A nova experiência de Registros de aplicativo para Azure Active Directory B2C
A nova experiência de registros de aplicativo para Azure Active Directory B2C (Azure AD B2C) já está disponível para o público em geral. Se você estiver mais familiarizado com a experiência de aplicativos para registrar aplicativos para Azure AD B2C, mencionado aqui como a "experiência herdada", este guia ajudará você a começar a usar a nova experiência.
Visão geral
Anteriormente, era necessário gerenciar seus aplicativos orientados para o cliente do Azure AD B2C de forma separada do restante dos seus aplicativos usando a experiência herdada. Isso significava experiências de criação de aplicativo diferentes em locais diferentes no Azure.
A nova experiência mostra todos os registros de aplicativo do Microsoft Entra B2C e registros de aplicativo do Microsoft Entra em um único local e fornece uma maneira consistente de gerenciá-los. De criar um aplicativo orientado para o cliente a gerenciar um aplicativo com permissões de Microsoft Graph para gerenciamento de recursos, você só precisa aprender uma maneira de fazer coisas.
Você pode acessar a nova experiência navegando até Registros de aplicativo em um locatário do Microsoft Entra B2C tanto do Microsoft Entra B2C quanto dos serviços do Microsoft Entra ID no portal do Azure.
A experiência de registros de aplicativo no Microsoft Entra B2C é baseada na experiência geral de Registro de aplicativo para qualquer locatário do Microsoft Entra, mas é adaptada para locatários do Microsoft Entra B2C.
O que não está mudando?
- Seus aplicativos e configurações relacionadas podem ser encontrados no estado em que se encontram na nova experiência. Você não precisa registrar os aplicativos novamente e os usuários de seus aplicativos não precisarão entrar novamente.
Observação
Para exibir todos os aplicativos criados anteriormente, navegue até a folha Registros de aplicativo e selecione a guia Todos os aplicativos. Isso exibirá os aplicativos criados na experiência herdada, a nova experiência e os criados no serviço do Microsoft Entra.
Novos recursos chave
Uma lista de aplicativos unificados mostra todos os aplicativos que se autenticam com o Microsoft Entra B2C e o Microsoft Entra ID em um único local conveniente. Além disso, você pode aproveitar os recursos já disponíveis para aplicativos do Microsoft Entra, incluindo o status Criado na data, Certificados e segredos, barra de pesquisa e muito mais.
O registro de aplicativo combinado permite que você registre rapidamente um aplicativo, seja um aplicativo orientado para o cliente ou um aplicativo para acessar o Microsoft Graph.
O painel Pontos de extremidade permite identificar rapidamente os pontos de extremidade relevantes para seu cenário, incluindo a configuração do OpenID Connect, os metadados SAML, a API do Microsoft Graph e os pontos de extremidade do fluxo de usuário do OAuth 2.0.
Permissões de API e Expor uma API fornecem gerenciamento de escopo, permissão e consentimento mais extensivo. Agora você também pode atribuir permissões do Microsoft Graph a um aplicativo.
Proprietários e Manifesto agora estão disponíveis para aplicativos autenticados com Azure AD B2C. Você pode adicionar proprietários para seus registros e editar diretamente as propriedades do aplicativo usando o editor de manifesto.
Novos tipos de conta suportados
Na nova experiência, você seleciona um tipo de conta de suporte a partir das seguintes opções:
- Contas somente neste diretório organizacional
- Contas em qualquer diretório organizacional (Qualquer diretório do Microsoft Entra - Multilocatário)
- Contas em qualquer provedor de identidade ou diretório organizacional (para autenticar usuários com fluxos de usuários)
Para entender os tipos de conta diferentes, selecione Ajude-me a escolher na experiência de criação.
Na experiência herdada, os aplicativos eram sempre criados como aplicativos orientados para o cliente. Para esses aplicativos, o tipo de conta é definido para Contas em qualquer provedor de identidade ou diretório organizacional (para autenticar usuários com fluxos de usuários) .
Observação
Essa opção é necessária para poder executar fluxos de usuários do Azure AD B2C para este aplicativo. Saiba como registrar um aplicativo para uso com fluxos de usuário.
Essa opção também pode ser escolhida a fim de usar o Azure AD B2C como um provedor de serviços SAML. Saiba mais.
Aplicativos para cenários de DevOps
Você pode usar os outros tipos de conta para criar um aplicativo para gerenciar seus cenários de DevOps, como usar Microsoft Graph para carregar políticas de estrutura de experiência de identidade ou provisionar usuários. Saiba como registrar um aplicativo do Microsoft Graph para gerenciar recursos do Azure AD B2C.
