La nueva experiencia Registros de aplicaciones para Azure Active Directory B2C
La nueva experiencia Registros de aplicaciones para Azure Active Directory B2C (Azure AD B2C) ya está disponible con carácter general. Si está más familiarizado con la experiencia de Aplicaciones para el registro de aplicaciones para Azure AD B2C, lo que aquí se denomina "experiencia heredada", esta guía le permitirá comenzar a usar la nueva experiencia.
Información general
Anteriormente, tenía que administrar las aplicaciones de Azure AD B2C orientadas al consumidor por separado del resto de las aplicaciones con la experiencia heredada. Eso implicaba distintas experiencias de creación de aplicaciones en distintos lugares de Azure.
La nueva experiencia muestra todos los registros de aplicaciones de Azure AD B2C y Microsoft Entra en un solo lugar y proporciona una manera coherente de administrarlos. Desde la creación de una aplicación orientada al cliente hasta la administración de una aplicación con permisos de Microsoft Graph para la administración de recursos, solo tiene que aprender una forma de hacer las cosas.
Puede acceder a la experiencia nueva si navega a los Registros de aplicaciones en un inquilino de Azure AD B2C desde los servicios de Azure AD B2C o Microsoft Entra en Azure Portal.
La experiencia de Registros de aplicaciones de Azure AD B2C se basa en la Experiencia de registro de aplicaciones general para cualquier inquilino de Microsoft Entra, pero adaptada a los inquilinos de Azure AD B2C.
¿Qué no va a cambiar?
- Las aplicaciones y las configuraciones relacionadas se pueden encontrar tal y como están en la nueva experiencia. No es necesario volver a registrar las aplicaciones y los usuarios de las aplicaciones no tendrán que iniciar sesión de nuevo.
Nota:
Para ver todas las aplicaciones creadas anteriormente, vaya a la hoja Registros de aplicaciones y seleccione la pestaña Todas las aplicaciones. Se mostrarán las aplicaciones creadas en la experiencia heredada, la experiencia nueva y las creadas en el servicio Microsoft Entra.
Nuevas características clave
En una lista de aplicaciones unificadas se muestran todas las aplicaciones que se autentican con Azure AD B2C y Microsoft Entra ID en un solo lugar para su comodidad. Además, puede aprovechar las características que ya están disponibles para las aplicaciones de Microsoft Entra, incluyendo el estado Creado en fecha, Certificados y secretos , barra de búsqueda y mucho más.
El registro de aplicaciones combinado permite registrar rápidamente una aplicación, con independencia de que esté orientada al cliente o sirva para acceder a Microsoft Graph.
El panel Puntos de conexión permite identificar rápidamente los puntos de conexión pertinentes para el escenario, como la configuración de OpenID Connect, los metadatos de SAML, Microsoft Graph API y los puntos de conexión de flujo de usuario de OAuth 2.0.
En Permisos de API y Exponer una API se proporciona una administración más extensa de ámbitos, permisos y consentimientos. Ahora también puede asignar permisos de MS Graph a una aplicación.
Ahora Propietarios y Manifiesto están disponibles para las aplicaciones que se autentican con Azure AD B2C. Puede agregar propietarios para los registros y editar directamente las propiedades de la aplicación mediante el editor de manifiestos.
Nuevos tipos de cuenta admitidos
En la experiencia nueva, puede seleccionar un tipo de cuenta admitido entre las opciones siguientes:
- Solo las cuentas de este directorio organizativo
- Cuentas en cualquier directorio organizativo (cualquier directorio de Microsoft Entra: multiinquilino)
- Cuentas en cualquier proveedor de identidades o directorio de la organización (para autenticar usuarios con flujos de usuario)
Para comprender los distintos tipos de cuenta, seleccione Ayúdame a elegir en la experiencia de creación.
En la experiencia heredada, las aplicaciones siempre se crean como aplicaciones orientadas al cliente. Para esas aplicaciones, el tipo de cuenta se establece en Cuentas en cualquier proveedor de identidades o directorio de la organización (para autenticar usuarios con flujos de usuario) .
Nota:
Esta opción es necesaria para poder ejecutar flujos de usuario de Azure AD B2C para autenticar a los usuarios de esta aplicación. Aprenda cómo registrar una aplicación para usarla con flujos de usuario.
También puede utilizar esta opción para usar Azure AD B2C como proveedor de servicios SAML. Más información.
Aplicaciones para escenarios de DevOps
Puede usar los otros tipos de cuenta para crear una aplicación a fin de administrar los escenarios de DevOps, como el uso de Microsoft Graph para cargar directivas de Identity Experience Framework o aprovisionar usuarios. Aprenda a registrar una aplicación de Microsoft Graph para administrar recursos de Azure AD B2C.
