Como registrar um aplicativo de contabilidade confidencial do Azure com o Microsoft Entra ID

Neste artigo, você aprenderá como integrar seu aplicativo de contabilidade confidencial do Azure com o Microsoft Entra ID, registrando-o com a plataforma de identidade da Microsoft.

A plataforma de identidade da Microsoft executa o gerenciamento de identidade e acesso (IAM) somente para aplicativos registrados. Seja um aplicativo cliente, como um aplicativo Web ou móvel, ou uma API da Web que apoia um aplicativo cliente, registrá-lo estabelece uma relação de confiança entre seu aplicativo e o provedor de identidade, a plataforma de identidade da Microsoft. Saiba mais sobre a plataforma de identidade da Microsoft.

Pré-requisitos

• Uma conta do Azure com uma assinatura ativa e permissão para gerenciar aplicativos no Microsoft Entra ID. Crie uma conta gratuitamente.
• Um locatário do Microsoft Entra. Saiba como configurar um inquilino.
• Um aplicativo que chama o livro razão confidencial do Azure.

Registar uma aplicação

Registrar seu aplicativo de contabilidade confidencial do Azure estabelece uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft. A confiança é unidirecional: seu aplicativo confia na plataforma de identidade da Microsoft, e não o contrário.

Siga estas etapas para criar o registro do aplicativo:

1. Inicie sessão no portal do Azure.

2. Se você tiver acesso a vários locatários, use o filtro Diretórios + assinaturas no menu superior para alternar para o locatário no qual deseja registrar o aplicativo.

3. Procure e selecione Microsoft Entra ID.

4. Em Gerir, selecione Registos de>aplicações Novo registo.

5. Insira um Nome de exibição para seu aplicativo. Os usuários do seu aplicativo podem ver o nome para exibição quando usam o aplicativo, por exemplo, durante o login. Você pode alterar o nome para exibição a qualquer momento e vários registros de aplicativos podem compartilhar o mesmo nome. A ID do aplicativo (cliente) gerada automaticamente pelo registro do aplicativo, e não seu nome para exibição, identifica exclusivamente seu aplicativo dentro da plataforma de identidade.

6. Especifique quem pode usar o aplicativo, às vezes chamado de audiência de entrada.

   Tipos de conta suportados	Description
   Contas apenas neste diretório organizacional	Selecione esta opção se estiver a criar uma aplicação para utilização apenas por utilizadores (ou convidados) no seu inquilino. Muitas vezes chamado de aplicativo de linha de negócios (LOB), esse aplicativo é um aplicativo de locatário único na plataforma de identidade da Microsoft.
   Contas em qualquer diretório organizacional	Selecione essa opção se quiser que os usuários em qualquer locatário do Microsoft Entra possam usar seu aplicativo. Essa opção é apropriada se, por exemplo, você estiver criando um aplicativo SaaS (software como serviço) que pretende fornecer a várias organizações. Esse tipo de aplicativo é conhecido como um aplicativo multilocatário na plataforma de identidade da Microsoft.
   Contas em qualquer diretório organizacional e contas Microsoft pessoais	Selecione esta opção para visar o maior conjunto de clientes. Ao selecionar essa opção, você está registrando um aplicativo multilocatário que também pode oferecer suporte a usuários que têm contas pessoais da Microsoft.
   Contas pessoais da Microsoft	Selecione esta opção se estiver a criar uma aplicação apenas para utilizadores com contas pessoais da Microsoft. As contas pessoais da Microsoft incluem contas do Skype, Xbox, Live e Hotmail.

7. Não insira nada para Redirecionar URI (opcional). Você configurará um URI de redirecionamento na próxima seção.

8. Selecione Registrar para concluir o registro inicial do aplicativo.

   

Quando o registro for concluído, o portal do Azure exibirá o painel Visão geral do registro do aplicativo. Você vê a ID do aplicativo (cliente). Também chamado de ID do cliente, esse valor identifica exclusivamente seu aplicativo na plataforma de identidade da Microsoft.

Importante

Por padrão, os novos registros de aplicativos ficam ocultos para os usuários. Quando estiver pronto para que os utilizadores vejam a aplicação na respetiva página As Minhas Aplicações, pode ativá-la. Para habilitar o aplicativo, no portal do Azure, navegue até os aplicativos Enterprise do Microsoft Entra ID>e selecione o aplicativo. Em seguida, na página Propriedades, alterne Visível para os usuários? para Sim.

O código do seu aplicativo, ou mais tipicamente uma biblioteca de autenticação usada em seu aplicativo, também usa a ID do cliente. O ID é usado como parte da validação dos tokens de segurança que recebe da plataforma de identidade.

Adicionar um URI de redirecionamento

Um URI de redirecionamento é o local onde a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

Em um aplicativo Web de produção, por exemplo, o URI de redirecionamento geralmente é um ponto de extremidade público onde seu aplicativo está sendo executado, como https://contoso.com/auth-response. Durante o desenvolvimento, é comum adicionar também o ponto de extremidade onde você executa seu aplicativo localmente, como https://127.0.0.1/auth-response ou http://localhost/auth-response.

Você adiciona e modifica URIs de redirecionamento para seus aplicativos registrados definindo as configurações da plataforma.

Definir configurações da plataforma

As configurações para cada tipo de aplicativo, incluindo URIs de redirecionamento, são definidas em Configurações de plataforma no portal do Azure. Algumas plataformas, como aplicativos Web e de página única, exigem que você especifique manualmente um URI de redirecionamento. Para outras plataformas, como dispositivos móveis e desktop, você pode selecionar entre os URIs de redirecionamento gerados para você ao definir suas outras configurações.

