Registrar um aplicativo com a Microsoft Identity Platform

  • Artigo

Para que seu aplicativo use os recursos de IAM (gerenciamento de identidade e acesso) de Microsoft Entra ID, incluindo acessar recursos protegidos, você deve registrá-lo primeiro. Em seguida, o plataforma de identidade da Microsoft executa as funções IAM para os aplicativos registrados. Este artigo mostra como registrar um aplicativo Web no centro de administração do Microsoft Entra. Você pode saber mais sobre os tipos de aplicativo que pode registrar no plataforma de identidade da Microsoft.

Dica

Para registrar um aplicativo para Azure AD B2C, siga as etapas no Tutorial: Registrar um aplicativo Web no Azure AD B2C.

Pré-requisitos

Registrar um aplicativo

Registrar seu aplicativo estabelece uma relação de confiança entre seu aplicativo e o plataforma de identidade da Microsoft. A confiança é unidirecional: seu aplicativo confia no plataforma de identidade da Microsoft e não no contrário. Depois de criado, o objeto de aplicativo não pode ser movido entre locatários diferentes.

  1. Entre no Centro de administração do Microsoft Entra.

  2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o locatário no qual deseja registrar o aplicativo no menu Diretórios + assinaturas .

  3. Navegue atéAplicativos> de Identidade>Registros de aplicativo e selecione Novo registro.

  4. Insira um nome de exibição para seu aplicativo.

  5. Especifique quem pode usar o aplicativo na seção Tipos de conta com suporte .

    Tipos de conta com suporte Descrição
    Contas apenas neste diretório organizacional Selecione essa opção se você estiver criando um aplicativo para uso somente por usuários (ou convidados) em seu locatário.

    Geralmente chamado de aplicativo LOB (linha de negócios), esse aplicativo é um aplicativo de locatário único no plataforma de identidade da Microsoft.
    Contas em qualquer diretório organizacional Selecione essa opção se desejar que os usuários em qualquer locatário Microsoft Entra possam usar seu aplicativo. Essa opção será apropriada se, por exemplo, você estiver criando um aplicativo SaaS (software como serviço) que você pretende fornecer a várias organizações.

    Esse tipo de aplicativo é conhecido como um aplicativo multilocatário no plataforma de identidade da Microsoft.
    Contas em qualquer diretório organizacional e contas pessoais da Microsoft Selecione essa opção para direcionar ao conjunto mais amplo de clientes.

    Ao selecionar essa opção, você está registrando um aplicativo multilocatário que também pode dar suporte a usuários que têm contas pessoais da Microsoft. As contas pessoais da Microsoft incluem contas do Skype, Xbox, Live e Hotmail.
    Contas pessoais da Microsoft Selecione essa opção se você estiver criando um aplicativo apenas para usuários que têm contas pessoais da Microsoft. As contas pessoais da Microsoft incluem contas do Skype, Xbox, Live e Hotmail.

  6. Não insira nada para o URI de redirecionamento (opcional). Você configurará um URI de redirecionamento na próxima seção.

  7. Selecione Registrar para concluir o registro inicial do aplicativo.

    Captura de tela do centro de administração do Microsoft Entra, mostrando o painel Registrar um aplicativo.

Quando o registro é concluído, o centro de administração do Microsoft Entra exibe o painel Visão geral do registro do aplicativo. Nesta página, o aplicativo recebeu valores para:

  • ID do aplicativo (cliente) que identifica exclusivamente seu aplicativo no ecossistema de nuvem da Microsoft, em todos os locatários.
  • ID do objeto que identifica exclusivamente seu aplicativo em seu locatário.

Captura de tela do centro de administração do Microsoft Entra em um navegador da Web, mostrando o painel Visão geral de um registro de aplicativo.

Configurar configurações de plataforma

As configurações da plataforma incluem URIs de redirecionamento, configurações de autenticação específicas ou campos específicos para a plataforma do aplicativo, por exemplo, aplicativos web e de página única.

  1. Em Gerenciar, selecione Autenticação.

  2. Em Configurações de plataforma, selecione Adicionar uma plataforma.

  3. Em Configurar plataformas, selecione o bloco do tipo de aplicativo (plataforma) para configurar suas configurações.

    Captura de tela do painel de configuração da plataforma no centro de administração do Microsoft Entra.

    Plataforma Opção Configurações
    Web Insira um URI de redirecionamento para seu aplicativo. Essa URI é o local em que a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

    Você também pode configurar a URL de logon do front-channel e as propriedades de concessão implícita e fluxos híbridos .

    Selecione esta plataforma para aplicativos Web padrão que são executados em um servidor.
    Aplicativo de página única Insira um URI de redirecionamento para seu aplicativo. Essa URI é o local em que a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

    Você também pode configurar a URL de logon do front-channel e as propriedades de concessão implícita e fluxos híbridos .

    Selecione essa plataforma se você estiver criando um aplicativo Web do lado do cliente usando o JavaScript ou uma estrutura como Angular, Vue.js, React.js ou Blazor WebAssembly.
    iOS/macOS Insira a ID do pacote do aplicativo. Localize-o em Configurações de Build ou em Xcode no Info.plist.

    Um URI de redirecionamento é gerado para você quando você especifica uma ID do Pacote.
    Android Insira o nome do pacote do aplicativo. Encontre-o no arquivo AndroidManifest.xml . Também gere e insira o hash De assinatura.

