Guia de início rápido: registrar um aplicativo no Microsoft Entra ID

Neste guia de início rápido, você aprenderá como registrar um aplicativo no Microsoft Entra ID. Esse processo é essencial para estabelecer uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft. Ao concluir este guia de início rápido, você habilita o gerenciamento de identidade e acesso (IAM) para seu aplicativo, permitindo que ele interaja com segurança com os serviços e APIs da Microsoft.

Pré-requisitos

• Uma conta do Azure que tenha uma assinatura ativa. Crie uma conta gratuitamente.
• A conta do Azure deve ser pelo menos um Application Developer.
• Uma força de trabalho ou inquilino externo. Você pode usar seu de diretório padrão do para este início rápido. Se necessitar de um locatário externo, primeiro conclua o passo e depois configure um locatário externo.

Registar uma aplicação

Registrar seu aplicativo no Microsoft Entra estabelece uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft. A confiança é unidirecional. Seu aplicativo confia na plataforma de identidade da Microsoft, e não o contrário. Uma vez criado, o objeto do aplicativo não pode ser movido entre locatários diferentes.

Siga estas etapas para criar o registro do aplicativo:

1. Entre no centro de administração do Microsoft Entra com no mínimo a função de Programador de Aplicações.

2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o locatário no qual deseja registrar o aplicativo.

3. Navegue até Identidade>Aplicações>Registros de aplicativos e selecione Novo registo.

4. Insira um Nome significativo para o seu, por exemplo, aplicação-cliente-de-identidade. Os usuários do aplicativo podem ver esse nome e ele pode ser alterado a qualquer momento. Você pode ter vários registros de aplicativos com o mesmo nome.

5. Em Tipos de conta suportados, especifique quem pode usar o aplicativo. Recomendamos que você selecione Contas neste diretório organizacional apenas para a maioria dos aplicativos. Consulte a tabela abaixo para obter mais informações sobre cada opção.

   Tipos de conta suportados	Descrição
   Apenas contas neste diretório organizacional	Para aplicativos de de locatário único para uso apenas por usuários (ou convidados) em seu locatário.
   Contas em qualquer diretório organizacional	Para aplicativos de multilocatário e você deseja que os usuários em qualquer locatário Microsoft Entra possam usar seu aplicativo. Ideal para aplicações de software como serviço (SaaS) que pretende fornecer a várias organizações.
   Contas em qualquer diretório organizacional e contas Microsoft pessoais	Para aplicativos de multilocatário que oferecem suporte a contas da Microsoft organizacionais e pessoais (por exemplo, Skype, Xbox, Live, Hotmail).
   Contas pessoais da Microsoft	Para aplicações utilizadas apenas por contas Microsoft pessoais (por exemplo, Skype, Xbox, Live, Hotmail).

6. Selecione Registrar para concluir o registro do aplicativo.

   

7. A página Visão geral do aplicativo é exibida. Registre a ID do Aplicativo (cliente), que identifica exclusivamente seu aplicativo e é usada no código do aplicativo como parte da validação dos tokens de segurança que ele recebe da plataforma de identidade da Microsoft.

   

Importante

Por padrão, os novos registros de aplicativos ficam ocultos para os usuários. Quando estiver pronto para que os utilizadores vejam a aplicação na página As Minhas Aplicações, pode ativá-la. Para habilitar a aplicação, no centro de administração do Microsoft Entra, navegue até Identidade>Aplicações>Aplicações Empresariais e selecione a aplicação. Em seguida, na página Propriedades, defina Visível para os usuários? para Sim.

Conceder consentimento de administrador (somente locatários externos)

Depois de registares a tua aplicação, ela recebe a permissão User.Read. No entanto, para locatários externos, os próprios usuários clientes não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:

1. Na página Visão Geral do registro do aplicativo, em Gerenciar, selecione permissões de API.
2. Selecione Conceder consentimento de administrador para < nome de locatário >e em seguida selecione Sim.
3. Selecione Atualizare depois verifique se Concedido para < nome do locatário > apareça em Status para a permissão.

