Início Rápido: Registar uma aplicação na plataforma de identidade da Microsoft

  • Artigo

Comece com a plataforma de identidades da Microsoft ao registar uma aplicação no portal do Azure.

A plataforma de identidade da Microsoft executa o gerenciamento de identidade e acesso (IAM) somente para aplicativos registrados. Seja um aplicativo cliente, como um aplicativo Web ou móvel, ou uma API da Web que apoia um aplicativo cliente, registrá-lo estabelece uma relação de confiança entre seu aplicativo e o provedor de identidade, a plataforma de identidade da Microsoft.

Gorjeta

Para registrar um aplicativo para o Azure AD B2C, siga as etapas em Tutorial: Registrar um aplicativo Web no Azure AD B2C.

Pré-requisitos

Registar uma aplicação

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Registrar seu aplicativo estabelece uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft. A confiança é unidirecional: seu aplicativo confia na plataforma de identidade da Microsoft, e não o contrário. Uma vez criado, o objeto do aplicativo não pode ser movido entre locatários diferentes.

Siga estas etapas para criar o registro do aplicativo:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o locatário no qual deseja registrar o aplicativo no menu Diretórios + assinaturas.

  3. Navegue até Registros de aplicativos de identidade>>e selecione Novo registro.

  4. Insira um Nome de exibição para seu aplicativo. Os usuários do seu aplicativo podem ver o nome para exibição quando usam o aplicativo, por exemplo, durante o login. Você pode alterar o nome para exibição a qualquer momento e vários registros de aplicativos podem compartilhar o mesmo nome. A ID do aplicativo (cliente) gerada automaticamente pelo registro do aplicativo, e não seu nome para exibição, identifica exclusivamente seu aplicativo dentro da plataforma de identidade.

  5. Especifique quem pode usar o aplicativo, às vezes chamado de audiência de entrada.

    Tipos de conta suportados Description
    Contas apenas neste diretório organizacional Selecione esta opção se estiver a criar uma aplicação para utilização apenas por utilizadores (ou convidados) no seu inquilino.

    Muitas vezes chamado de aplicativo de linha de negócios (LOB), esse aplicativo é um aplicativo de locatário único na plataforma de identidade da Microsoft.
    Contas em qualquer diretório organizacional Selecione essa opção se quiser que os usuários em qualquer locatário do Microsoft Entra possam usar seu aplicativo. Essa opção é apropriada se, por exemplo, você estiver criando um aplicativo SaaS (software como serviço) que pretende fornecer a várias organizações.

    Esse tipo de aplicativo é conhecido como um aplicativo multilocatário na plataforma de identidade da Microsoft.
    Contas em qualquer diretório organizacional e contas Microsoft pessoais Selecione esta opção para visar o maior conjunto de clientes.

    Ao selecionar essa opção, você está registrando um aplicativo multilocatário que também pode oferecer suporte a usuários que têm contas pessoais da Microsoft. As contas pessoais da Microsoft incluem contas do Skype, Xbox, Live e Hotmail.
    Contas pessoais da Microsoft Selecione esta opção se estiver a criar uma aplicação apenas para utilizadores com contas pessoais da Microsoft. As contas pessoais da Microsoft incluem contas do Skype, Xbox, Live e Hotmail.

  6. Não insira nada para Redirecionar URI (opcional). Você configurará um URI de redirecionamento na próxima seção.

  7. Selecione Registrar para concluir o registro inicial do aplicativo.

    Screenshot of Microsoft Entra admin center in a web browser, showing the Register an application pane.

Quando o registro terminar, o centro de administração do Microsoft Entra exibirá o painel Visão geral do registro do aplicativo. Você vê a ID do aplicativo (cliente). Também chamado de ID do cliente, esse valor identifica exclusivamente seu aplicativo na plataforma de identidade da Microsoft.

Importante

Por padrão, os novos registros de aplicativos ficam ocultos para os usuários. Quando estiver pronto para que os utilizadores vejam a aplicação na respetiva página As Minhas Aplicações, pode ativá-la. Para habilitar o aplicativo, no centro de administração do Microsoft Entra, navegue até Aplicativos Corporativos de Identidade>>e selecione o aplicativo. Em seguida, na página Propriedades, alterne Visível para os usuários? para Sim.

O código do seu aplicativo, ou mais tipicamente uma biblioteca de autenticação usada em seu aplicativo, também usa a ID do cliente. O ID é usado como parte da validação dos tokens de segurança que recebe da plataforma de identidade.

Screenshot of the Microsoft Entra admin center in a web browser, showing an app registration's Overview pane.

