Glossário de desenvolvimento de plataforma de identidade da MicrosoftMicrosoft identity platform developer glossary

Este artigo contém definições para alguns dos principais conceitos de desenvolvedores e terminologia, que são úteis quando se aprende sobre o desenvolvimento de aplicações usando a plataforma de identidade microsoft.This article contains definitions for some of the core developer concepts and terminology, which are helpful when learning about application development using Microsoft identity platform.

token de acessoaccess token

Um tipo de ficha de segurança emitida por um servidor de autorização, e utilizada por uma aplicação do cliente para aceder a um servidor de recursos protegidos.A type of security token issued by an authorization server, and used by a client application in order to access a protected resource server. Tipicamente sob a forma de um JSON Web Token (JWT),o símbolo incorpora a autorização concedida ao cliente pelo proprietário do recurso,para um nível de acesso solicitado.Typically in the form of a JSON Web Token (JWT), the token embodies the authorization granted to the client by the resource owner, for a requested level of access. O token contém todas as reclamações aplicáveis sobre o assunto, permitindo que a aplicação do cliente a utilize como forma de credencial ao aceder a um determinado recurso.The token contains all applicable claims about the subject, enabling the client application to use it as a form of credential when accessing a given resource. Isto também elimina a necessidade de o proprietário de recursos expor credenciais ao cliente.This also eliminates the need for the resource owner to expose credentials to the client.

As fichas de acesso são válidas apenas por um curto período de tempo e não podem ser revogadas.Access tokens are only valid for a short period of time and cannot be revoked. Um servidor de autorização também pode emitir um token de atualização quando o token de acesso é emitido.An authorization server may also issue a refresh token when the access token is issued. Os tokens de atualização são normalmente fornecidos apenas a aplicações confidenciais do cliente.Refresh tokens are typically provided only to confidential client applications.

Os tokens de acesso são por vezes referidos como "User+App" ou "App-Only", dependendo das credenciais que estão representadas.Access tokens are sometimes referred to as "User+App" or "App-Only", depending on the credentials being represented. Por exemplo, quando uma aplicação de cliente utiliza o:For example, when a client application uses the:

  • Concessão de autorização "Código de Autorização",o utilizador final autentica primeiro como titular do recurso, delegando autorização ao cliente para aceder ao recurso."Authorization code" authorization grant, the end user authenticates first as the resource owner, delegating authorization to the client to access the resource. O cliente autentica-se depois ao obter o token de acesso.The client authenticates afterward when obtaining the access token. O token pode por vezes ser referido mais especificamente como um token "User+App", uma vez que representa tanto o utilizador que autorizou a aplicação do cliente, como a aplicação.The token can sometimes be referred to more specifically as a "User+App" token, as it represents both the user that authorized the client application, and the application.
  • "Concessão de autorização de credenciaisde cliente", o cliente fornece a única autenticação, funcionando sem a autenticação/autorização do titular do recurso, pelo que o token pode por vezes ser referido como um símbolo "App-Only"."Client credentials" authorization grant, the client provides the sole authentication, functioning without the resource-owner's authentication/authorization, so the token can sometimes be referred to as an "App-Only" token.

Consulte a plataforma de identidade da Microsoft Token Reference para obter mais detalhes.See Microsoft identity platform Token Reference for more details.

ID de aplicação (ID do cliente)application ID (client ID)

O identificador único Azure AD emite um registo de candidatura que identifica uma aplicação específica e as configurações associadas.The unique identifier Azure AD issues to an application registration that identifies a specific application and the associated configurations. Este ID de aplicação (ID do cliente)é utilizado na realização de pedidos de autenticação e é fornecido às bibliotecas de autenticação em tempo de desenvolvimento.This application ID (client ID) is used when performing authentication requests and is provided to the authentication libraries in development time. O ID da aplicação (identificação do cliente) não é um segredo.The application ID (client ID) is not a secret.

manifesto de aplicaçãoapplication manifest

Uma funcionalidade fornecida pelo portal Azure, que produz uma representação JSON da configuração de identidade da aplicação, utilizada como mecanismo de atualização das suas entidades associadas de Aplicação e ServiçoPrincipal.A feature provided by the Azure portal, which produces a JSON representation of the application's identity configuration, used as a mechanism for updating its associated Application and ServicePrincipal entities. Consulte a compreensão da aplicação Azure Ative Directory para obter mais detalhes.See Understanding the Azure Active Directory application manifest for more details.

