad de Microsoft.
   Cuentas en cualquier directorio organizativo (cualquier inquilino de identificador de Microsoft Entra multiinquilino) y cuentas personales de Microsoft (por ejemplo, Skype, Xbox)	Dirigirse al conjunto más amplio de clientes. Al seleccionar esta opción, va a registrar una aplicación multiinquilino que puede admitir a los usuarios de la aplicación que también tienen cuentas personales de Microsoft.
   Solo cuentas personales de Microsoft	Cree una aplicación solo para los usuarios que tengan cuentas personales de Microsoft.

   Nota:

   No es necesario escribir el URI de redirección para habilitar el inicio de sesión único para una aplicación de pestaña.

6. Seleccione Registrar. Aparece un mensaje en el explorador que indica que se ha creado la aplicación.

   

   Se muestra la página con el identificador de la aplicación y otras configuraciones.

   

7. Tenga en cuenta y guarde el identificador de aplicación del identificador de aplicación (cliente) para actualizar el manifiesto de la aplicación más adelante.

   La aplicación está registrada en Microsoft Entra id. Ahora tiene el identificador de la aplicación para la aplicación de pestaña.

Configurar el ámbito para el token de acceso

Después de crear un nuevo registro de aplicación, configure las opciones de ámbito (permiso) para enviar token de acceso a Teams Client y autorizar aplicaciones cliente de confianza para habilitar SSO.

Para configurar el ámbito y autorizar aplicaciones cliente de confianza, necesita:

• Para exponer una API: configure las opciones de ámbito (permiso) para la aplicación. Exponga una API web y configure el URI del identificador de aplicación.
• Para configurar el ámbito de la API: defina el ámbito de la API y los usuarios que pueden dar su consentimiento para un ámbito. Solo puede permitir que los administradores den su consentimiento para permisos con privilegios superiores.
• Para configurar la aplicación cliente autorizada: cree identificadores de cliente autorizados para las aplicaciones que desea autenticar previamente. Permite al usuario de la aplicación acceder a los ámbitos de la aplicación (permisos) que ha configurado, sin necesidad de ningún consentimiento adicional. Autorice previamente solo las aplicaciones cliente en las que confíe, ya que los usuarios de la aplicación no tendrán la oportunidad de rechazar el consentimiento.

Para exponer una API

1. Seleccione Administrar>Exponer una API en el panel izquierdo.

   

   Aparece la página Exponer una API.

2. Seleccione Agregar para generar el URI del identificador de aplicación en forma de api://{AppID}.

   

   Aparece la sección para establecer el URI del ID de la aplicación.

3. Introduzca el URI del ID de la aplicación en el formato que se explica aquí.

   

   • El URI del identificador de aplicación se rellena previamente con el identificador de aplicación (GUID) en el formato api://{AppID}.
   • El formato uri del identificador de aplicación debe ser: api://fully-qualified-domain-name.com/{AppID}.
   • Inserte el fully-qualified-domain-name.com entre api:// y {AppID} (el cual es, GUID). Por ejemplo, api://example.com/{AppID}.

   donde,

   • fully-qualified-domain-name.com es el nombre de dominio legible por humanos desde el que se sirve la aplicación de pestañas. El nombre de dominio de la aplicación y el nombre de dominio que registre para la aplicación Microsoft Entra deben ser los mismos.

     Si está utilizando un servicio de tunelización, como ngrok, debe actualizar este valor cada vez que cambie el subdominio ngrok.

   • AppID es el identificador de aplicación (GUID) que se generó al registrar la aplicación. Puede verlo en la sección Información general.

   Importante

   • Información confidencial: el URI del identificador de aplicación se registra como parte del proceso de autenticación y no debe contener información confidencial.

   • URI de identificador de aplicación para la aplicación con varias funcionalidades: si va a compilar una aplicación con un bot, una extensión de mensajería y una pestaña, escriba el URI del identificador de aplicación como api://fully-qualified-domain-name.com/botid-{YourClientId}, donde {YourClientId} es el identificador de la aplicación de bot.

   • Formato para el nombre de dominio: use letras minúsculas para el nombre de dominio. No use mayúsculas.

     Por ejemplo, para crear una aplicación web o un servicio de aplicaciones con el nombre del recurso, demoapplication:

     Si el nombre del recurso base usado es	La dirección URL será...	El formato es compatible con...
     demoapplication	https://demoapplication.example.net	Todas las plataformas
     DemoApplication	https://DemoApplication.example.net	Solo para escritorio, web e iOS. No es compatible con Android.

     Use la opción en minúsculas demoapplication como nombre de recurso base.

4. Haga clic en Guardar.

   Aparece un mensaje en el explorador que indica que se ha actualizado el URI del identificador de aplicación.

   

   El URI del identificador de aplicación se muestra en la página.

   

5. Tenga en cuenta y guarde el URI del identificador de aplicación para actualizar el manifiesto de la aplicación más adelante.