Adicionar um URI de redirecionamento

Um URI de redirecionamento é o local onde a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

Em um aplicativo Web de produção, por exemplo, o URI de redirecionamento geralmente é um ponto de extremidade público onde seu aplicativo está sendo executado, como https://contoso.com/auth-response. Durante o desenvolvimento, é comum adicionar também o ponto de extremidade onde você executa seu aplicativo localmente, como https://127.0.0.1/auth-response ou http://localhost/auth-response. Certifique-se de que quaisquer ambientes de desenvolvimento/URIs de redirecionamento desnecessários não sejam expostos no aplicativo de produção. Isso pode ser feito com registros de aplicativos separados para desenvolvimento e produção.

Você adiciona e modifica URIs de redirecionamento para seus aplicativos registrados definindo as configurações da plataforma.

Definir configurações da plataforma

As configurações para cada tipo de aplicativo, incluindo URIs de redirecionamento, são definidas em Configurações de plataforma no portal do Azure. Algumas plataformas, como aplicativos Web e de página única, exigem que você especifique manualmente um URI de redirecionamento. Para outras plataformas, como dispositivos móveis e desktop, você pode selecionar entre os URIs de redirecionamento gerados para você ao definir suas outras configurações.

Para definir as configurações do aplicativo com base na plataforma ou dispositivo que você está segmentando, siga estas etapas:

  1. No Centro de administração do Microsoft Entra, em Registos de aplicações, selecione a sua aplicação.

  2. Em Gerir, selecione Autenticação.

  3. Em Configurações da plataforma, selecione Adicionar uma plataforma.

  4. Em Configurar plataformas, selecione o bloco para seu tipo de aplicativo (plataforma) para definir suas configurações.

    Screenshot of the platform configuration pane in the Azure portal.

    Plataforma Definições de configuração
    Web Insira um URI de redirecionamento para seu aplicativo. Esse URI é o local onde a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

    URL de logout do canal frontal e propriedades de fluxo implícitas e híbridas também podem ser configuradas.

    Selecione esta plataforma para aplicativos Web padrão executados em um servidor.
    Aplicação de página única Insira um URI de redirecionamento para seu aplicativo. Esse URI é o local onde a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

    URL de logout do canal frontal e propriedades de fluxo implícitas e híbridas também podem ser configuradas.

    Selecione esta plataforma se estiver criando um aplicativo Web do lado do cliente usando JavaScript ou uma estrutura como Angular, Vue.js, React.js ou Blazor WebAssembly.
    iOS / macOS Insira o ID do pacote do aplicativo. Encontre-o em Configurações de compilação ou no Xcode em Info.plist.

    Um URI de redirecionamento é gerado para você quando você especifica um ID de pacote.
    Android Insira o nome do pacote do aplicativo. Encontre-o no arquivo AndroidManifest.xml . Também gere e insira o hash Assinatura.

    Um URI de redirecionamento é gerado para você quando você especifica essas configurações.
    Aplicações móveis e de ambiente de trabalho Selecione um dos URIs de redirecionamento sugeridos. Ou especifique em ou mais URIs de redirecionamento personalizados.

    Para aplicações de ambiente de trabalho que utilizem um navegador incorporado, recomendamos
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Para aplicações de ambiente de trabalho que utilizem o navegador do sistema, recomendamos
    http://localhost

    Selecione esta plataforma para aplicativos móveis que não estão usando a Biblioteca de Autenticação da Microsoft (MSAL) mais recente ou não estão usando um broker. Selecione também esta plataforma para aplicações de ambiente de trabalho.

  5. Selecione Configurar para concluir a configuração da plataforma.

Restrições de URI de redirecionamento

Há algumas restrições sobre o formato dos URIs de redirecionamento que você adiciona a um registro de aplicativo. Para obter detalhes sobre essas restrições, consulte Restrições e limitações de URI de redirecionamento (URL de resposta).

Adicionar credenciais

As credenciais são usadas por aplicativos cliente confidenciais que acessam uma API da Web. Exemplos de clientes confidenciais são aplicativos Web, outras APIs da Web ou aplicativos do tipo serviço e daemon. As credenciais permitem que seu aplicativo se autentique como ele mesmo, não exigindo nenhuma interação de um usuário em tempo de execução.

Você pode adicionar certificados, segredos de cliente (uma cadeia de caracteres) ou credenciais de identidade federada como credenciais ao registro confidencial do aplicativo cliente.

Screenshot of the Microsoft Entra admin center, showing the Certificates and secrets pane in an app registration.

