Tutorial: Preparar seu locatário externo para autorizar um aplicativo daemon .NET
Nesta série de tutoriais, você aprenderá como criar um aplicativo daemon .NET que chama sua própria API da Web protegida personalizada usando a ID Externa do Microsoft Entra. Você registrará um aplicativo no Microsoft Entra ID e autenticará seu aplicativo com seu locatário externo. Finalmente, você executará o aplicativo e testará as experiências de entrada e saída.
- Registre uma API da Web e configure as permissões do aplicativo no centro de administração do Microsoft Entra.
- Registrar um aplicativo daemon cliente e conceder-lhe permissões de aplicativo no centro de administração do Microsoft Entra
- Crie um segredo de cliente para seu aplicativo daemon no centro de administração do Microsoft Entra.
Pré-requisitos
- Uma ID do Microsoft Entra para locatário externo. Se você não tiver uma, crie um locatário de avaliação ou um locatário com uma assinatura antes de começar.
- Essa conta do Azure deve ter permissões para gerenciar aplicativos. Qualquer uma das seguintes funções do Microsoft Entra inclui as permissões necessárias:
- Administrador da Aplicação
- Programador de Aplicações
- Administrador de Aplicações na Cloud
Registrar um aplicativo de API da Web
Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.
Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
Navegue até Registros do aplicativo Identity>Applications>.
Selecione + Novo registo.
Na página Registar uma candidatura apresentada, introduza as informações de registo da sua candidatura:
Na seção Nome, insira um nome de aplicativo significativo que será exibido para os usuários do aplicativo, por exemplo , ciam-ToDoList-api.
Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.
Selecione Registar para criar a aplicação.
O painel Visão geral do aplicativo é exibido quando o registro é concluído. Registre o ID do diretório (locatário) e o ID do aplicativo (cliente) a serem usados no código-fonte do aplicativo.
Configurar funções do aplicativo
Uma API precisa publicar um mínimo de uma função de aplicativo para aplicativos, também chamada de Permissão de Aplicativo, para que os aplicativos cliente obtenham um token de acesso como eles mesmos. As permissões de aplicativo são o tipo de permissões que as APIs devem publicar quando desejam permitir que os aplicativos cliente se autentiquem com êxito como eles mesmos e não precisem entrar usuários. Para publicar uma permissão de aplicativo, execute estas etapas:
Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-ToDoList-api) para abrir sua página Visão geral.
Em Gerir, selecione Funções da aplicação.
Selecione Criar função de aplicativo, insira os seguintes valores e selecione Aplicar para salvar as alterações:
Property valor Display name ToDoList.Read.All Tipos de membros permitidos Aplicações Value ToDoList.Read.All Description Permita que o aplicativo leia a lista de ToDo de cada usuário usando o 'TodoListApi' Selecione Criar função de aplicativo novamente e, em seguida, insira os seguintes valores para a segunda função de aplicativo e selecione Aplicar para salvar as alterações:
Property valor Display name ToDoList.ReadWrite.All Tipos de membros permitidos Aplicações Value ToDoList.ReadWrite.All Description Permita que o aplicativo leia e escreva a lista de ToDo de cada usuário usando o 'ToDoListApi'
Configurar declaração de token idtyp
Você pode idtyp declaração opcional para ajudar a API da Web a determinar se um token é um token de aplicativo ou um token de aplicativo + de usuário. Embora você possa usar uma combinação de declarações scp e roles para a mesma finalidade, usar a declaração idtyp é a maneira mais fácil de diferenciar um token de aplicativo e um token de aplicativo + usuário. Por exemplo, o valor dessa declaração é app quando o token é um token somente app.
Registrar o aplicativo daemon
Para permitir que seu aplicativo entre usuários com o Microsoft Entra, a ID Externa do Microsoft Entra deve estar ciente do aplicativo criado. O registo da aplicação estabelece uma relação de confiança entre a aplicação e o Microsoft Entra. Quando você registra um aplicativo, o ID externo gera um identificador exclusivo conhecido como ID do aplicativo (cliente), um valor usado para identificar seu aplicativo ao criar solicitações de autenticação.
As etapas a seguir mostram como registrar seu aplicativo no centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.
Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
Navegue até Registros do aplicativo Identity>Applications>.
Selecione + Novo registo.
Na página Registar uma candidatura que aparece;
- Insira um Nome de aplicativo significativo que é exibido para os usuários do aplicativo, por exemplo, ciam-client-app.
- Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.
Selecione Registar.
O painel Visão geral do aplicativo é exibido após o registro bem-sucedido. Registre o ID do aplicativo (cliente) a ser usado no código-fonte do aplicativo.
Criar um segredo do cliente
Crie um segredo de cliente para o aplicativo registrado. O aplicativo usa o segredo do cliente para provar sua identidade quando solicita tokens.
- Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.
- Em Gerenciar, selecione Certificados & segredos.
- Selecione Novo segredo do cliente.
- Na caixa Descrição, insira uma descrição para o segredo do cliente (por exemplo, segredo do cliente do aplicativo ciam).
- Em Expira, selecione uma duração para a qual o segredo é válido (de acordo com as regras de segurança da sua organização) e, em seguida, selecione Adicionar.
- Registre o valor do segredo. Você usará esse valor para configuração em uma etapa posterior. O valor secreto não será exibido novamente e não poderá ser recuperado por nenhum meio, depois que você navegar para longe dos Certificados e segredos. Certifique-se de gravá-lo.
Conceder permissões de API para o aplicativo daemon
Na página Registros de aplicativos, selecione o aplicativo que você criou, como ciam-client-app.
Em Gerenciar, selecione Permissões de API.
Em Permissões configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs que minha organização usa .
Na lista de APIs, selecione a API, como ciam-ToDoList-api.
Selecione a opção Permissões do aplicativo. Selecionamos essa opção quando o aplicativo entra como ele mesmo, mas não em nome de um usuário.
Na lista de permissões, selecione TodoList.Read.All, ToDoList.ReadWrite.All (use a caixa de pesquisa, se necessário).
Selecione o botão Adicionar permissões .
Neste ponto, você atribuiu as permissões corretamente. No entanto, como o aplicativo daemon não permite que os usuários interajam com ele, os próprios usuários não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:
- Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
- Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambas as permissões.
Registar os detalhes de registo da aplicação
A próxima etapa após este tutorial é criar um aplicativo daemon que chame sua API da Web. Certifique-se de ter os seguintes detalhes:
- O ID do aplicativo (cliente) do aplicativo daemon cliente que você registrou.
- O subdomínio Diretório (locatário) onde você registrou seu aplicativo daemon. Se não tiver o nome do inquilino, saiba como ler os detalhes do inquilino.
- O valor secreto do aplicativo para o aplicativo daemon que você criou.
- O ID do aplicativo (cliente) do aplicativo de API da Web que você registrou.