Adicionar um URI de redirecionamento

Um de URI de redirecionamento de é onde a plataforma de identidade da Microsoft envia tokens de segurança após a autenticação. Você pode configurar URIs de redirecionamento em configurações de plataforma no centro de administração do Microsoft Entra. Para da Web e aplicativos de página única, você precisa especificar um URI de redirecionamento manualmente. Nestas plataformas para dispositivos móveis e desktop de, selecione entre os URIs de redirecionamento gerados. Siga estes passos para definir as definições com base na sua plataforma ou dispositivo de destino:

1. No Centro de administração do Microsoft Entra, em Registos de aplicações, selecione a sua aplicação.

2. Em Gerir, selecione Autenticação.

3. Em Configurações da plataforma, selecione Adicionar uma plataforma.

4. Em Configurar plataformas, selecione o bloco para seu tipo de aplicativo (plataforma) para definir suas configurações.

   

   Plataforma	Definições de configuração	Exemplo
   Web	Insira o de URI de Redirecionamento para um aplicativo Web executado em um servidor. URLs de logout do canal frontal também podem ser adicionadas	Node.js: • http://localhost:3000/auth/redirect ASP.NET Núcleo: • https://localhost:7274/signin-oidc • https://localhost:7274/signout-callback-oidc (URL de logout do canal frontal) Píton: • http://localhost:3000/getAToken
   Aplicação de página única	Insira um URI de redirecionamento para aplicativos do lado do cliente que usam JavaScript, Angular, React.jsou Blazor WebAssembly. URLs de encerramento de sessão do canal frontal também podem ser adicionadas	JavaScript, Reagir: • http://localhost:3000 Angular: • http://localhost:4200/
   iOS / macOS	Insira o aplicativo ID do pacote, que gera um URI de redirecionamento para você. Encontre-o em Configurações de Compilação ou no Xcode em Info.plist.	Utilizador da força de trabalho • com.<yourname>.identitysample.MSALMacOS Inquilino externo: • com.microsoft.identitysample.ciam.MSALiOS
   Android	Insira o aplicativo Nome do pacote, que gera um URI de redirecionamento para você. Encontre-o no arquivo AndroidManifest.xml . Também gere e insira o hash de assinatura.	Kotlin: • com.azuresamples.msaldelegatedandroidkotlinsampleapp .NET MAUI • msal{CLIENT_ID}://auth Java: • com.azuresamples.msalandroidapp
   Aplicações móveis e de ambiente de trabalho	Selecione esta plataforma para aplicativos de desktop ou aplicativos móveis que não usam MSAL ou um corretor. Selecione um URI de redirecionamento sugerido ou especifique um ou mais URIs de redirecionamento personalizados	Aplicação de ambiente de trabalho com navegador incorporado. • https://login.microsoftonline.com/common/oauth2/nativeclient Aplicação de ambiente de trabalho do navegador do sistema: • http://localhost

5. Selecione Configurar para concluir a configuração da plataforma.

Restrições de URI de redirecionamento

Há algumas restrições sobre o formato dos URIs de redirecionamento que você adiciona a um registro de aplicativo. Para obter detalhes sobre essas restrições, consulte Restrições e limitações de URI de redirecionamento (URL de resposta).

Adicionar credenciais

Depois de registrar um aplicativo, você pode adicionar certificados, segredos de cliente (uma cadeia de caracteres) ou credenciais de identidade federada como credenciais ao registro confidencial do aplicativo cliente. As credenciais permitem que seu aplicativo se autentique como ele mesmo, não exigindo nenhuma interação de um usuário em tempo de execução, e são usadas por aplicativos cliente confidenciais que acessam uma API da Web.

Adicionar um certificado

Às vezes chamado de chave pública, um certificado é o tipo de credencial recomendado porque eles são considerados mais seguros do que os segredos do cliente.

1. No Centro de administração do Microsoft Entra, em Registos de aplicações, selecione a sua aplicação.
2. Selecione Certificados & segredos>>
3. Selecione o ficheiro que pretende carregar. Deve ser um dos seguintes tipos de ficheiro: .cer, .pem, .crt.
4. Selecione Adicionar.

