Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os aplicativos podem autenticar os utilizadores por si só ou delegar o início de sessão a um fornecedor de identidade. Este artigo descreve as etapas necessárias para registrar um aplicativo com a plataforma de identidade da Microsoft.
Registar uma candidatura
Para que um provedor de identidade saiba que um usuário tem acesso a um aplicativo específico, tanto o usuário quanto o aplicativo devem estar registrados no provedor de identidade. Ao registrar seu aplicativo com o Microsoft Entra ID, você está fornecendo uma configuração de identidade para seu aplicativo que permite que ele se integre à plataforma de identidade da Microsoft. Registrar o aplicativo também permite que você:
- Personalize a identidade visual do seu aplicativo na caixa de diálogo de entrada. Essa marca é importante porque entrar é a primeira experiência que um usuário terá com seu aplicativo.
- Decida se pretende permitir que os utilizadores iniciem sessão apenas se pertencerem à sua organização. Essa arquitetura é conhecida como uma aplicação de inquilino único. Ou, você pode permitir que os usuários entrem usando qualquer conta corporativa ou de estudante, que é conhecida como um aplicativo multilocatário. Você também pode permitir contas pessoais da Microsoft ou uma conta social do LinkedIn, Google e assim por diante.
- Solicitar permissões de escopo. Por exemplo, você pode solicitar o escopo "user.read", que concede permissão para ler o perfil do usuário conectado.
- Defina escopos que definem o acesso à sua API da Web. Normalmente, quando um aplicativo deseja acessar sua API, ele precisará solicitar permissões para os escopos que você definir.
- Partilhe um segredo com a plataforma de identidade da Microsoft que comprove a identidade da aplicação. O uso de um segredo é relevante no caso em que o aplicativo é um aplicativo cliente confidencial. Um aplicativo cliente confidencial é um aplicativo que pode conter credenciais com segurança, como um cliente da Web. Um servidor back-end confiável é necessário para armazenar as credenciais.
Depois que o aplicativo é registrado, ele recebe um identificador exclusivo que compartilha com a plataforma de identidade da Microsoft quando solicita tokens. Se o aplicativo for um aplicativo cliente confidencial, ele também compartilhará o segredo ou a chave pública, dependendo se certificados ou segredos foram usados.
A plataforma de identidade da Microsoft representa aplicativos usando um modelo que cumpre duas funções principais:
- Identifique o aplicativo pelos protocolos de autenticação suportados.
- Forneça todos os identificadores, URLs, segredos e informações relacionadas necessários para autenticação.
A plataforma de identidade da Microsoft:
- Contém todos os dados necessários para dar suporte à autenticação em tempo de execução.
- Contém todos os dados para decidir quais recursos um aplicativo pode precisar acessar e em que circunstâncias uma determinada solicitação deve ser atendida.
- Fornece infraestrutura para implementar o provisionamento de aplicativos no locatário do desenvolvedor do aplicativo e para qualquer outro locatário do Microsoft Entra.
- Lida com o consentimento do usuário durante o tempo de solicitação de token e facilita o provisionamento dinâmico de aplicativos entre locatários.
Consentimento é o processo em que um proprietário de recurso concede autorização para um aplicativo cliente acessar recursos protegidos, sob permissões específicas, em nome do proprietário do recurso. A plataforma de identidade da Microsoft permite:
- Usuários e administradores concedem ou negam dinamicamente o consentimento para que o aplicativo acesse recursos em seu nome.
- Os administradores decidem, em última análise, quais aplicativos têm permissão para fazer e quais usuários podem usar aplicativos específicos, e como os recursos de diretório são acessados.
Aplicações multi-inquilino
Importante
Os aplicativos multilocatários (MTAs) não funcionam além dos limites da nuvem devido à segregação das autoridades principais de serviço dentro de cada nuvem. Por exemplo, se o objeto do aplicativo estiver hospedado na nuvem comercial, a entidade de serviço associada será criada localmente durante a integração do cliente. Esse processo falha ao cruzar os limites da nuvem porque as URLs de autoridade diferem (por exemplo, .com vs. .us), causando uma incompatibilidade.
Na plataforma de identidade da Microsoft, um objeto de aplicativo descreve um aplicativo. No momento da implantação, a plataforma de identidade da Microsoft usa o objeto de aplicativo como um esquema para criar uma entidade de serviço, que representa uma instância concreta de um aplicativo dentro de um diretório ou locatário. A entidade de serviço define o que o aplicativo pode realmente fazer em um diretório de destino específico, quem pode usá-lo, a quais recursos ele tem acesso e assim por diante. A plataforma de identidade da Microsoft cria uma entidade de serviço a partir de um objeto de aplicativo por meio de consentimento.
O diagrama a seguir mostra um fluxo simplificado de provisionamento da plataforma de identidade da Microsoft orientado pelo consentimento. Mostra dois inquilinos: A e B.
- O locatário A é o proprietário do aplicativo.
- O locatário B está instanciando o aplicativo por meio de uma entidade de serviço.
Neste fluxo de aprovisionamento:
- Um utilizador do inquilino B tenta iniciar sessão com a aplicação. O endpoint de autorização solicita um token para a aplicação.
- As credenciais do usuário são adquiridas e verificadas para autenticação.
- O usuário é solicitado a fornecer consentimento para que o aplicativo obtenha acesso ao locatário B.
- A plataforma de identidade da Microsoft usa o objeto de aplicativo no locatário A como um modelo para criar uma entidade de serviço no locatário B.
- O usuário recebe o token solicitado.
Você pode repetir esse processo para mais locatários. O locatário A retém o projeto da aplicação (objeto de aplicação). Os usuários e administradores de todos os outros locatários nos quais o aplicativo recebe consentimento mantêm controle sobre o que o aplicativo tem permissão para fazer por meio do objeto principal de serviço correspondente em cada locatário. Para obter mais informações, consulte Objetos principais de aplicativo e serviço na plataforma de identidade da Microsoft.
Próximos passos
Para obter mais informações sobre autenticação e autorização na plataforma de identidade da Microsoft, consulte os seguintes artigos:
- Para saber mais sobre os conceitos básicos de autenticação e autorização, consulte Autenticação versus autorização.
- Para saber como os tokens de acesso, os tokens de atualização e os tokens de ID são usados na autenticação e autorização, consulte Tokens de segurança.
- Para saber mais sobre o fluxo de início de sessão de aplicações Web, de ambiente de trabalho e móveis, consulte Fluxo de início de sessão de aplicações.
- Para saber mais sobre a autorização adequada usando declarações de token, consulte Proteger aplicativos e APIs validando declarações
Para obter mais informações sobre o modelo de aplicativo, consulte os seguintes artigos:
- Para obter mais informações sobre objetos de aplicativo e entidades de serviço na plataforma de identidade da Microsoft, consulte Como e por que os aplicativos são adicionados ao Microsoft Entra ID.
- Para obter mais informações sobre aplicações de um único inquilino e aplicações multinquilino, consulte o artigo Locação no Microsoft Entra ID.
- Para obter mais informações sobre como o Microsoft Entra ID também fornece o Azure Ative Directory B2C para que as organizações possam entrar em usuários, geralmente clientes, usando identidades sociais como uma conta do Google, consulte a documentação do Azure Ative Directory B2C.