Guia de início rápido: registrar um aplicativo no Microsoft Entra ID
Neste guia de início rápido, você aprenderá como registrar um aplicativo no Microsoft Entra ID. Esse processo é essencial para estabelecer uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft. Ao concluir este guia de início rápido, você habilita o gerenciamento de identidade e acesso (IAM) para seu aplicativo, permitindo que ele interaja com segurança com os serviços e APIs da Microsoft.
Pré-requisitos
- Uma conta do Azure que tenha uma assinatura ativa. Crie uma conta gratuitamente.
- A conta do Azure deve ser pelo menos um Application Developer.
- Uma força de trabalho ou inquilino externo. Você pode usar seu de diretório padrão do para este início rápido. Se necessitar de um locatário externo, primeiro conclua o passo e depois configure um locatário externo.
Registar uma aplicação
Registrar seu aplicativo no Microsoft Entra estabelece uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft. A confiança é unidirecional. Seu aplicativo confia na plataforma de identidade da Microsoft, e não o contrário. Uma vez criado, o objeto do aplicativo não pode ser movido entre locatários diferentes.
Siga estas etapas para criar o registro do aplicativo:
Entre no centro de administração do Microsoft Entra com no mínimo a função de Programador de Aplicações.
Se você tiver acesso a vários locatários, use o ícone Configurações
no menu superior para alternar para o locatário no qual deseja registrar o aplicativo.
Navegue até Identidade>Aplicações>Registros de aplicativos e selecione Novo registo.
Insira um Nome significativo para o seu, por exemplo, aplicação-cliente-de-identidade. Os usuários do aplicativo podem ver esse nome e ele pode ser alterado a qualquer momento. Você pode ter vários registros de aplicativos com o mesmo nome.
Em Tipos de conta suportados, especifique quem pode usar o aplicativo. Recomendamos que você selecione Contas neste diretório organizacional apenas para a maioria dos aplicativos. Consulte a tabela abaixo para obter mais informações sobre cada opção.
Tipos de conta suportados Descrição Apenas contas neste diretório organizacional Para aplicativos de de locatário único para uso apenas por usuários (ou convidados) em seu locatário. Contas em qualquer diretório organizacional Para aplicativos de multilocatário e você deseja que os usuários em qualquer locatário Microsoft Entra possam usar seu aplicativo. Ideal para aplicações de software como serviço (SaaS) que pretende fornecer a várias organizações. Contas em qualquer diretório organizacional e contas Microsoft pessoais Para aplicativos de multilocatário que oferecem suporte a contas da Microsoft organizacionais e pessoais (por exemplo, Skype, Xbox, Live, Hotmail). Contas pessoais da Microsoft Para aplicações utilizadas apenas por contas Microsoft pessoais (por exemplo, Skype, Xbox, Live, Hotmail). Selecione Registrar para concluir o registro do aplicativo.
A página Visão geral do aplicativo é exibida. Registre a ID do Aplicativo (cliente), que identifica exclusivamente seu aplicativo e é usada no código do aplicativo como parte da validação dos tokens de segurança que ele recebe da plataforma de identidade da Microsoft.
Importante
Por padrão, os novos registros de aplicativos ficam ocultos para os usuários. Quando estiver pronto para que os utilizadores vejam a aplicação na página As Minhas Aplicações, pode ativá-la. Para habilitar a aplicação, no centro de administração do Microsoft Entra, navegue até Identidade>Aplicações>Aplicações Empresariais e selecione a aplicação. Em seguida, na página Propriedades, defina Visível para os usuários? para Sim.
Conceder consentimento de administrador (somente locatários externos)
Depois de registares a tua aplicação, ela recebe a permissão User.Read. No entanto, para locatários externos, os próprios usuários clientes não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:
- Na página Visão Geral do registro do aplicativo, em Gerenciar, selecione permissões de API.
- Selecione Conceder consentimento de administrador para < nome de locatário >e em seguida selecione Sim.
- Selecione Atualizare depois verifique se Concedido para < nome do locatário > apareça em Status para a permissão.