objeto de aplicaçãoapplication object

Quando regista/atualiza uma aplicação no portal Azure,o portal cria/atualiza tanto um objeto de aplicação como um objeto principal de serviço correspondente para esse inquilino.When you register/update an application in the Azure portal, the portal creates/updates both an application object and a corresponding service principal object for that tenant. O objeto de aplicação define a configuração de identidade da aplicação globalmente (em todos os inquilinos onde tem acesso), fornecendo um modelo a partir do qual os seus objetos principais de serviço correspondentes são derivados para uso local no tempo de execução (em um inquilino específico).The application object defines the application's identity configuration globally (across all tenants where it has access), providing a template from which its corresponding service principal object(s) are derived for use locally at run-time (in a specific tenant).

Para mais informações, consulte Os Objetos Principais de Aplicação e Serviço.For more information, see Application and Service Principal Objects.

registo de aplicaçãoapplication registration

Para permitir a integração de uma candidatura e delegar funções de Gestão de Identidade e Acesso à AZure AD, deve ser registada junto de um inquilinoda AD Azure.In order to allow an application to integrate with and delegate Identity and Access Management functions to Azure AD, it must be registered with an Azure AD tenant. Quando regista a sua candidatura com Azure AD, está a fornecer uma configuração de identidade para a sua aplicação, permitindo-lhe integrar-se com a Azure AD e utilizar funcionalidades como:When you register your application with Azure AD, you are providing an identity configuration for your application, allowing it to integrate with Azure AD and use features such as:

Consulte as aplicações de integração com o Azure Ative Directory para obter mais detalhes.See Integrating applications with Azure Active Directory for more details.

autenticaçãoauthentication

O ato de desafiar uma parte por credenciais legítimas, fornecendo as bases para a criação de um princípio de segurança a ser usado para o controlo de identidade e acesso.The act of challenging a party for legitimate credentials, providing the basis for creation of a security principal to be used for identity and access control. Durante uma autorização OAuth2, por exemplo, a autenticação da parte está a preencher o papel de titular de recursos ou de pedido de cliente,dependendo da subvenção utilizada.During an OAuth2 authorization grant for example, the party authenticating is filling the role of either resource owner or client application, depending on the grant used.

autorizaçãoauthorization

O ato de conceder permissão a um chefe de segurança autenticado para fazer algo.The act of granting an authenticated security principal permission to do something. Existem dois casos de utilização principais no modelo de programação do Azure AD:There are two primary use cases in the Azure AD programming model:

código de autorizaçãoauthorization code

Um "token" de curta duração fornecido a um pedido de cliente pelo ponto final de autorização,como parte do fluxo de "código de autorização", uma das quatro subvenções de autorizaçãoda OAuth2.A short lived "token" provided to a client application by the authorization endpoint, as part of the "authorization code" flow, one of the four OAuth2 authorization grants. O código é devolvido à aplicação do cliente em resposta à autenticação de um titular de recursos,indicando que o titular do recurso delegou autorização para aceder aos recursos solicitados.The code is returned to the client application in response to authentication of a resource owner, indicating the resource owner has delegated authorization to access the requested resources. Como parte do fluxo, o código é posteriormente reembolsado para um token de acesso.As part of the flow, the code is later redeemed for an access token.

ponto final de autorizaçãoauthorization endpoint

Um dos pontos finais implementados pelo servidor de autorização,utilizado para interagir com o titular do recurso, a fim de fornecer uma concessão de autorização durante um fluxo de autorização OAuth2.One of the endpoints implemented by the authorization server, used to interact with the resource owner in order to provide an authorization grant during an OAuth2 authorization grant flow. Dependendo do fluxo de concessão de autorização utilizado, a subvenção efetiva fornecida pode variar, incluindo um código de autorização ou um símbolo de segurança.Depending on the authorization grant flow used, the actual grant provided can vary, including an authorization code or security token.