Talvez você não veja todas as permissões de Microsoft Graph, pois muitas dessas permissões não se aplicam aos usuários consumidores do Azure B2C. Leia mais sobre como gerenciar usuários usando Microsoft Graph.
Consentimento de administrador e escopos offline_access+openid
O escopo OpenID é necessário para que o Azure AD B2C possa conectar usuários a um aplicativo. O escopo offline_access é necessário para emitir tokens de atualização para um usuário. Esses escopos foram adicionados anteriormente e receberam consentimento de administrador por padrão. Agora, você pode adicionar facilmente permissões para esses escopos durante o processo de criação, garantindo que a opção Conceder consentimento do administrador para permissões Openid e offline_access esteja selecionada. Caso contrário, as permissões de Microsoft Graph podem ser adicionadas com consentimento de administrador nas configurações de permissões de API para um aplicativo existente.
Saiba mais sobre permissões e consentimento.
Plataformas/autenticação: URLs de resposta/URIs de redirecionamento
Na experiência herdada, os vários tipos de plataforma foram gerenciados em Propriedades como URLs de resposta para aplicativos Web/APIs e como URI de redirecionamento para clientes nativos. "Clientes nativos" também são conhecidos como "clientes públicos" e incluem aplicativos para iOS, macOS, Android e outros tipos de aplicativos móveis e de área de trabalho.
Na nova experiência, as URLs de resposta e os URIs de redirecionamento são chamados de URIs de redirecionamento e podem ser encontrados na seção Autenticação de um aplicativo. Os Registros de aplicativo não estão limitados a ser um aplicativo Web ou nativo. Você pode usar o mesmo registro de aplicativo para todos esses tipos de plataforma registrando os respectivos URIs de redirecionamento.
Os URIs de redirecionamento devem ser associados a um tipo de aplicativo, Web ou público (móvel e área de trabalho). Saiba mais sobre URIs de redirecionamento
As plataformas iOS/macOS e Android são um tipo de cliente público. Elas fornecem uma maneira fácil de configurar aplicativos iOS/macOS ou Android com URIs de redirecionamento correspondentes para uso com MSAL. Saiba mais sobre Opções de configuração de aplicativo.
Segredos e certificados de aplicativos
Na nova experiência, em vez de Chaves, você usa a folha Certificados e segredos para gerenciar certificados e segredos. Os certificados e segredos permitem que os aplicativos se identifiquem para o serviço de autenticação ao receber tokens em um local endereçável da Web (usando um esquema HTTPS). É recomendável usar um certificado em vez de um segredo do cliente para cenários de credencial do cliente ao autenticar no Microsoft Entra. Os certificados não podem ser usados para autenticação no Azure AD B2C.
Recursos não aplicáveis em locatários Azure AD B2C
Os seguintes recursos de registro de aplicativo do Microsoft Entra não são aplicáveis ou estão disponíveis em locatários do Microsoft Entra B2C:
- Funções e administradores – não disponíveis no momento para Azure AD B2C.
- Identidade visual – a personalização da UI/UX é configurada na experiência de identidade visual da empresa ou como parte de um fluxo de usuário. Saiba como personalizar a interface do usuário no Azure Active Directory B2C.
- Verificação de domínio do editor -seu aplicativo está registrado em .onmicrosoft.com, que não é um domínio verificado. Além disso, o domínio do editor é usado principalmente para conceder o consentimento do usuário, que não se aplica a aplicativos Azure AD B2C para autenticação de usuário. Saiba mais sobre o domínio do editor.
- Configuração de token -o token é configurado como parte de um fluxo de usuário em vez de um aplicativo.
- A experiência de guias de início rápido não está disponível atualmente para locatários Azure AD B2C.
Limitações
As novas experiências tem as seguintes limitações:
- Neste momento, o Azure AD B2C não diferencia a capacidade de emitir tokens de acesso ou de ID para fluxos implícitos; os dois tipos de tokens estão disponíveis para o fluxo de concessão implícita se a opção de Tokens de ID estiver selecionada na folha Autenticação.
- Não há suporte para a alteração do valor de contas com suporte na interface do usuário. Você precisará usar o manifesto do aplicativo, a menos que esteja alternando entre locatário único e multilocatário do Microsoft Entra.
Próximas etapas
Para começar a usar a nova experiência de registro de aplicativo:
- Saiba como registrar um aplicativo Web.
- Saiba como registrar uma API Web.
- Saiba como registrar um aplicativo cliente nativo.
- Saiba como registrar um aplicativo do Microsoft Graph para gerenciar recursos do Azure AD B2C.
- Saiba como usar Azure AD B2C como um provedor de serviços SAML.
- Saiba mais sobre tipos de aplicativo.