Adicionar um URI de redirecionamento
Um de URI de redirecionamento de é onde a plataforma de identidade da Microsoft envia tokens de segurança após a autenticação. Você pode configurar URIs de redirecionamento em configurações de plataforma no centro de administração do Microsoft Entra. Para da Web e aplicativos de página única, você precisa especificar um URI de redirecionamento manualmente. Nestas plataformas para dispositivos móveis e desktop de, selecione entre os URIs de redirecionamento gerados. Siga estes passos para definir as definições com base na sua plataforma ou dispositivo de destino:
No Centro de administração do Microsoft Entra, em Registos de aplicações, selecione a sua aplicação.
Em Gerir, selecione Autenticação.
Em Configurações da plataforma, selecione Adicionar uma plataforma.
Em Configurar plataformas, selecione o bloco para seu tipo de aplicativo (plataforma) para definir suas configurações.
Plataforma Definições de configuração Exemplo Web Insira o de URI de Redirecionamento para um aplicativo Web executado em um servidor. URLs de logout do canal frontal também podem ser adicionadas Node.js:
•http://localhost:3000/auth/redirect
ASP.NET Núcleo:
•https://localhost:7274/signin-oidc
•https://localhost:7274/signout-callback-oidc
(URL de logout do canal frontal)
Píton:
•http://localhost:3000/getAToken
Aplicação de página única Insira um URI de redirecionamento para aplicativos do lado do cliente que usam JavaScript, Angular, React.jsou Blazor WebAssembly. URLs de encerramento de sessão do canal frontal também podem ser adicionadas JavaScript, Reagir:
•http://localhost:3000
Angular:
•http://localhost:4200/
iOS / macOS Insira o aplicativo ID do pacote, que gera um URI de redirecionamento para você. Encontre-o em Configurações de Compilação ou no Xcode em Info.plist.
Utilizador da força de trabalho
•com.<yourname>.identitysample.MSALMacOS
Inquilino externo:
•com.microsoft.identitysample.ciam.MSALiOS
Android Insira o aplicativo Nome do pacote, que gera um URI de redirecionamento para você. Encontre-o no arquivo AndroidManifest.xml . Também gere e insira o hash de assinatura. Kotlin:
•com.azuresamples.msaldelegatedandroidkotlinsampleapp
.NET MAUI
•msal{CLIENT_ID}://auth
Java:
•com.azuresamples.msalandroidapp
Aplicações móveis e de ambiente de trabalho Selecione esta plataforma para aplicativos de desktop ou aplicativos móveis que não usam MSAL ou um corretor. Selecione um URI de redirecionamento sugerido ou especifique um ou mais URIs de redirecionamento personalizados Aplicação de ambiente de trabalho com navegador incorporado.
•https://login.microsoftonline.com/common/oauth2/nativeclient
Aplicação de ambiente de trabalho do navegador do sistema:
•http://localhost
Selecione Configurar para concluir a configuração da plataforma.
Restrições de URI de redirecionamento
Há algumas restrições sobre o formato dos URIs de redirecionamento que você adiciona a um registro de aplicativo. Para obter detalhes sobre essas restrições, consulte Restrições e limitações de URI de redirecionamento (URL de resposta).
Adicionar credenciais
Depois de registrar um aplicativo, você pode adicionar certificados, segredos de cliente (uma cadeia de caracteres) ou credenciais de identidade federada como credenciais ao registro confidencial do aplicativo cliente. As credenciais permitem que seu aplicativo se autentique como ele mesmo, não exigindo nenhuma interação de um usuário em tempo de execução, e são usadas por aplicativos cliente confidenciais que acessam uma API da Web.
Às vezes chamado de chave pública, um certificado é o tipo de credencial recomendado porque eles são considerados mais seguros do que os segredos do cliente.
- No Centro de administração do Microsoft Entra, em Registos de aplicações, selecione a sua aplicação.
- Selecione Certificados & segredos>>
- Selecione o ficheiro que pretende carregar. Deve ser um dos seguintes tipos de ficheiro: .cer, .pem, .crt.
- Selecione Adicionar.
Na produção, você deve usar um certificado assinado por uma autoridade de certificação (CA) bem conhecida, como Azure Key Vault. Para obter mais informações sobre como usar um certificado como um método de autenticação em seu aplicativo, consulte Credenciais de certificado de autenticação de aplicativo da plataforma de identidade da Microsoft.
Próximo passo
Depois de registrar um aplicativo, você pode configurá-lo para expor uma API da Web. Para saber como, consulte;