Consulte os tipos de concessão de autorização da OAuth2 e as secções de ponto final de autorização e a especificação OpenIDConnect para obter mais detalhes.See the OAuth2 specification's authorization grant types and authorization endpoint sections, and the OpenIDConnect specification for more details.

concessão de autorizaçãoauthorization grant

Uma credencial que representa a autorização do titular do recurso para aceder aos seus recursos protegidos, concedida a uma aplicação do cliente.A credential representing the resource owner's authorization to access its protected resources, granted to a client application. Um pedido de cliente pode utilizar um dos quatro tipos de subvenção definidos pelo Quadro de Autorização da OAuth2 para obter uma subvenção, dependendo do tipo/requisitos do cliente: "concessão de código de autorização", "concessão de credenciais de cliente", "concessão implícita" e "concessão de credenciais de senha do proprietário de recursos".A client application can use one of the four grant types defined by the OAuth2 Authorization Framework to obtain a grant, depending on client type/requirements: "authorization code grant", "client credentials grant", "implicit grant", and "resource owner password credentials grant". A credencial devolvida ao cliente é ou um token de acesso,ou um código de autorização (trocado posteriormente por um token de acesso), dependendo do tipo de subsídio de autorização utilizado.The credential returned to the client is either an access token, or an authorization code (exchanged later for an access token), depending on the type of authorization grant used.

servidor de autorizaçãoauthorization server

Tal como definido pelo Quadro de Autorização da OAuth2,o servidor responsável pela emissão de fichas de acesso ao cliente após autenticar com sucesso o titular do recurso e obter a sua autorização.As defined by the OAuth2 Authorization Framework, the server responsible for issuing access tokens to the client after successfully authenticating the resource owner and obtaining its authorization. Uma aplicação de cliente interage com o servidor de autorização em tempo de execução através da sua autorização e pontos finais simbólicos, de acordo com as subvenções de autorização definidaspela OAuth2 .A client application interacts with the authorization server at runtime via its authorization and token endpoints, in accordance with the OAuth2 defined authorization grants.

No caso da integração de aplicações de plataforma de identidade da Microsoft, a plataforma de identidade da Microsoft implementa o papel do servidor de autorização para aplicações AD Azure e APIs de serviço microsoft, por exemplo, APIs de gráficos da Microsoft.In the case of Microsoft identity platform application integration, Microsoft identity platform implements the authorization server role for Azure AD applications and Microsoft service APIs, for example Microsoft Graph APIs.

reivindicaçãoclaim

Um token de segurança contém reclamações, que fornecem afirmações sobre uma entidade (como uma aplicação do cliente ou proprietário de recursos)a outra entidade (como o servidor de recursos).A security token contains claims, which provide assertions about one entity (such as a client application or resource owner) to another entity (such as the resource server). As reclamações são pares de nome/valor que transmitem factos sobre o sujeito simbólico (por exemplo, o principal de segurança que foi autenticado pelo servidor de autorização).Claims are name/value pairs that relay facts about the token subject (for example, the security principal that was authenticated by the authorization server). As reclamações presentes num dado token dependem de várias variáveis, incluindo o tipo de token, o tipo de credencial utilizada para autenticar o sujeito, a configuração da aplicação, etc.The claims present in a given token are dependent upon several variables, including the type of token, the type of credential used to authenticate the subject, the application configuration, etc.

Consulte a referência simbólica da plataforma de identidade da Microsoft para obter mais detalhes.See Microsoft identity platform token reference for more details.

aplicação de clienteclient application

Tal como definido pelo Quadro de Autorização da OAuth2,um pedido que faz pedidos de recursos protegidos em nome do proprietário do recurso.As defined by the OAuth2 Authorization Framework, an application that makes protected resource requests on behalf of the resource owner. O termo "cliente" não implica características específicas de implementação de hardware (por exemplo, se a aplicação executa num servidor, num ambiente de trabalho ou noutros dispositivos).The term "client" does not imply any particular hardware implementation characteristics (for instance, whether the application executes on a server, a desktop, or other devices).

Um pedido de cliente solicita autorização de um proprietário de recursos para participar num fluxo de concessão de autorização OAuth2, e pode aceder a APIs/dados em nome do proprietário do recurso.A client application requests authorization from a resource owner to participate in an OAuth2 authorization grant flow, and may access APIs/data on the resource owner's behalf. O Quadro de Autorização da OAuth2 define dois tipos de clientes, "confidenciais" e "públicos", com base na capacidade do cliente de manter a confidencialidade das suas credenciais.The OAuth2 Authorization Framework defines two types of clients, "confidential" and "public", based on the client's ability to maintain the confidentiality of its credentials. As aplicações podem implementar um cliente web (confidencial) que funciona num servidor web, um cliente nativo (público) instalado num dispositivo, ou um cliente baseado em agente de utilizador (público) que funciona no navegador de um dispositivo.Applications can implement a web client (confidential) which runs on a web server, a native client (public) installed on a device, or a user-agent-based client (public) which runs in a device's browser.

