Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta guía se proporciona información general sobre conceptos clave, casos de uso de API y recursos que le ayudarán a automatizar la administración del ciclo de vida de las aplicaciones de Microsoft Entra.
Aplicaciones y entidades de servicio
En Microsoft Entra, un objeto application y un objeto de entidad de servicio definen una aplicación. Solo hay un objeto de aplicación para la aplicación en Microsoft Entra, pero puede haber varios objetos de entidad de servicio para la aplicación.
El objeto de aplicación se encuentra en el inquilino donde está registrada la aplicación. Se crea una entidad de servicio en el inquilino donde está registrada la aplicación y en todos los inquilinos donde se instala y usa. Para obtener más información, consulte Objetos de aplicación y entidad de servicio en Microsoft Entra ID.
En Microsoft Graph, una aplicación se representa mediante el tipo de recurso de aplicación y una entidad de servicio está representada por el tipo de recurso servicePrincipal. Se puede acceder a los detalles de los dos objetos en el Centro de administración Microsoft Entra a través de los menús de las aplicaciones Entra ID>Registros de aplicaciones y Entra ID>Enterprise, respectivamente.
Las entidades de servicio heredan propiedades específicas de sus registros de aplicaciones asociados. Estas propiedades se sincronizan desde el registro de la aplicación, pero la sincronización no es inmediata ni continua. A veces, actualizar una entidad de servicio puede solicitar al directorio que actualice las propiedades del registro de la aplicación, lo que provoca actualizaciones que no formaban parte de la solicitud original.
Casos de uso de API para administrar aplicaciones
Los siguientes casos de uso de API son compatibles con la administración de aplicaciones a través del tipo de recurso de aplicación en Microsoft Graph.
| Casos de uso | Operaciones de API |
|---|---|
| Registro de una aplicación y configuración de sus propiedades básicas | Create application |
Configure las propiedades de una aplicación registrada, entre las que se incluyen:
|
Update application |
| Eliminación de una aplicación | Delete application |
| Administración de aplicaciones eliminadas | |
| Administración de credenciales de contraseña para una aplicación | |
| Administración de credenciales de identidad federada para una aplicación | Inicio de la administración de credenciales de identidad federada con Microsoft Graph |
| Administración de credenciales basadas en certificados para una aplicación |
|
| Administración de extensiones de directorio en aplicaciones |
|
| Seguimiento de los cambios en una aplicación |
|
| Administración de propietarios | |
| Administración de la comprobación del publicador |
Casos de uso de API para administrar entidades de servicio
Los siguientes casos de uso de API son compatibles con la administración de entidades de servicio a través del tipo de recurso servicePrincipal en Microsoft Graph.
| Casos de uso | Operaciones de API |
|---|---|
| Registro de la entidad de servicio | Crear servicePrincipal |
| Configure las propiedades de una entidad de servicio, entre las que se incluyen: - Propiedades básicas, como el nombre para mostrar y el logotipo -Permisos - Configuración del modo sso |
Actualizar servicePrincipal |
| Eliminación de una entidad de servicio | Eliminar servicePrincipal |
| Administración de entidades de servicio eliminadas: visualización, restauración o eliminación permanente | - Enumerar deletedItems - Enumeración de elementos eliminados propiedad de un usuario - Obtener elemento eliminado - Eliminar elemento de forma permanente - Restaurar elemento eliminado |
| Administración de credenciales de contraseña para una entidad de servicio | - servicePrincipal: addPassword - servicePrincipal: removePassword |
| Administración de credenciales basadas en certificados para una entidad de servicio | - servicePrincipal: addKey - servicePrincipal: removeKey |
| Adición de un certificado de firma de token SAML | servicePrincipal: addTokenSigningCertificate |
| Seguimiento de los cambios en una entidad de servicio | - servicePrincipal: delta - directoryObject: delta con el siguiente filtro: ..?$filter=isof('microsoft.graph.servicePrincipal') |
| Administración de propietarios | - Lista de propietarios - Agregar propietario - Quitar propietario |
Plantillas de aplicación
Las plantillas de aplicación son aplicaciones disponibles en la galería de aplicaciones de Microsoft Entra. Use el tipo de recurso applicationTemplate y sus métodos asociados para:
- Identifique las aplicaciones de la galería de aplicaciones.
- Identifique las aplicaciones por el modo sso que admiten.
- Cree una instancia de una aplicación y una entidad de servicio desde una galería de aplicaciones.
Directivas aplicables a aplicaciones y entidades de servicio
| Descripción de la directiva | Operaciones de API | Se aplica a |
|---|---|---|
| Administrar Microsoft Entra ID protocolo de autenticación de Servicios de Escritorio remoto (RDS) | tipo de recurso remoteDesktopSecurityConfiguration y sus métodos asociados | Entidades de servicio |
| Configuración de la directiva de tokens saml | tipo de recurso tokenIssuancePolicy y sus métodos asociados | Aplicaciones Entidades de servicio |
| Configuración de directivas para tokens de acceso, SAML e id. | Directiva de duración del token: tipo de recurso tokenLifetimePolicy y sus métodos asociados Directiva de emisión de tokens: tipo de recurso tokenIssuancePolicy y sus métodos asociados |
Aplicaciones Entidades de servicio |
| Administrar el tiempo de espera de la sesión inactiva para aplicaciones web de Microsoft 365, para todos los tipos de dispositivos Nota: Para desencadenar la directiva solo para dispositivos no administrados, también debe agregar una directiva de acceso condicional. |
tipo de recurso activityBasedTimeoutPolicy y sus métodos asociados | Aplicaciones web de Microsoft 365 |
| Administre las directivas para saber cómo se pueden usar los certificados y los secretos de contraseña en su organización. Cree directivas para todo el inquilino o directivas específicas de la aplicación, como bloquear el uso o restringir la duración de los secretos de contraseña o claves simétricas y aplicar entidades de certificación de confianza. | Directivas de métodos de autenticación de aplicaciones | Aplicaciones |
| Administrar directivas de asignación de notificaciones para los protocolos WS-Fed, SAML, OAuth 2.0 y OpenID Connect, y las aplicaciones a las que se aplican las directivas | tipo de recurso claimsMappingPolicy y sus métodos asociados | Entidades de servicio |
| Administrar la detección de dominio principal (HRD) para el inquilino y la asignación de la directiva a una entidad de servicio | tipo de recurso homeRealmDiscoveryPolicy y sus métodos asociados | Entidades de servicio |
Sincronización de identidades (aprovisionamiento)
Las API de aprovisionamiento en Microsoft Graph permiten automatizar y administrar el aprovisionamiento y desaprovisionamiento de identidades en estos escenarios:
- De la Active Directory local a la Microsoft Entra ID
- Desde otros directorios en la nube hasta Microsoft Entra ID
- Desde Microsoft Entra ID a aplicaciones en la nube como Dropbox, Salesforce, ServiceNow, etc.
Para obtener más información, consulte Microsoft Entra introducción a la API de sincronización.