Para configurar el ámbito de la API

1. Seleccione + Agregar un ámbito en la sección Ámbitos definidos por esta API.

   

   Aparece la página Agregar un ámbito.

2. Introduzca los detalles para configurar el ámbito.

   

   1. Introduzca el nombre del ámbito. Este campo es obligatorio.
   2. Seleccione el usuario que puede dar su consentimiento para este ámbito. La opción predeterminada es Solo administradores.
   3. Introduzca el nombre para mostrar del consentimiento del administrador. Este campo es obligatorio.
   4. Introduzca la descripción para el consentimiento del administrador. Este campo es obligatorio.
   5. Introduzca el nombre para mostrar del consentimiento del usuario.
   6. Introduzca la descripción del consentimiento del usuario.
   7. Seleccione la opción Habilitado para el estado.
   8. Seleccione Agregar ámbito.

   Aparece un mensaje en el explorador que indica que se ha agregado el ámbito.

   

   El nuevo ámbito definido se muestra en la página.

   

Para configurar la aplicación cliente autorizada

1. Desplácese por la página Exponer una API hasta la sección Aplicación cliente autorizada, y seleccione + Agregar una aplicación cliente.

   

   Aparece la página Agregar una aplicación cliente.

2. Escriba el identificador de cliente de Microsoft 365 adecuado para las aplicaciones que desea autorizar para la aplicación web de la aplicación.

   

   Nota:

   • Los identificadores de cliente de Microsoft 365 para aplicaciones móviles, de escritorio y web para Teams, la aplicación de Microsoft 365 y Outlook son los identificadores reales que debe agregar.
   • Para una aplicación de pestaña de Teams, necesita Web o SPA, ya que no puede tener una aplicación cliente de escritorio o móvil en Teams.

   1. Seleccione uno de los siguientes identificadores de cliente:

      Usar Id. de cliente	Para autorizar...
      1fec8e78-bli4-4aaf-ab1b-5451cc387264	Aplicación móvil o de escritorio de Teams
      5e3ce6c0-2b1f-4285-8d4b-75ee78787346	Aplicación web de Teams
      4765445b-32c6-49b0-83e6-1d93765276ca	Aplicación web de Microsoft 365
      0ec893e0-5785-4de6-99da-4ed124e5296c	Aplicación de escritorio de Microsoft 365
      d3590ed6-52b3-4102-aeff-aad2292ab01c	Aplicación móvil de Microsoft 365
      d3590ed6-52b3-4102-aeff-aad2292ab01c	Aplicación de escritorio de Outlook
      bc59ab01-8403-45c6-8796-ac3ef710b3e3	Aplicación web de Outlook
      27922004-5251-4030-b22d-91ecd9a37ea4	Aplicación móvil de Outlook

   2. Seleccione el URI de identificador de aplicación que creó para la aplicación en Ámbitos autorizados para agregar el ámbito a la API web que ha expuesto.

   3. Seleccione Agregar aplicación.

      Aparece un mensaje en el explorador que indica que se ha agregado la aplicación cliente autorizada.

      

      El identificador de cliente de la aplicación autorizada se muestra en la página.

      

Nota:

Puede autorizar más de una aplicación cliente. Repita los pasos de este procedimiento para configurar otra aplicación cliente autorizada.

Ha configurado correctamente el ámbito de la aplicación, los permisos y las aplicaciones cliente. Asegúrese de anotar y guardar el URI del identificador de aplicación. A continuación, configure la versión del token de acceso.

Configuración de la versión del token de acceso

Debe definir la versión del token de acceso para la aplicación. Esta configuración se realiza en el manifiesto de aplicación de Microsoft Entra.

Para definir la versión del token de acceso

1. Seleccione Administrar>manifiesto en el panel izquierdo.

   

   Aparece el manifiesto de aplicación de Microsoft Entra.

2. Introduzca 2 como valor de la accessTokenAcceptedVersion propiedad.

   Nota:

   Si ha seleccionado Solo cuentas personales de Microsoft o Cuentas en cualquier directorio organizativo (cualquier directorio Microsoft Entra : multiinquilino) y cuentas personales de Microsoft (por ejemplo, Skype y Xbox) durante el registro de la aplicación, actualice el valor de la accessTokenAcceptedVersion propiedad como 2.

   

3. Seleccione Guardar.

   Aparece un mensaje en el explorador que indica que el manifiesto de la aplicación se actualizó correctamente.

   

¡Enhorabuena! Ha completado la configuración de la aplicación en Microsoft Entra identificador necesario para habilitar el inicio de sesión único para la aplicación de pestaña.

Paso siguiente

Configurar el código para habilitar el SSO

Recursos adicionales

• Inquilino en Microsoft Entra id.
• Extender la aplicación de pestañas con permisos y ámbito de Microsoft Graph
• Inicio rápido: Registrar una aplicación con la Plataforma de identidad de Microsoft
• Guía de inicio rápido: Configuración de una aplicación para exponer una API web
• Flujo de código de autorización de OAuth 2.0