Es posible que no vea todos los permisos de Microsoft Graph, ya que muchos de estos permisos no se aplican a los usuarios del consumidor de Azure B2C. Obtenga más información sobre la administración de usuarios mediante Microsoft Graph.
Consentimiento del administrador y los ámbitos offline_access y openid
El ámbito openid es necesario para que Azure AD B2C permita el inicio de sesión de los usuarios en una aplicación. El ámbito offline_access es necesario para emitir tokens de actualización para un usuario. Estos ámbitos se han agregado previamente y se les ha asignado el consentimiento de administrador de forma predeterminada. Ahora, puede agregar fácilmente permisos para estos ámbitos durante el proceso de creación si se asegura de que la opción Grant admin consent to openid and offline_access permissions (Conceder consentimiento de administrador a los permisos openid y offline_access) está seleccionada. De lo contrario, los permisos de Microsoft Graph se pueden agregar con el consentimiento de administrador en la opción Permisos de API de una aplicación existente.
Obtenga más información sobre los permisos y el consentimiento.
Plataformas/Autenticación: direcciones URL de respuesta e identificadores URI de redirección
En la experiencia heredada, los distintos tipos de plataforma se administraban en Propiedades como direcciones URL de respuesta para aplicaciones web o API, y URI de redirección para clientes nativos. Los "clientes nativos" también se conocen como "clientes públicos" e incluyen aplicaciones para iOS, macOS, Android y otros tipos de aplicaciones de escritorio y para dispositivos móviles.
En la experiencia nueva, las direcciones URL de respuesta y los URI de redirección se conocen como URI de redirección y se pueden encontrar en la sección Autenticación de una aplicación. Los registros de aplicaciones no se limitan a una aplicación web o una aplicación nativa. Puede usar el mismo registro de aplicación para todos estos tipos de plataforma si registra los URI de redirección correspondientes.
Es obligatorio que los URI de redirección estén asociados con un tipo de aplicación, ya sea web o pública (para dispositivos móviles y de escritorio). Más información sobre los URI de redireccionamiento
Las plataformas iOS/macOS y Android son un tipo de cliente público. Proporcionan una manera fácil de configurar aplicaciones iOS/macOS o Android con los URI de redirección correspondientes para su uso con MSAL. Obtenga más información sobre las opciones de configuración de la aplicación.
Certificados y secretos de aplicación
En la experiencia nueva, en lugar de Claves, se usa la hoja Certificados y secretos para administrar los certificados y los secretos. Los certificados y secretos permiten a las aplicaciones identificarse en el servicio de autenticación al recibir tokens en una ubicación de dirección web (mediante un esquema HTTPS). Al autenticarse en Microsoft Entra ID, se recomienda usar un certificado en lugar de un secreto de cliente para los escenarios de credenciales de cliente. No se pueden usar certificados para autenticarse en Azure AD B2C.
Características no aplicables en inquilinos de Azure AD B2C
Las siguientes funcionalidades de registros de aplicaciones de Microsoft Entra no son aplicables o no están disponibles en los inquilinos de Azure AD B2C:
- Roles y administradores: no disponibles actualmente para Azure AD B2C.
- Personalización de marca: la personalización de la interfaz de usuario o la experiencia del usuario se configura en la experiencia Personalización de marca de empresa o como parte de un flujo de usuario. Aprenda a personalizar la interfaz de usuario en Azure Active Directory B2C.
- Comprobación del dominio del publicador: la aplicación está registrada en .onmicrosoft.com, que no es un dominio comprobado. Además, el dominio del publicador se usa principalmente para conceder el consentimiento del usuario, que no se aplica a las aplicaciones de Azure AD B2C para la autenticación de usuarios. Más información sobre el dominio de publicador.
- Configuración de token: el token se configura como parte de un flujo de usuario en lugar de una aplicación.
- Actualmente, la experiencia Inicios rápidos no está disponible para inquilinos de Azure AD B2C.
Limitaciones
La nueva experiencia tiene las siguientes limitaciones:
- En la actualidad, Azure AD B2C no distingue entre poder emitir tokens de acceso o de identificador para flujos implícitos; los dos tipos de tokens están disponibles para el flujo de concesión implícita si la opción Tokens de id. está seleccionada en la hoja Autenticación.
- En la interfaz de usuario no se admite el cambio del valor para las cuentas admitidas. Tendrá que usar el manifiesto de la aplicación, a menos que cambie entre Microsoft Entra de inquilino único y multiinquilino.
Pasos siguientes
Para empezar a trabajar con la nueva experiencia de registro:
- Aprenda a registrar una aplicación web.
- Aprenda a registrar una API web.
- Aprenda a registrar una aplicación cliente nativa.
- Aprenda a registrar una aplicación de Microsoft Graph para administrar recursos de Azure AD B2C.
- Aprenda a usar Azure AD B2C como proveedor de servicios SAML.
- Más información sobre los tipos de aplicación.