    Um URI de redirecionamento é gerado para você quando você especifica essas configurações.
    Aplicativos móveis e desktop Selecione uma das URIs de Redirecionamento sugeridas. Ou especifique em ou mais URIs de redirecionamento personalizadas.

    Para aplicativos de área de trabalho usando o navegador inserido, recomendamos
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Para aplicativos de área de trabalho usando o navegador do sistema, recomendamos
    http://localhost

    Selecione essa plataforma para aplicativos móveis que não estão usando a MSAL (Biblioteca de Autenticação da Microsoft) mais recente ou não estão usando um agente. Selecione também essa plataforma para aplicativos de área de trabalho.

  4. Selecione Configurar para concluir a configuração da plataforma.

Restrições de URI de redirecionamento

Há algumas restrições no formato das URIs de redirecionamento que você adiciona a um registro de aplicativo. Para obter detalhes sobre essas restrições, consulte Restrições e limitações de URI de redirecionamento (URL de resposta).

Adicionar credenciais

As credenciais são usadas por aplicativos cliente confidenciais que acessam uma API Web. Exemplos de clientes confidenciais são aplicativos Web, outras APIs Web ou aplicativos do tipo de serviço e do tipo daemon. As credenciais permitem que seu aplicativo se autentique como ele mesmo, não exigindo nenhuma interação de um usuário no runtime.

Você pode adicionar certificados, segredos do cliente (uma cadeia de caracteres ou senha) ou credenciais federadas como credenciais ao seu registro confidencial do aplicativo cliente.

Captura de tela do centro de administração do Microsoft Entra, mostrando o painel Certificados e segredos em um registro de aplicativo.

Opção 1: Adicionar um certificado

Às vezes chamado de chave pública, um certificado é o tipo de credencial recomendado porque eles são considerados mais seguros do que os segredos do cliente. Para obter mais informações sobre como usar um certificado como método de autenticação em seu aplicativo, consulte plataforma de identidade da Microsoft credenciais de certificado de autenticação de aplicativo.

  1. Selecione Certificados & segredos>Certificados>Carregar certificado.
  2. Selecione o arquivo que você deseja carregar. Ele deve ser um dos seguintes tipos de arquivo: .cer, .pem, .crt.
  3. Selecione Adicionar.

Opção 2: adicionar um segredo do cliente

Às vezes chamado de senha de aplicativo, um segredo do cliente é um valor de cadeia de caracteres que seu aplicativo pode usar no lugar de um certificado para se identificar.

Os segredos do cliente são considerados menos seguros do que as credenciais de certificado. Os desenvolvedores de aplicativos às vezes usam segredos do cliente durante o desenvolvimento de aplicativos locais devido à facilidade de uso. No entanto, você deve usar credenciais de certificado ou credenciais federadas para aplicativos em execução em produção.

  1. Selecione Certificados & segredos>do cliente>Novo segredo do cliente.
  2. Adicione uma descrição para o segredo do cliente.
  3. Selecione uma expiração para o segredo ou especifique um tempo de vida personalizado.
    • O tempo de vida do segredo do cliente é limitado a dois anos (24 meses) ou menos. Você não pode especificar uma vida útil personalizada com mais de 24 meses.
    • A Microsoft recomenda que você defina um valor de expiração inferior a 12 meses.
  4. Selecione Adicionar.
  5. Registre o valor do segredo para uso no código do aplicativo cliente. Esse valor secreto nunca será exibido novamente depois que você sair desta página.

Para obter recomendações de segurança do aplicativo, consulte plataforma de identidade da Microsoft melhores práticas e recomendações.

Se você estiver usando uma conexão de serviço do Azure DevOps que cria automaticamente uma entidade de serviço, é necessário atualizar o segredo do cliente do site do portal do Azure DevOps em vez de atualizar diretamente o segredo do cliente. Consulte este documento sobre como atualizar o segredo do cliente do site do portal do Azure DevOps: solucionar problemas das conexões de serviço do Azure Resource Manager.

Opção 3: adicionar uma credencial federada

As credenciais federadas são um tipo de credencial que permite que cargas de trabalho, como GitHub Actions, cargas de trabalho em execução no Kubernetes ou cargas de trabalho em execução em plataformas de computação fora do Azure, acessem recursos protegidos por Microsoft Entra ID sem a necessidade de gerenciar segredos. As credenciais federadas usam a federação de identidade de carga de trabalho.

Para adicionar uma credencial federada, siga estas etapas:

  1. Selecione Certificados & segredos> Credenciais >federadasAdicionar credencial.

  2. Na caixa suspensa Cenário de credencial federado , selecione um dos cenários com suporte e siga as diretrizes correspondentes para concluir a configuração.

    • Chaves gerenciadas pelo cliente para criptografar dados em seu locatário usando o Azure Key Vault em outro locatário.
    • As ações do GitHub implantando recursos do Azure para configurar um fluxo de trabalho do GitHub para obter tokens para seu aplicativo e implantar ativos no Azure.
    • Kubernetes acessando recursos do Azure para configurar uma conta de serviço do Kubernetes para obter tokens para seu aplicativo e acessar recursos do Azure.
    • Outro emissor para configurar uma identidade gerenciada por um provedor externo do OpenID Connect para obter tokens para seu aplicativo e acessar recursos do Azure.

Para obter mais informações sobre como obter um token de acesso com uma credencial federada, consulte plataforma de identidade da Microsoft e o fluxo de credenciais de cliente do OAuth 2.0.

Outros recursos

Próxima etapa

Usar o aplicativo para obter acesso em nome de um usuário ou Obter acesso sem um usuário