Adicionar um certificado

Às vezes chamado de chave pública, um certificado é o tipo de credencial recomendado porque eles são considerados mais seguros do que os segredos do cliente. Para obter mais informações sobre como usar um certificado como um método de autenticação em seu aplicativo, consulte Credenciais de certificado de autenticação de aplicativo da plataforma de identidade da Microsoft.

  1. No Centro de administração do Microsoft Entra, em Registos de aplicações, selecione a sua aplicação.
  2. Selecione Certificados & segredos>Certificados>Carregar certificado.
  3. Selecione o ficheiro que pretende carregar. Deve ser um dos seguintes tipos de ficheiro: .cer, .pem, .crt.
  4. Selecione Adicionar.

Adicionar um segredo de cliente

Às vezes chamado de senha de aplicativo, um segredo do cliente é um valor de cadeia de caracteres que seu aplicativo pode usar no lugar de um certificado para se identificar.

Os segredos do cliente são considerados menos seguros do que as credenciais do certificado. Os desenvolvedores de aplicativos às vezes usam segredos do cliente durante o desenvolvimento de aplicativos locais devido à sua facilidade de uso. No entanto, você deve usar credenciais de certificado para qualquer um dos seus aplicativos que estão sendo executados em produção.

  1. No Centro de administração do Microsoft Entra, em Registos de aplicações, selecione a sua aplicação.
  2. Selecione Certificados & segredos Segredos do cliente Novo segredo do>>cliente.
  3. Adicione uma descrição do segredo do cliente.
  4. Selecione uma expiração para o segredo ou especifique um tempo de vida personalizado.
    • O tempo de vida do segredo do cliente é limitado a dois anos (24 meses) ou menos. Não é possível especificar um tempo de vida personalizado superior a 24 meses.
    • A Microsoft recomenda que você defina um valor de expiração inferior a 12 meses.
  5. Selecione Adicionar.
  6. Registre o valor do segredo para uso no código do aplicativo cliente. Este valor secreto nunca mais é apresentado depois de sair desta página.

Para obter recomendações de segurança de aplicativos, consulte Práticas recomendadas e recomendações da plataforma de identidade da Microsoft.

Se você estiver usando uma conexão de serviço do Azure DevOps que cria automaticamente uma entidade de serviço, precisará atualizar o segredo do cliente do site de portal do Azure DevOps em vez de atualizar diretamente o segredo do cliente. Consulte este documento sobre como atualizar o segredo do cliente do site de portal do Azure DevOps: Solucionar problemas de conexões de serviço do Azure Resource Manager.

Adicionar uma credencial federada

As credenciais de identidade federada são um tipo de credencial que permite que cargas de trabalho, como Ações do GitHub, cargas de trabalho em execução no Kubernetes ou cargas de trabalho executadas em plataformas de computação fora do Azure acessem recursos protegidos do Microsoft Entra sem a necessidade de gerenciar segredos usando a federação de identidades de carga de trabalho.

Para adicionar uma credencial federada, siga estas etapas:

  1. No Centro de administração do Microsoft Entra, em Registos de aplicações, selecione a sua aplicação.

  2. Selecione Certificados & segredos>Credenciais>federadas Adicionar credencial.

  3. Na caixa suspensa Cenário de credenciais federadas, selecione um dos cenários suportados e siga as orientações correspondentes para concluir a configuração.

    • Chaves gerenciadas pelo cliente para criptografar dados em seu locatário usando o Cofre de Chaves do Azure em outro locatário.
    • Ações do GitHub implantando recursos do Azure para configurar um fluxo de trabalho do GitHub para obter tokens para seu aplicativo e implantar ativos no Azure.
    • Kubernetes acessando recursos do Azure para configurar uma conta de serviço Kubernetes para obter tokens para seu aplicativo e acessar recursos do Azure.
    • Outro emissor para configurar uma identidade gerenciada por um provedor externo do OpenID Connect para obter tokens para seu aplicativo e acessar recursos do Azure.

Para obter mais informações, como obter um token de acesso com uma credencial federada, consulte a plataforma de identidade da Microsoft e o artigo sobre o fluxo de credenciais do cliente OAuth 2.0.

Próximos passos

Os aplicativos cliente normalmente precisam acessar recursos em uma API da Web. Você pode proteger seu aplicativo cliente usando a plataforma de identidade da Microsoft. Você também pode usar a plataforma para autorizar o acesso baseado em permissões e escopo à sua API da Web.

Vá para o próximo início rápido da série para criar outro registro de aplicativo para sua API da Web e expor seus escopos.

Configurar um aplicativo para expor uma API da Web