O processo de um titular de recursos que concede autorização a uma aplicaçãodo cliente, para aceder a recursos protegidos sob permissões específicas,em nome do proprietário do recurso.The process of a resource owner granting authorization to a client application, to access protected resources under specific permissions, on behalf of the resource owner. Dependendo das permissões solicitadas pelo cliente, será solicitado consentimento a um administrador ou utilizador para permitir o acesso à sua organização/dados individuais, respectivamente.Depending on the permissions requested by the client, an administrator or user will be asked for consent to allow access to their organization/individual data respectively. Note-se, num cenário multi-inquilino, o diretor de serviço da aplicação também é registado no arrendatário do utilizador que consente.Note, in a multi-tenant scenario, the application's service principal is also recorded in the tenant of the consenting user.

Consulte o quadro de consentimento para mais informações.See consent framework for more information.

Ficha de IDID token

Um token de segurança OpenID Connect fornecido pelo ponto final de autorização de um servidor de autorização authorization endpoint, que contém reclamações relativas à autenticação de um proprietário de recursosdo utilizador final .An OpenID Connect security token provided by an authorization server's authorization endpoint, which contains claims pertaining to the authentication of an end user resource owner. Como um token de acesso, os tokens de ID também são representados como um JSON Web Token (JWT)assinado digitalmente.Like an access token, ID tokens are also represented as a digitally signed JSON Web Token (JWT). No entanto, ao contrário de um token de acesso, as alegações de um token de identificação não são usadas para fins relacionados com o acesso a recursos e especificamente o controlo de acesso.Unlike an access token though, an ID token's claims are not used for purposes related to resource access and specifically access control.

Consulte a referência simbólica da plataforma de identidade da Microsoft para obter mais detalhes.See Microsoft identity platform token reference for more details.

Plataforma de identidades da MicrosoftMicrosoft identity platform

A plataforma de identidades da Microsoft é a evolução da plataforma para programadores e do serviço de identidades do Azure Active Directory (Azure AD).Microsoft identity platform is an evolution of the Azure Active Directory (Azure AD) identity service and developer platform. Permite que os programadores compilem aplicações que iniciam sessão em todas as identidades da Microsoft, obtenham tokens para chamar o Microsoft Graph, outras APIs da Microsoft ou APIs compiladas pelos programadores.It allows developers to build applications that sign in all Microsoft identities, get tokens to call Microsoft Graph, other Microsoft APIs, or APIs that developers have built. É uma plataforma completa que consiste num serviço de autenticação, bibliotecas, registo de aplicações e configuração, documentação completa do desenvolvedor, amostras de código e outros conteúdos do desenvolvedor.It’s a full-featured platform that consists of an authentication service, libraries, application registration and configuration, full developer documentation, code samples, and other developer content. A plataforma de identidades da Microsoft suporta protocolos norma da indústria, tais como OAuth 2.0 e o OpenID Connect.The Microsoft identity platform supports industry standard protocols such as OAuth 2.0 and OpenID Connect.

aplicação multi-inquilinomulti-tenant application

Uma classe de aplicação que permite iniciar sação e consentimento pelos utilizadores a provisionados em qualquer inquilinoAZure AD , incluindo inquilinos que não aquele em que o cliente está registado.A class of application that enables sign in and consent by users provisioned in any Azure AD tenant, including tenants other than the one where the client is registered. As aplicações de clientes nativos são multi-arrendantes por padrão, enquanto as aplicações de cliente web e web recursos/API têm a capacidade de selecionar entre um único ou multi-inquilino.Native client applications are multi-tenant by default, whereas web client and web resource/API applications have the ability to select between single or multi-tenant. Em contrapartida, uma aplicação web registada como inquilino único, só permitiria a entrada de contas de utilizador previstas no mesmo inquilino que a que o pedido está registado.By contrast, a web application registered as single-tenant, would only allow sign-ins from user accounts provisioned in the same tenant as the one where the application is registered.

