Tutorial: Preparar seu locatário externo para autorizar um aplicativo daemon Node.js

Esta série de tutoriais demonstra como criar um aplicativo cliente daemon Node.js e prepará-lo para autenticação no centro de administração do Microsoft Entra. Você usará o fluxo de concessão de credenciais de cliente Open Authorization (OAuth) 2.0 e, em seguida, configurá-lo-á para adquirir um token de acesso para chamar uma API da Web.

Neste tutorial:

• Registrar uma API da Web no centro de administração do Microsoft Entra e registrar seus identificadores
• Configurar funções de aplicativo para a API da Web
• Registrar um aplicativo daemon cliente
• Conceder permissões ao aplicativo daemon
• Criar um segredo de cliente para seu aplicativo daemon

Se você já registrou um aplicativo daemon cliente e uma API da Web no centro de administração do Microsoft Entra, você pode ignorar as etapas neste tutorial e, em seguida, prosseguir para Adquirir token de acesso para chamar uma API.

Pré-requisitos

• Um locatário externo. Para criar um, escolha um dos seguintes métodos:
  • (Recomendado) Use a extensão Microsoft Entra External ID para configurar um tenant externo diretamente no Visual Studio Code.
  • Crie um novo locatário externo no centro de administração do Microsoft Entra.

Registrar um aplicativo de API da Web

1. Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.

2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.

3. Navegue até Identity>Applications>Registos de Aplicativos.

4. Selecione + Novo registo.

5. Na página Registar uma candidatura apresentada, introduza as informações de registo da sua candidatura:

   1. Na seção Nome, insira um nome de aplicativo significativo que será exibido para os usuários do aplicativo, por exemplo , ciam-ToDoList-api.

   2. Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.

6. Selecione Registar para criar a aplicação.

7. O painel Visão geral do aplicativo é exibido quando o registro é concluído. Registe o ID do diretório (locatário) e o ID da aplicação (cliente) a usar no código-fonte da aplicação.

Configurar funções do aplicativo

Uma API precisa publicar um mínimo de uma função de aplicativo, também chamada Permissão de Aplicativo, para que as aplicações cliente obtenham um token de acesso em seu próprio nome. As permissões de aplicativo são o tipo de permissões que as APIs devem publicar quando desejam permitir que os aplicativos cliente se autentiquem com êxito como entidades independentes e não precisem que os utilizadores façam login. Para publicar uma permissão de aplicativo, execute estas etapas:

1. Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-ToDoList-api) para abrir sua página Visão geral.

2. Em Gerir, selecione Funções da aplicação.

3. Selecione Criar função de aplicativo, insira os seguintes valores e selecione Aplicar para salvar as alterações:

   Propriedade	valor
   Nome de exibição	ToDoList.Read.All
   Tipos de membros permitidos	Aplicações
   valor	ToDoList.Read.All
   Descrição	Permita que o aplicativo leia a lista de ToDo de cada usuário usando o 'TodoListApi'

4. Selecione Criar função de aplicativo novamente e, em seguida, insira os seguintes valores para a segunda função de aplicativo e selecione Aplicar para salvar as alterações:

   Propriedade	valor
   Nome de exibição	ToDoList.ReadWrite.All
   Tipos de membros permitidos	Aplicações
   valor	ToDoList.ReadWrite.All
   Descrição	Permita que o aplicativo leia e escreva a lista de ToDo de cada usuário usando o 'ToDoListApi'

Configurar declaração de token idtyp

Você pode adicionar a reivindicação opcional idtyp para ajudar a API web a determinar se um token é um token de aplicativo ou um token de aplicativo e de utilizador. Embora você possa usar uma combinação de declarações scp e roles para a mesma finalidade, usar a declaração idtyp é a maneira mais fácil de diferenciar um token de aplicativo e um token de aplicativo + usuário. Por exemplo, o valor desta declaração é app quando o token é apenas para app.

Registrar o aplicativo daemon

Para permitir que a sua aplicação autentique utilizadores com o Microsoft Entra, a Microsoft Entra External ID precisa estar ciente da aplicação que criar. O registo da aplicação estabelece uma relação de confiança entre a aplicação e o Microsoft Entra. Quando você registra um aplicativo, o ID externo gera um identificador exclusivo conhecido como ID do aplicativo (cliente), um valor usado para identificar seu aplicativo ao criar solicitações de autenticação.

As etapas a seguir mostram como registrar seu aplicativo no centro de administração do Microsoft Entra:

1. Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.

2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.

3. Navegue até Identity>Applications>Registros do aplicativo.

4. Selecione + Novo registo.

5. Na página Registar uma candidatura que aparece;

   1. Insira um Nome de aplicativo significativo que é exibido para os usuários do aplicativo, por exemplo, ciam-client-app.
   2. Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.

6. Selecione Registar.

7. O painel Visão geral do aplicativo é exibido após o registro bem-sucedido. Registe o ID da Aplicação (cliente) a ser usado no código-fonte da sua aplicação.

Criar um segredo do cliente

Crie um segredo de cliente para o aplicativo registrado. O aplicativo usa o segredo do cliente para provar sua identidade quando solicita tokens:

1. Na página Registos de aplicações, selecione a aplicação que criou (como o segredo do cliente da aplicação web ) para abrir a sua página de Visão Geral .
2. Em Gerenciar, selecione Certificados & segredos>Segredos do cliente>Novo segredo do cliente.
3. Na caixa Descrição, insira uma descrição para o segredo do cliente (por exemplo, segredo do cliente do aplicativo web).
4. Em Expira, selecione uma duração para a qual o segredo é válido (de acordo com as regras de segurança da sua organização) e, em seguida, selecione Adicionar.
5. Registre o valor do segredo. Use esse valor para configuração em uma etapa posterior. O valor secreto não será exibido novamente e não poderá ser recuperado por nenhum meio, depois que você navegar para longe dos Certificados e segredos. Certifique-se de gravá-lo.

Conceder permissões de API para o aplicativo daemon

1. Na página Registros de aplicativos, selecione o aplicativo que você criou, como ciam-client-app.

2. Em Gerenciar, selecione Permissões de API.

3. Em Permissões configuradas, selecione Adicionar uma permissão.

4. Selecione a guia das APIs que a minha organização utiliza.

5. Na lista de APIs, selecione a API, como ciam-ToDoList-api.

6. Selecione a opção Permissões do aplicativo. Selecionamos esta opção quando a aplicação inicia a sessão como ela própria, mas não em nome de um utilizador.

7. Na lista de permissões, selecione TodoList.Read.All, ToDoList.ReadWrite.All (use a caixa de pesquisa, se necessário).

8. Selecione o botão Adicionar permissões .

9. Neste ponto, você atribuiu as permissões corretamente. No entanto, como o aplicativo daemon não permite que os usuários interajam com ele, os próprios usuários não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:

   1. Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
   2. Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambas as permissões.

Coletar os detalhes de registro do aplicativo

Na próxima etapa, você prepara seu aplicativo daemon. Certifique-se de que tem os seguintes detalhes:

• O ID do aplicativo (cliente) do aplicativo daemon cliente que você registrou.
• O subdomínio do Diretório (locatário) onde foi registada a sua aplicação daemon. Se não tiver o nome do inquilino, saiba como ler os detalhes do inquilino.
• O valor secreto da aplicação para o daemon que você criou.
• O ID do aplicativo (cliente) do aplicativo de API da Web que você registrou.

Próximo passo

Parte 2: Preparar seu aplicativo de daemon