Na produção, você deve usar um certificado assinado por uma autoridade de certificação (CA) bem conhecida, como Azure Key Vault. Para obter mais informações sobre como usar um certificado como um método de autenticação em seu aplicativo, consulte Credenciais de certificado de autenticação de aplicativo da plataforma de identidade da Microsoft.

Adicionar um segredo de cliente

Às vezes chamado de palavra-passe de aplicação, um segredo de cliente é um valor de texto que a sua aplicação pode usar no lugar de um certificado para se identificar.

Os segredos do cliente são menos seguros do que o certificado ou as credenciais federadas e, portanto, não devem ser usados em ambientes de produção. Embora possam ser convenientes para o desenvolvimento de aplicativos locais, é imperativo usar credenciais federadas ou de certificado para todos os aplicativos em execução em produção para garantir maior segurança.

1. No Centro de administração do Microsoft Entra, em Registos de aplicações, selecione a sua aplicação.
2. Selecione Certificados & SegredosSegredos do clienteNovo segredo do cliente.
3. Adicione uma descrição do segredo do cliente.
4. Selecione uma expiração para o segredo ou especifique um tempo de vida personalizado.
   • O tempo de vida do segredo do cliente é limitado a dois anos (24 meses) ou menos. Não é possível especificar um tempo de vida personalizado superior a 24 meses.
   • A Microsoft recomenda que você defina um valor de expiração inferior a 12 meses.
5. Selecione Adicionar.
6. Registre o valor do segredo para uso no código do aplicativo cliente. Este valor secreto nunca mais é apresentado depois de sair desta página.

Para saber mais sobre vulnerabilidades de segredo do cliente, consulte Migrar aplicativos para longe da autenticação baseada em segredo.

Se estiver a usar uma ligação de serviço do Azure DevOps que cria automaticamente uma entidade de serviço, deverá atualizar o segredo do cliente no portal do Azure DevOps em vez de atualizar diretamente o segredo do cliente. Consulte este documento sobre como atualizar o segredo do cliente do site de portal do Azure DevOps: Solucionar problemas de conexões de serviço do Azure Resource Manager.

Adicionar uma credencial federada

As credenciais de identidade federada são um tipo de credencial que permite que cargas de trabalho, como Ações do GitHub, cargas de trabalho em execução no Kubernetes ou cargas de trabalho executadas em plataformas de computação fora do Azure acessem recursos protegidos do Microsoft Entra sem a necessidade de gerenciar segredos usando a federação de identidades de carga de trabalho.

Para adicionar uma credencial federada, siga estas etapas:

1. No Centro de administração do Microsoft Entra, em Registos de aplicações, selecione a sua aplicação.

2. Selecione Certificados & segredos>Credenciais federadas>Adicionar credencial.

3. Na caixa suspensa Cenário de credenciais federadas, selecione um dos cenários suportados e siga as orientações correspondentes para concluir a configuração.

   • Chaves gerenciadas pelo cliente para criptografar dados em seu locatário usando o Cofre de Chaves do Azure em outro locatário.
   • Ações do GitHub implantando recursos do Azure para configurar um fluxo de trabalho do GitHub para obter tokens para seu aplicativo e implantar ativos no Azure.
   • Kubernetes acessando recursos do Azure para configurar uma conta de serviço Kubernetes para obter tokens para seu aplicativo e acessar recursos do Azure.
   • Outro emissor para configurar o aplicativo para confiar numa identidade gerida ou uma identidade gerida por um fornecedor externo de OpenID Connect, para obter tokens para a sua aplicação e para aceder aos recursos do Azure.

Para obter mais informações sobre como obter um token de acesso com uma credencial federada, consulte plataforma de identidade da Microsoft e o fluxo de credenciais do cliente OAuth 2.0.

Próximo passo

Expor uma API da Web

Depois de registrar um aplicativo, você pode configurá-lo para expor uma API da Web. Para saber como, consulte;

Configurar um aplicativo para expor uma API da Web

Explorar código de exemplo

A plataforma de identidade da Microsoft oferece uma variedade de exemplos de código adaptados para diferentes tipos de aplicativos e plataformas. Para explorar esses exemplos, consulte;

Exemplos de código da plataforma de identidade da Microsoft