Veja como iniciar sedutar em qualquer utilizador Azure AD usando o padrão de aplicação de vários inquilinos para mais detalhes.See How to sign in any Azure AD user using the multi-tenant application pattern for more details.

cliente nativonative client

Um tipo de aplicação de cliente que é instalada de forma nativa num dispositivo.A type of client application that is installed natively on a device. Uma vez que todo o código é executado num dispositivo, é considerado um cliente "público" devido à sua incapacidade de armazenar credenciais privadas/confidenciais.Since all code is executed on a device, it is considered a "public" client due to its inability to store credentials privately/confidentially. Consulte os tipos e perfis de clientes da OAuth2 para obter mais detalhes.See OAuth2 client types and profiles for more details.

permissõespermissions

Uma aplicação de cliente obtém acesso a um servidor de recursos declarando pedidos de permissão.A client application gains access to a resource server by declaring permission requests. Estão disponíveis dois tipos:Two types are available:

  • As permissões "delegadas", que especificam o acesso baseado no âmbito utilizando a autorização delegada do titular do recurso,são apresentadas ao recurso em tempo de execução como alegações "scp" no tokende acesso do cliente."Delegated" permissions, which specify scope-based access using delegated authorization from the signed-in resource owner, are presented to the resource at run-time as "scp" claims in the client's access token.
  • As permissões de "aplicação", que especificam o acesso baseado em funções utilizando as credenciais/identidade da aplicação do cliente, são apresentadas ao recurso em tempo de execução como alegações de "funções" no token de acesso do cliente."Application" permissions, which specify role-based access using the client application's credentials/identity, are presented to the resource at run-time as "roles" claims in the client's access token.

Também surgem durante o processo de consentimento, dando ao administrador ou proprietário de recursos a oportunidade de conceder/negar o acesso do cliente aos recursos no seu inquilino.They also surface during the consent process, giving the administrator or resource owner the opportunity to grant/deny the client access to resources in their tenant.

Os pedidos de permissão são configurados na página de permissões da API para uma aplicação no portal Azure,selecionando as "Permissões Delegadas" e "Permissões de Aplicação" (esta última requer adesão à função Administração Global).Permission requests are configured on the API permissions page for an application in the Azure portal, by selecting the desired "Delegated Permissions" and "Application Permissions" (the latter requires membership in the Global Admin role). Como um cliente público não consegue manter as credenciais de forma segura, só pode solicitar permissões delegadas, enquanto um cliente confidencial tem a capacidade de solicitar permissões delegadas e de candidatura.Because a public client can't securely maintain credentials, it can only request delegated permissions, while a confidential client has the ability to request both delegated and application permissions. O objeto de aplicação do cliente armazena as permissões declaradas na sua propriedade requeridaResourceAccess.The client's application object stores the declared permissions in its requiredResourceAccess property.

token refreshrefresh token

Um tipo de ficha de segurança emitida por um servidor de autorização, e usada por uma aplicação do cliente para solicitar um novo token de acesso antes do fim do token de acesso.A type of security token issued by an authorization server, and used by a client application in order to request a new access token before the access token expires. Tipicamente sob a forma de um JSON Web Token (JWT).Typically in the form of a JSON Web Token (JWT).

Ao contrário dos tokens de acesso, os tokens de renovação podem ser revogados.Unlike access tokens, refresh tokens can be revoked. Se uma aplicação do cliente tentar solicitar um novo token de acesso utilizando um token de atualização que foi revogado, o servidor de autorização negará o pedido, e a aplicação do cliente deixará de ter permissão para aceder ao servidor de recursos em nome do proprietário do recurso.If a client application attempts to request a new access token using a refresh token that has been revoked, the authorization server will deny the request, and the client application will no longer have permission to access the resource server on behalf of the resource owner.

proprietário de recursosresource owner

Tal como definido pelo Quadro de Autorização da OAuth2,uma entidade capaz de conceder acesso a um recurso protegido.As defined by the OAuth2 Authorization Framework, an entity capable of granting access to a protected resource. Quando o titular do recurso é uma pessoa, é referido como um utilizador final.When the resource owner is a person, it is referred to as an end user. Por exemplo, quando uma aplicação de cliente quer aceder à caixa de correio de um utilizador através da Microsoft Graph API,requer autorização do titular do recurso da caixa de correio.For example, when a client application wants to access a user's mailbox through the Microsoft Graph API, it requires permission from the resource owner of the mailbox.

servidor de recursosresource server

Conforme definido pelo Quadro de Autorização da OAuth2,um servidor que acolhe recursos protegidos, capaz de aceitar e responder a pedidos de recursos protegidos por aplicações de clientes que apresentam um token de acesso.As defined by the OAuth2 Authorization Framework, a server that hosts protected resources, capable of accepting and responding to protected resource requests by client applications that present an access token. Também conhecido como um servidor de recursos protegido, ou aplicação de recursos.Also known as a protected resource server, or resource application.

