Objetos de aplicação e de principal de serviço no Microsoft Entra ID
Este artigo descreve o registro de aplicativos, objetos de aplicativo e entidades de serviço no Microsoft Entra ID, o que são, como são usados e como estão relacionados entre si. Um cenário de exemplo multilocatário também é apresentado para ilustrar a relação entre o objeto de aplicativo de um aplicativo e os objetos de entidade de serviço correspondentes.
Registo de aplicação
Para delegar funções de gestão de identidades e acessos ao Microsoft Entra ID, uma aplicação tem de ser registada num inquilino do Microsoft Entra. Ao registrar seu aplicativo com o Microsoft Entra ID, você está criando uma configuração de identidade para seu aplicativo que permite que ele se integre ao Microsoft Entra ID. Ao registrar um aplicativo, você escolhe se é um único locatário ou multilocatário e, opcionalmente, pode definir um URI de redirecionamento. Para obter instruções passo a passo sobre como registrar um aplicativo, consulte o início rápido de registro do aplicativo.
Depois de concluir o registro do aplicativo, você terá uma instância globalmente exclusiva do aplicativo (o objeto do aplicativo) que reside em seu locatário ou diretório residencial. Você também tem uma ID globalmente exclusiva para seu aplicativo (a ID do aplicativo/cliente). Você pode adicionar segredos ou certificados e escopos para fazer seu aplicativo funcionar, personalizar a identidade visual do seu aplicativo na caixa de diálogo de entrada e muito mais.
Se você registrar um aplicativo, um objeto de aplicativo e um objeto de entidade de serviço serão criados automaticamente em seu locatário residencial. Se você registrar/criar um aplicativo usando as APIs do Microsoft Graph, a criação do objeto principal de serviço será uma etapa separada.
Objeto do aplicativo
Um aplicativo Microsoft Entra é definido por seu único objeto de aplicativo, que reside no locatário do Microsoft Entra onde o aplicativo foi registrado (conhecido como locatário "home" do aplicativo). Um objeto de aplicativo é usado como um modelo ou esquema para criar um ou mais objetos de entidade de serviço. Uma entidade de serviço é criada em cada locatário onde o aplicativo é usado. Semelhante a uma classe na programação orientada a objetos, o objeto de aplicativo tem algumas propriedades estáticas que são aplicadas a todas as entidades de serviço criadas (ou instâncias de aplicativo).
O objeto de aplicativo descreve três aspetos de um aplicativo:
- Como o serviço pode emitir tokens para acessar o aplicativo
- Os recursos que o aplicativo pode precisar acessar
- As ações que o aplicativo pode executar
Você pode usar a página Registros de aplicativos no centro de administração do Microsoft Entra para listar e gerenciar os objetos do aplicativo em seu locatário doméstico.
A entidade Aplicativo do Microsoft Graph define o esquema para as propriedades de um objeto de aplicativo.
Objeto principal do serviço
Para acessar recursos protegidos por um locatário do Microsoft Entra, a entidade que requer acesso deve ser representada por uma entidade de segurança. Esse requisito é válido tanto para usuários (entidade de usuário) quanto para aplicativos (entidade de serviço). A entidade de segurança define a política de acesso e as permissões para o usuário/aplicativo no locatário do Microsoft Entra. Isso permite recursos principais, como autenticação do usuário/aplicativo durante o login e autorização durante o acesso a recursos.
Existem três tipos de entidade de serviço:
Aplicativo - Este tipo de entidade de serviço é a representação local, ou instância de aplicativo, de um objeto de aplicativo global em um único locatário ou diretório. Nesse caso, uma entidade de serviço é uma instância concreta criada a partir do objeto de aplicativo e herda determinadas propriedades desse objeto de aplicativo. Uma entidade de serviço é criada em cada locatário onde o aplicativo é usado e faz referência ao objeto de aplicativo globalmente exclusivo. O objeto principal de serviço define o que o aplicativo pode realmente fazer no locatário específico, quem pode acessar o aplicativo e quais recursos o aplicativo pode acessar.
Quando um aplicativo recebe permissão para acessar recursos em um locatário (mediante registro ou consentimento), um objeto principal de serviço é criado. Quando você registra um aplicativo, uma entidade de serviço é criada automaticamente. Você também pode criar objetos de entidade de serviço em um locatário usando o Azure PowerShell, a CLI do Azure, o Microsoft Graph e outras ferramentas.
Identidade gerenciada - Esse tipo de entidade de serviço é usado para representar uma identidade gerenciada. As identidades geridas eliminam a necessidade de os programadores gerirem as credenciais. As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra. Quando uma identidade gerenciada é habilitada, uma entidade de serviço que representa essa identidade gerenciada é criada em seu locatário. As entidades de serviço que representam identidades gerenciadas podem receber acesso e permissões, mas não podem ser atualizadas ou modificadas diretamente.