Para definir as configurações do aplicativo com base na plataforma ou dispositivo que você está segmentando, siga estas etapas:

1. No portal do Azure, em Registros de aplicativos, selecione seu aplicativo.

2. Em Gerir, selecione Autenticação.

3. Em Configurações da plataforma, selecione Adicionar uma plataforma.

4. Em Configurar plataformas, selecione o bloco para seu tipo de aplicativo (plataforma) para definir suas configurações.

   

   Plataforma	Definições de configuração
   Web	Insira um URI de redirecionamento para seu aplicativo. Esse URI é o local onde a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação. Selecione esta plataforma para aplicativos Web padrão executados em um servidor.
   Aplicação de página única	Insira um URI de redirecionamento para seu aplicativo. Esse URI é o local onde a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação. Selecione esta plataforma se estiver criando um aplicativo Web do lado do cliente usando JavaScript ou uma estrutura como Angular, Vue.js, React.js ou Blazor WebAssembly.
   iOS / macOS	Insira o ID do pacote do aplicativo. Encontre-o em Configurações de compilação ou no Xcode em Info.plist. Um URI de redirecionamento é gerado para você quando você especifica um ID de pacote.
   Android	Insira o nome do pacote do aplicativo. Encontre-o no arquivo AndroidManifest.xml . Também gere e insira o hash Assinatura. Um URI de redirecionamento é gerado para você quando você especifica essas configurações.
   Aplicações móveis e de ambiente de trabalho	Selecione um dos URIs de redirecionamento sugeridos. Ou especifique um URI de redirecionamento personalizado. Para aplicações de ambiente de trabalho que utilizem um navegador incorporado, recomendamos https://login.microsoftonline.com/common/oauth2/nativeclient Para aplicações de ambiente de trabalho que utilizem o navegador do sistema, recomendamos http://localhost Selecione esta plataforma para aplicativos móveis que não estão usando a Biblioteca de Autenticação da Microsoft (MSAL) mais recente ou não estão usando um broker. Selecione também esta plataforma para aplicações de ambiente de trabalho.

5. Selecione Configurar para concluir a configuração da plataforma.

Restrições de URI de redirecionamento

Há algumas restrições sobre o formato dos URIs de redirecionamento que você adiciona a um registro de aplicativo. Para obter detalhes sobre essas restrições, consulte Restrições e limitações de URI de redirecionamento (URL de resposta).

Adicionar credenciais

As credenciais são usadas por aplicativos cliente confidenciais que acessam uma API da Web. Exemplos de clientes confidenciais são aplicativos Web, outras APIs da Web ou aplicativos do tipo serviço e daemon. As credenciais permitem que seu aplicativo se autentique como ele mesmo, não exigindo nenhuma interação de um usuário em tempo de execução.

Você pode adicionar certificados e segredos de cliente (uma cadeia de caracteres) como credenciais ao registro confidencial do aplicativo cliente.

Adicionar um certificado

Às vezes chamado de chave pública, um certificado é o tipo de credencial recomendado porque eles são considerados mais seguros do que os segredos do cliente. Para obter mais informações sobre como usar um certificado como um método de autenticação em seu aplicativo, consulte Credenciais de certificado de autenticação de aplicativo da plataforma de identidade da Microsoft.

1. No portal do Azure, em Registros de aplicativos, selecione seu aplicativo.
2. Selecione Certificados & segredos>Certificados>Carregar certificado.
3. Selecione o ficheiro que pretende carregar. Deve ser um dos seguintes tipos de ficheiro: .cer, .pem, .crt.
4. Selecione Adicionar.

Adicionar um segredo de cliente

Às vezes chamado de senha de aplicativo, um segredo do cliente é um valor de cadeia de caracteres que seu aplicativo pode usar no lugar de um certificado para se identificar.

Os segredos do cliente são considerados menos seguros do que as credenciais do certificado. Os desenvolvedores de aplicativos às vezes usam segredos do cliente durante o desenvolvimento de aplicativos locais devido à sua facilidade de uso. No entanto, você deve usar credenciais de certificado para qualquer um dos seus aplicativos que estão sendo executados em produção.

1. No portal do Azure, em Registros de aplicativos, selecione seu aplicativo.
2. Selecione Certificados & segredos Segredos do>cliente Novo segredo do>cliente.
3. Adicione uma descrição do segredo do cliente.
4. Selecione uma expiração para o segredo ou especifique um tempo de vida personalizado.
   • O tempo de vida do segredo do cliente é limitado a dois anos (24 meses) ou menos. Não é possível especificar um tempo de vida personalizado superior a 24 meses.
   • A Microsoft recomenda que você defina um valor de expiração inferior a 12 meses.
5. Selecione Adicionar.
6. Registre o valor do segredo para uso no código do aplicativo cliente. Este valor secreto nunca mais é apresentado depois de sair desta página.

Para obter recomendações de segurança de aplicativos, consulte Práticas recomendadas e recomendações da plataforma de identidade da Microsoft.

Próximos passos

• Autenticação de razão confidencial do Azure com ID do Microsoft Entra
• Visão geral da contabilidade confidencial do Microsoft Azure
• Integrando aplicativos com o Microsoft Entra ID
• Use o portal para criar um aplicativo Microsoft Entra e uma entidade de serviço que possa acessar recursos
• Crie uma entidade de serviço do Azure com a CLI do Azure.
• Autenticando nós de razão confidenciais do Azure