Um servidor de recursos expõe APIs e impõe o acesso aos seus recursos protegidos através de âmbitos e funções,utilizando o Quadro de Autorização OAuth 2.0.A resource server exposes APIs and enforces access to its protected resources through scopes and roles, using the OAuth 2.0 Authorization Framework. Exemplos incluem a API do Microsoft Graph que fornece acesso aos dados do inquilino AZure AD, e as APIs microsoft 365 que fornecem acesso a dados como correio e calendário.Examples include the Microsoft Graph API which provides access to Azure AD tenant data, and the Microsoft 365 APIs that provide access to data such as mail and calendar.

Tal como uma aplicação de cliente, a configuração de identidade da aplicação de recursos é estabelecida através do registo de um inquilino AZure AD, fornecendo tanto o objeto principal de aplicação como de serviço.Just like a client application, resource application's identity configuration is established via registration in an Azure AD tenant, providing both the application and service principal object. Algumas APIs fornecidas pela Microsoft, como a Microsoft Graph API, têm principais de serviço pré-registados disponibilizados em todos os inquilinos durante o fornecimento.Some Microsoft-provided APIs, such as the Microsoft Graph API, have pre-registered service principals made available in all tenants during provisioning.

funçõesroles

Tal como os âmbitos,as funções fornecem uma forma de um servidor de recursos governar o acesso aos seus recursos protegidos.Like scopes, roles provide a way for a resource server to govern access to its protected resources. Existem dois tipos: uma função de "utilizador" implementa o controlo de acesso baseado em funções para utilizadores/grupos que exigem acesso ao recurso, enquanto uma função de "aplicação" implementa o mesmo para aplicações de clientes que requerem acesso.There are two types: a "user" role implements role-based access control for users/groups that require access to the resource, while an "application" role implements the same for client applications that require access.

As funções são cordas definidas por recursos (por exemplo" "Aprovador de Despesas", "Read-only", "Diretório.ReadWrite.All"), geridas no portal Azure através do manifesto de aplicaçãodo recurso, e armazenadas na propriedade appRolesdo recurso.Roles are resource-defined strings (for example "Expense approver", "Read-only", "Directory.ReadWrite.All"), managed in the Azure portal via the resource's application manifest, and stored in the resource's appRoles property. O portal Azure também é utilizado para atribuir utilizadores a funções de "utilizador" e configurar permissões de aplicação do cliente para aceder a uma função de "aplicação".The Azure portal is also used to assign users to "user" roles, and configure client application permissions to access an "application" role.

Para uma discussão detalhada das funções de aplicação expostas pela Microsoft Graph API, consulte os Âmbitos de Permisse da API do gráfico.For a detailed discussion of the application roles exposed by the Microsoft Graph API, see Graph API Permission Scopes. Para obter um exemplo de implementação passo a passo, consulte adicionar ou remover atribuições de funções Azure utilizando o portal Azure.For a step-by-step implementation example, see Add or remove Azure role assignments using the Azure portal.

âmbitosscopes

Tal como as funções,os âmbitos fornecem uma forma de um servidor de recursos governar o acesso aos seus recursos protegidos.Like roles, scopes provide a way for a resource server to govern access to its protected resources. Os âmbitos são utilizados para implementar o controlo de acesso baseado no âmbito, para uma aplicação do cliente que foi dada acesso delegado ao recurso pelo seu proprietário.Scopes are used to implement scope-based access control, for a client application that has been given delegated access to the resource by its owner.

Os âmbitos são cordas definidas por recursos (por exemplo"Mail.Read", "Diretório.ReadWrite.All"), geridas no portal Azure através do manifesto de aplicaçãodo recurso, e armazenadas na propriedade de oauth2Permissionsdo recurso.Scopes are resource-defined strings (for example "Mail.Read", "Directory.ReadWrite.All"), managed in the Azure portal via the resource's application manifest, and stored in the resource's oauth2Permissions property. O portal Azure também é utilizado para configurar a aplicação do cliente delegada permissões para aceder a um âmbito.The Azure portal is also used to configure client application delegated permissions to access a scope.

