Compartilhar via

Registrar aplicativos

  • Artigo

A plataforma de identidade da Microsoft portal de registro de aplicativos é o principal ponto de entrada para aplicativos que usam a plataforma para autenticação e necessidades associadas. Como desenvolvedor, ao registrar e configurar seus aplicativos, as escolhas que você faz impulsionam e afetam o quão bno seu aplicativo satisfaz os princípios de Confiança Zero. O registro efetivo de aplicativos considera especialmente os princípios de uso, acesso menos privilegiado e violação pressuposta. Este artigo ajuda você a aprender sobre o processo de registro de aplicativos e seus requisitos para garantir que seus aplicativos sigam uma abordagem de segurança Confiança Zero.

O gerenciamento de aplicativos no Microsoft Entra ID é o processo de criação, configuração, gerenciamento e monitoramento de aplicativos na nuvem. Ao registrar seu aplicativo em um locatário do Microsoft Entra, você configura o acesso de usuário seguro.

O Microsoft Entra ID representa os aplicativos por meio de objetos de aplicativos e entidades de serviços. Com algumas exceções, os aplicativos são objetos de aplicativo. Pense em uma entidade de serviço como uma instância de um aplicativo que faz referência a um objeto de aplicativo. Várias entidades de serviço entre diretórios podem fazer referência a um único objeto de aplicativo.

É possível configurar seu aplicativo para usar o Microsoft Entra ID por meio de três métodos: no Visual Studio, usando a API do Microsoft Graph ou usando o PowerShell. Há experiências de desenvolvedor no Azure e no API Explorer em todos os centros de desenvolvedores. Consulte as decisões e tarefas necessárias para as funções de desenvolvedor e profissional de TI para criar e implantar aplicativos seguros na plataforma de identidade da Microsoft.

Quem pode adicionar e registrar aplicativos

Administradores e, se permitidos pelo locatário, usuários e desenvolvedores podem criar objetos de aplicativo registrando aplicativos no portal do Azure. Por padrão, todos os usuários em um diretório podem registrar objetos de aplicativo que eles desenvolvem. Os desenvolvedores de objetos de aplicativo decidem quais aplicativos compartilham e dão acesso aos dados organizacionais por consentimento.

Quando o primeiro usuário em um diretório entra em um aplicativo e concede consentimento, o sistema cria uma entidade de serviço no locatário que armazena todas as informações de consentimento do usuário. O Microsoft Entra ID cria automaticamente uma entidade de serviço para um aplicativo recém-registrado no locatário antes que um usuário se autentique.

Aqueles a quem foi atribuída pelo menos a função de Administrador de aplicativos ou Administrador de aplicativos na nuvem podem executar tarefas específicas de aplicativos (como adicionar aplicativos da galeria de aplicativos e configurar aplicativos para usar o proxy de aplicativos).

Registrar objetos de aplicativos

Como desenvolvedor, você registra seus aplicativos que usam a plataforma de identidade da Microsoft. Registre seus aplicativos no portal do Azure ou chamando APIs de aplicativo do Microsoft Graph. Depois de registar seu aplicativo, este se comunica com a plataforma de identidade da Microsoft enviando pedidos para o ponto final.

Talvez você não tenha permissão para criar ou modificar um registro de aplicativo. Quando os administradores não lhe derem permissões para registrar seus aplicativos, pergunte a eles como você pode transmitir as informações de registro de aplicativo necessárias a eles.

Propriedades de registro de aplicativo podem incluir os seguintes componentes.

  • Nome, logotipo e editor
  • Redirecionar Uniform Resource Identifiers (URIs)
  • Segredos (chaves simétricas e/ou assimétricas usadas para autenticar o aplicativo)
  • Dependências de API (OAuth)
  • APIs/recursos/escopos publicados (OAuth)
  • Funções de aplicativos para controle de acesso baseado em funções
  • Metadados e configuração para logon único (SSO), provisionamento de usuário e proxy

Uma parte necessária do registro do aplicativo é a seleção de tipos de conta com suporte para definir quem pode utilizar seu aplicativo com base no tipo de conta do usuário. Os administradores do Microsoft Entra seguem o modelo de aplicativo para gerenciar objetos de aplicativo no portal do Azure com a experiência de registro de aplicativos e definem configurações de aplicativo que instruem ao serviço a emitir tokens para o aplicativo.

Durante o registro, você recebe a identidade do seu aplicativo: a ID do aplicativo (cliente). O aplicativo utiliza a ID de cliente sempre que executa uma transação por meio da plataforma de identidade da Microsoft.

Práticas recomendadas de registro de aplicativos

Siga as práticas recomendadas de segurança para propriedades de aplicativos ao registrar aplicativos no Microsoft Entra ID como uma parte essecial do seu uso comercial. Visa impedir o tempo de inatividade ou o comprometimento que pode afetar toda a organização. As recomendações a seguir ajudam você a desenvolver seu aplicativo seguro de acordo com os princípios do Confiança Zero.

  • Utilize a lista de verificação de integração da plataforma de identidade da Microsoft para garantir uma integração segura e de alta qualidade. Mantenha a qualidade e a segurança do seu aplicativo.
  • Definir corretamente suas URLs de redirecionamento Consulte as restrições e limitações de URI de redirecionamento (URL de resposta) para evitar problemas de compatibilidade e segurança.
  • Verifique os URIs de redirecionamento usados no registro do aplicativo e a fim de evitar apropriações de domínio. As URLs de redirecionamento devem estar em domínios que você conhece e possui. Revise e remova regularmente URIs desnecessários e não utilizados. Não utilize URIs não-https em aplicativos de produção.
  • Sempre defina e mantenha proprietários principais de aplicativos e serviços para os aplicativos registrados em seu locatário. Evite aplicativos órfãos (aplicativos e entidades de serviço sem proprietários atribuídos). Certifique-se de que os administradores de TI possam identificar fácil e rapidamente os proprietários de aplicativos durante uma emergência. Mantenha o número de proprietários de aplicativos pequeno. Dificultar que uma conta de usuário comprometida afete vários aplicativos.
  • Evite usar o mesmo registro de aplicativo para vários aplicativos. Separar os registros de aplicativos ajuda a habilitar o acesso menos privilegiado e reduzir o impacto durante uma violação.
    • Utilize registros de aplicativos separados para aplicativos que conectam usuários e aplicativos que expõem dados e operações via API (a menos que estejam bem acoplados). Essa abordagem permite permissões para uma API com privilégios mais altos, como o Microsoft Graph e credenciais (como segredos e certificados), à distância de aplicativos que entram e interagem com os usuários.
    • Utilize registros de aplicativos separados para aplicativos Web e APIs. Essa abordagem ajuda a garantir que, se a API da Web tiver um conjunto maior de permissões, o aplicativo cliente não as herde.
  • Defina seu aplicativo como multilocatário somente quando necessário. Aplicativos multilocatários permitem provisionamento em locatários diferentes dos seus. Eles exigem mais sobrecarga de gerenciamento para filtrar o acesso indesejado. A menos que você pretenda desenvolver seu aplicativo como um aplicativo multilocatário, comece com um valor SignInAudience do AzureADMyOrg.

Próximas etapas