Legado - Esse tipo de entidade de serviço representa um aplicativo herdado, que é um aplicativo criado antes que os registros de aplicativo sejam introduzidos ou um aplicativo criado por meio de experiências herdadas. Uma entidade de serviço herdada pode ter credenciais, nomes de entidade de serviço, URLs de resposta e outras propriedades que um usuário autorizado pode editar, mas não tem um registro de aplicativo associado. A entidade de serviço só pode ser usada no locatário onde foi criada.
A entidade ServicePrincipal do Microsoft Graph define o esquema para as propriedades de um objeto principal de serviço.
Você pode usar a página Aplicativos corporativos no centro de administração do Microsoft Entra para listar e gerenciar as entidades de serviço em um locatário. Você pode ver as permissões da entidade de serviço, as permissões consentidas pelo usuário, quais usuários fizeram esse consentimento, informações de login e muito mais.
Relação entre objetos de aplicativo e entidades de serviço
O objeto de aplicativo é a representação global do seu aplicativo para uso em todos os locatários, e a entidade de serviço é a representação local para uso em um locatário específico. O objeto de aplicativo serve como o modelo do qual as propriedades comuns e padrão são derivadas para uso na criação de objetos de entidade de serviço correspondentes.
Um objeto de aplicativo tem:
- Uma relação um-para-um com a aplicação de software, e
- Uma relação um-para-muitos com o(s) objeto(s) principal(is) de serviço correspondente(s)
É necessário criar um principal de serviço para cada inquilino em que a aplicação é utilizada, o que permite estabelecer uma identidade para iniciar sessão e/ou aceder a recursos protegidos pelo inquilino. Um aplicativo de locatário único tem apenas uma entidade de serviço (em seu locatário doméstico), criada e consentida para uso durante o registro do aplicativo. Um aplicativo multilocatário também tem uma entidade de serviço criada em cada locatário em que um usuário desse locatário consentiu com seu uso.
Listar entidades de serviço associadas a um aplicativo
Você pode encontrar as entidades de serviço associadas a um objeto de aplicativo.
No centro de administração do Microsoft Entra, navegue até a visão geral do registro do aplicativo. Selecione Aplicativo gerenciado no diretório local.
Consequências da modificação e exclusão de aplicativos
Quaisquer alterações feitas no objeto do aplicativo também são refletidas em seu objeto principal de serviço somente no locatário inicial do aplicativo (o locatário onde ele foi registrado). Isso significa que excluir um objeto de aplicativo também excluirá seu objeto principal de serviço de locatário doméstico. No entanto, restaurar esse objeto de aplicativo por meio da interface do usuário de registros de aplicativo não restaurará sua entidade de serviço correspondente. Para obter mais informações sobre exclusão e recuperação de aplicativos e seus objetos de entidade de serviço, consulte Excluir e recuperar aplicativos e objetos de entidade de serviço.
Exemplo
O diagrama a seguir ilustra a relação entre o objeto de aplicativo de um aplicativo e os objetos de entidade de serviço correspondentes no contexto de um aplicativo multilocatário de exemplo chamado aplicativo HR. Há três locatários do Microsoft Entra neste cenário de exemplo:
- Adatum - O inquilino utilizado pela empresa que desenvolveu o aplicativo de RH
- Contoso - O locatário usado pela organização da Contoso, que é um consumidor do aplicativo de RH
- Fabrikam - O locatário usado pela organização da Fabrikam, que também consome o aplicativo de RH
Neste cenário de exemplo:
| Passo | Description |
|---|---|
| 5 | O processo de criação dos objetos principais do aplicativo e do serviço no locatário inicial do aplicativo. |
| 2 | Quando os administradores da Contoso e da Fabrikam concluem o consentimento, um objeto principal de serviço é criado no locatário do Microsoft Entra de sua empresa e recebe as permissões concedidas pelo administrador. Observe também que o aplicativo de RH pode ser configurado/projetado para permitir o consentimento dos usuários para uso individual. |
| 3 | Os locatários consumidores do aplicativo HR (Contoso e Fabrikam) têm cada um seu próprio objeto principal de serviço. Cada um representa o uso de uma instância do aplicativo em tempo de execução, regido pelas permissões consentidas pelo respetivo administrador. |
Próximos passos
Saiba como criar uma entidade de serviço:
- Utilizar o centro de administração do Microsoft Entra
- Utilizar o Azure PowerShell
- Utilizar a CLI do Azure
- Usando o Microsoft Graph e, em seguida, use o Microsoft Graph Explorer para consultar os objetos de entidade de aplicativo e serviço.