Uma convenção de nomeação de boas práticas é usar um formato "resource.operation.constraint".A best practice naming convention, is to use a "resource.operation.constraint" format. Para uma discussão detalhada dos âmbitos expostos pela Microsoft Graph API, consulte os Âmbitos de Permissões da API do gráfico.For a detailed discussion of the scopes exposed by Microsoft Graph API, see Graph API Permission Scopes. Para os âmbitos expostos pelos serviços microsoft 365, consulte a referência de permissões API da Microsoft 365.For scopes exposed by Microsoft 365 services, see Microsoft 365 API permissions reference.

símbolo de segurançasecurity token

Um documento assinado contendo reclamações, como uma token OAuth2 ou uma afirmação SAML 2.0.A signed document containing claims, such as an OAuth2 token or SAML 2.0 assertion. Para uma concessãode autorização OAuth2 , um token de acesso (OAuth2), refresh token, e um ID Token são tipos de fichas de segurança, todas elas implementadas como um JSON Web Token (JWT).For an OAuth2 authorization grant, an access token (OAuth2), refresh token, and an ID Token are types of security tokens, all of which are implemented as a JSON Web Token (JWT).

objeto principal de serviçoservice principal object

Quando regista/atualiza uma aplicação no portal Azure,o portal cria/atualiza tanto um objeto de aplicação como um objeto principal de serviço correspondente para esse inquilino.When you register/update an application in the Azure portal, the portal creates/updates both an application object and a corresponding service principal object for that tenant. O objeto de aplicação define globalmente a configuração de identidade da aplicação (em todos os inquilinos onde a aplicação associada foi concedida), e é o modelo a partir do qual os seus objetos principais de serviço correspondentes são derivados para uso local no horário de funcionamento (em um inquilino específico).The application object defines the application's identity configuration globally (across all tenants where the associated application has been granted access), and is the template from which its corresponding service principal object(s) are derived for use locally at run-time (in a specific tenant).

Para mais informações, consulte Os Objetos Principais de Aplicação e Serviço.For more information, see Application and Service Principal Objects.

sign-insign-in

O processo de uma aplicação do cliente que inicia a autenticação do utilizador final e a captura do estado relacionado, com o objetivo de adquirir um token de segurança e de digitalizar a sessão de aplicação para esse estado.The process of a client application initiating end-user authentication and capturing related state, for the purpose of acquiring a security token and scoping the application session to that state. O Estado pode incluir artefactos como informações sobre o perfil do utilizador e informações derivadas de alegações simbólicas.State can include artifacts such as user profile information, and information derived from token claims.

A função de inscrição de uma aplicação é normalmente utilizada para implementar um único sign-on (SSO).The sign-in function of an application is typically used to implement single-sign-on (SSO). Pode também ser precedido por uma função de "inscrição", como ponto de entrada para um utilizador final ter acesso a uma aplicação (após a primeira entrada).It may also be preceded by a "sign-up" function, as the entry point for an end user to gain access to an application (upon first sign-in). A função de inscrição é utilizada para recolher e persistir um estado adicional específico do utilizador, podendo exigir o consentimento do utilizador.The sign-up function is used to gather and persist additional state specific to the user, and may require user consent.

de fim de sessãosign-out

O processo de não autenticação de um utilizador final, desvinculando o estado de utilizador associado à sessão de aplicação do cliente durante o loginThe process of unauthenticating an end user, detaching the user state associated with the client application session during sign-in

inquilinotenant

Um caso de diretório AD Azure é referido como um inquilino da AD Azure.An instance of an Azure AD directory is referred to as an Azure AD tenant. Fornece várias funcionalidades, incluindo:It provides several features, including:

Os inquilinos da AZure AD são criados/associados com subscrições Azure e Microsoft 365 durante a inscrição, fornecendo funcionalidades de Gestão de Acesso de Identidade & para a subscrição.Azure AD tenants are created/associated with Azure and Microsoft 365 subscriptions during sign-up, providing Identity & Access Management features for the subscription. Os administradores de subscrição da Azure também podem criar inquilinos AZure AD adicionais através do portal Azure.Azure subscription administrators can also create additional Azure AD tenants via the Azure portal. Veja como obter um inquilino do Azure Ative Directory para obter detalhes sobre as várias formas de acesso a um inquilino.See How to get an Azure Active Directory tenant for details on the various ways you can get access to a tenant. Consulte Associate ou adicione uma subscrição Azure ao seu inquilino Azure Ative Directory para obter detalhes sobre a relação entre as subscrições e um inquilino AD Azure, e para instruções sobre como associar ou adicionar uma subscrição a um inquilino AZure AD.See Associate or add an Azure subscription to your Azure Active Directory tenant for details on the relationship between subscriptions and an Azure AD tenant, and for instructions on how to associate or add a subscription to an Azure AD tenant.

