Share via

Registar aplicações

  • Artigo

O portal de registro de aplicativos da plataformade identidade da Microsoft é o principal ponto de entrada para aplicativos que usam a plataforma para autenticação e necessidades associadas. Como desenvolvedor, ao registrar e configurar seus aplicativos, as escolhas que você faz impulsionam e afetam o quão bem seu aplicativo satisfaz os princípios do Zero Trust. O registro eficaz do aplicativo considera especialmente os princípios de uso de acesso menos privilegiado e assumir violação. Este artigo ajuda você a aprender sobre o processo de registro de aplicativos e seus requisitos para garantir que seus aplicativos sigam uma abordagem de segurança Zero Trust.

O gerenciamento de aplicativos no Microsoft Entra ID (Microsoft Entra ID ) é o processo de criar, configurar, gerenciar e monitorar aplicativos na nuvem com segurança. Ao registrar seu aplicativo em um locatário do Microsoft Entra, você configura o acesso seguro do usuário.

O Microsoft Entra ID representa aplicativos por objetos de aplicativo e entidades de serviço. Com algumas exceções, os aplicativos são objetos de aplicativo. Pense em uma entidade de serviço como uma instância de um aplicativo que faz referência a um objeto de aplicativo. Várias entidades de serviço entre diretórios podem fazer referência a um único objeto de aplicativo.

Você pode configurar seu aplicativo para usar o Microsoft Entra ID por meio de três métodos: no Visual Studio, usando a API do Microsoft Graph ou usando o PowerShell. Há experiências de desenvolvedor no Azure e no API Explorer em centros de desenvolvedores. Faça referência às decisões e tarefas necessárias para as funções de desenvolvedor e profissional de TI para criar e implantar aplicativos seguros na plataforma de identidade da Microsoft.

Quem pode adicionar e registar aplicações

Administradores e, se permitido pelo locatário, usuários e desenvolvedores podem criar objetos de aplicativo registrando aplicativos no portal do Azure. Por padrão, todos os usuários em um diretório podem registrar objetos de aplicativo que desenvolvem. Os desenvolvedores de objetos de aplicativo decidem quais aplicativos compartilham e dão acesso aos dados organizacionais por meio do consentimento.

Quando o primeiro usuário em um diretório entra em um aplicativo e concede consentimento, o sistema cria uma entidade de serviço no locatário que armazena todas as informações de consentimento do usuário. O Microsoft Entra ID cria automaticamente uma entidade de serviço para um aplicativo recém-registrado no locatário antes que um usuário se autentique.

Somente administradores de aplicativos Microsoft Entra, administradores de aplicativos em nuvem e administradores globais podem executar tarefas específicas de aplicativos (como adicionar aplicativos da galeria de aplicativos e configurar aplicativos para usar proxy de aplicativo).

Registrar objetos de aplicativo

Como desenvolvedor, você registra seus aplicativos que usam a plataforma de identidade da Microsoft. Registre seus aplicativos no portal do Azure ou chamando APIs de aplicativos do Microsoft Graph. Depois de registrar seu aplicativo, ele se comunica com a plataforma de identidade da Microsoft enviando solicitações para o ponto de extremidade.

Talvez você não tenha permissão para criar ou modificar um registro de aplicativo. Quando os administradores não lhe derem permissões para registar as suas aplicações, pergunte-lhes como pode transmitir as informações de registo de aplicações necessárias para eles.

As propriedades de registro do aplicativo podem incluir os seguintes componentes.

  • Nome, logótipo e editor
  • Redirecionar URI (Uniform Resource Identifiers, identificadores uniformes de recursos)
  • Segredos (chaves simétricas e/ou assimétricas usadas para autenticar o aplicativo)
  • Dependências da API (OAuth)
  • APIs/recursos/escopos publicados (OAuth)
  • Funções do aplicativo para controle de acesso baseado em função
  • Metadados e configuração para logon único (SSO), provisionamento de usuário e proxy

Uma parte necessária do registro do aplicativo é sua seleção de tipos de conta suportados para definir quem pode usar seu aplicativo com base no tipo de conta do usuário. Os administradores do Microsoft Entra seguem o modelo de aplicativo para gerenciar objetos de aplicativo no portal do Azure por meio da experiência de registros de aplicativo e definem configurações de aplicativo que informam ao serviço como emitir tokens para o aplicativo.

Durante o registo, recebe a identidade da sua candidatura: o ID da aplicação (cliente). Seu aplicativo usa sua ID de cliente toda vez que executa uma transação por meio da plataforma de identidade da Microsoft.

Práticas recomendadas de registro de aplicativos

Siga as práticas recomendadas de segurança para propriedades de aplicativos ao registrar seu aplicativo no Microsoft Entra ID como uma parte crítica de seu uso comercial. Procure evitar tempo de inatividade ou comprometimento que possa afetar toda a organização. As recomendações a seguir ajudam você a desenvolver seu aplicativo seguro em torno dos princípios Zero Trust.

  • Use a lista de verificação de integração da plataforma de identidade da Microsoft para garantir uma integração segura e de alta qualidade. Mantenha a qualidade e a segurança do seu aplicativo.
  • Defina corretamente seus URLs de redirecionamento. Consulte as restrições e limitações do URI de redirecionamento (URL de resposta) para evitar problemas de compatibilidade e segurança.
  • Verifique a propriedade dos URIs de redirecionamento no registro do seu aplicativo para evitar aquisições de domínio. Os URLs de redirecionamento devem estar em domínios que você conhece e possui. Revise e remova regularmente URIs desnecessários e não utilizados. Não use URIs não-https em aplicativos de produção.
  • Sempre defina e mantenha proprietários de entidades de aplicativos e serviços para seus aplicativos registrados em seu locatário. Evite aplicativos órfãos (aplicativos e entidades de serviço sem proprietários atribuídos). Certifique-se de que os administradores de TI possam identificar fácil e rapidamente os proprietários de aplicativos durante uma emergência. Mantenha o número de proprietários de aplicativos pequeno. Torne difícil para uma conta de usuário comprometida afetar vários aplicativos.
  • Evite usar o mesmo registrode aplicativo para vários aplicativos. Separar os registos de aplicações ajuda-o a permitir o acesso menos privilegiado e a reduzir o impacto durante uma violação.
    • Use registros de aplicativos separados para aplicativos que entram em usuários e aplicativos que expõem dados e operações por meio de API (a menos que estejam firmemente acoplados). Essa abordagem permite permissões para uma API com privilégios mais altos, como o Microsoft Graph e credenciais (como segredos e certificados), à distância de aplicativos que entram e interagem com os usuários.
    • Use registros de aplicativos separados para aplicativos Web e APIs. Essa abordagem ajuda a garantir que, se a API da Web tiver um conjunto maior de permissões, o aplicativo cliente não as herdará.
  • Defina seu aplicativo como um aplicativo multilocatário somente quando necessário. Os aplicativos multilocatários permitem o provisionamento em locatários diferentes do seu. Eles exigem mais sobrecarga de gerenciamento para filtrar acessos indesejados. A menos que você pretenda desenvolver seu aplicativo como um aplicativo multilocatário, comece com um valor SignInAudience de AzureADMyOrg.

Próximos passos