ponto final simbólicotoken endpoint

Um dos pontos finais implementados pelo servidor de autorização para suportar as subvenções de autorizaçãoda OAuth2 .One of the endpoints implemented by the authorization server to support OAuth2 authorization grants. Dependendo da concessão, pode ser usado para adquirir um token de acesso (e ficha de "refresh" relacionado) a um cliente,ou ficha de ID quando usado com o protocolo OpenID Connect.Depending on the grant, it can be used to acquire an access token (and related "refresh" token) to a client, or ID token when used with the OpenID Connect protocol.

Cliente baseado em agente de utilizadorUser-agent-based client

Um tipo de aplicação de cliente que descarrega código a partir de um servidor web e executa dentro de um agente de utilizador (por exemplo, um navegador web), como uma aplicação de uma página (SPA).A type of client application that downloads code from a web server and executes within a user-agent (for instance, a web browser), such as a single-page application (SPA). Uma vez que todo o código é executado num dispositivo, é considerado um cliente "público" devido à sua incapacidade de armazenar credenciais privadas/confidenciais.Since all code is executed on a device, it is considered a "public" client due to its inability to store credentials privately/confidentially. Para obter mais informações, consulte os tipos e perfis de clientes da OAuth2.For more information, see OAuth2 client types and profiles.

utilizadores principaluser principal

Semelhante à forma como um objeto principal de serviço é usado para representar uma instância de aplicação, um objeto principal do utilizador é outro tipo de principal de segurança, que representa um utilizador.Similar to the way a service principal object is used to represent an application instance, a user principal object is another type of security principal, which represents a user. O tipo de recurso do Utilizador do Microsoft Graph define o esquema para um objeto de utilizador, incluindo propriedades relacionadas com o utilizador, tais como o primeiro e o apelido, o nome principal do utilizador, a adesão à função de diretório, etc. Isto fornece a configuração de identidade do utilizador para a Azure AD para estabelecer um principal utilizador no tempo de execução.The Microsoft Graph User resource type defines the schema for a user object, including user-related properties such as first and last name, user principal name, directory role membership, etc. This provides the user identity configuration for Azure AD to establish a user principal at run-time. O titular do utilizador é utilizado para representar um utilizador autenticado para o Sign-On único, para registar a delegação de consentimento, tomar decisões de controlo de acesso, etc.The user principal is used to represent an authenticated user for Single Sign-On, recording consent delegation, making access control decisions, etc.

cliente webweb client

Um tipo de aplicação de cliente que executa todo o código num servidor web e é capaz de funcionar como um cliente "confidencial", armazenando de forma segura as suas credenciais no servidor.A type of client application that executes all code on a web server, and able to function as a "confidential" client by securely storing its credentials on the server. Para obter mais informações, consulte os tipos e perfis de clientes da OAuth2.For more information, see OAuth2 client types and profiles.

Passos seguintesNext steps

O Guia do Desenvolvedor da plataforma de identidade da Microsoft é a página de aterragem para todos os tópicos relacionados com o desenvolvimento da plataforma de identidade da Microsoft, incluindo uma visão geral da integração de aplicações e os fundamentos da autenticação da plataforma de identidade da Microsoft e cenários de autenticação suportados.The Microsoft identity platform Developer's Guide is the landing page to use for all Microsoft identity platform development-related topics, including an overview of application integration and the basics of Microsoft identity platform authentication and supported authentication scenarios. Também pode encontrar amostras de código & tutoriais sobre como se levantar e correr rapidamente no GitHub.You can also find code samples & tutorials on how to get up and running quickly on GitHub.

Utilize a seguinte secção de comentários para fornecer feedback e ajudar a aperfeiçoar e moldar este conteúdo, incluindo pedidos de novas definições ou atualização dos existentes!Use the following comments section to provide feedback and help to refine and shape this content, including requests for new definitions or updating existing ones!