Registrar um aplicativo com a Microsoft Identity Platform

Para que a sua aplicação utilize as capacidades de gestão de identidades e acessos (IAM) de Microsoft Entra ID, incluindo o acesso a recursos protegidos, tem de registá-la primeiro. Em seguida, o plataforma de identidade da Microsoft executa as funções de IAM para as aplicações registadas. Este artigo mostra-lhe como registar uma aplicação Web no centro de administração do Microsoft Entra. Pode saber mais sobre os tipos de aplicações que pode registar no plataforma de identidade da Microsoft.

Dica

Para registar uma aplicação para Azure AD B2C, siga os passos em Tutorial: Registar uma aplicação Web no Azure AD B2C.

Pré-requisitos

• Um inquilino Microsoft Entra ID. Se não tiver um inquilino, crie uma conta gratuita do Azure para obter a subscrição gratuita.
• Uma conta que tenha, pelo menos, a função de Administrador de Aplicações na Cloud .

Registrar um aplicativo

Registar a sua aplicação estabelece uma relação de confiança entre a sua aplicação e o plataforma de identidade da Microsoft. A confiança é unidirecional: a sua aplicação confia no plataforma de identidade da Microsoft e não no contrário. Depois de criado, o objeto da aplicação não pode ser movido entre inquilinos diferentes.

1. Entre no Centro de administração do Microsoft Entra.

2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino no qual pretende registar a aplicação a partir do menu Diretórios + subscrições .

3. Navegue atéAplicações> de Identidade>Registros de aplicativo e selecione Novo registo.

4. Introduza um Nome a apresentar para a sua aplicação.

5. Especifique quem pode utilizar a aplicação na secção Tipos de conta suportados .

   Tipos de conta com suporte	Descrição
   Contas apenas neste diretório organizacional	Selecione esta opção se estiver a criar uma aplicação para utilização apenas por utilizadores (ou convidados) no seu inquilino. Muitas vezes denominada aplicação de linha de negócio (LOB), esta aplicação é uma aplicação de inquilino único no plataforma de identidade da Microsoft.
   Contas em qualquer diretório organizacional	Selecione esta opção se pretender que os utilizadores em qualquer inquilino Microsoft Entra possam utilizar a sua aplicação. Esta opção é adequada se, por exemplo, estiver a criar uma aplicação de software como serviço (SaaS) que pretenda fornecer a várias organizações. Este tipo de aplicação é conhecido como uma aplicação multi-inquilino na plataforma de identidade da Microsoft.
   Contas em qualquer diretório organizacional e contas pessoais da Microsoft	Selecione essa opção para direcionar ao conjunto mais amplo de clientes. Ao selecionar esta opção, está a registar uma aplicação multi-inquilino que também pode suportar utilizadores com contas Microsoft pessoais. As contas Microsoft pessoais incluem contas Skype, Xbox, Live e Hotmail.
   Contas Microsoft pessoais	Selecione esta opção se estiver a criar uma aplicação apenas para utilizadores que tenham contas Microsoft pessoais. As contas Microsoft pessoais incluem contas Skype, Xbox, Live e Hotmail.

6. Não introduza nada para o URI de Redirecionamento (opcional). Irá configurar um URI de redirecionamento na secção seguinte.

7. Selecione Registar para concluir o registo inicial da aplicação.

   

Quando o registo terminar, o centro de administração do Microsoft Entra apresenta o painel Descrição Geral do registo de aplicações. Nesta página, foram atribuídos valores à aplicação para:

• ID da aplicação (cliente) que identifica exclusivamente a sua aplicação no ecossistema de cloud da Microsoft, em todos os inquilinos.
• ID de objeto que identifica exclusivamente a sua aplicação no seu inquilino.

Configurar as definições da plataforma

As definições da plataforma incluem URIs de redirecionamento, definições de autenticação específicas ou campos específicos da plataforma da aplicação, por exemplo, aplicações Web e de página única.

1. Em Gerir, selecione Autenticação.

2. Em Configurações da plataforma, selecione Adicionar uma plataforma.

3. Em Configurar plataformas, selecione o mosaico do tipo de aplicação (plataforma) para configurar as respetivas definições.

   

   Plataforma	Opção Definições
   Web	Introduza um URI de Redirecionamento para a sua aplicação. Essa URI é o local em que a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação. Também pode configurar as propriedades URL de fim de sessão de front-channel e Concessão implícita e fluxos híbridos . Selecione esta plataforma para aplicações Web padrão que são executadas num servidor.
   Aplicativo de página única	Introduza um URI de Redirecionamento para a sua aplicação. Essa URI é o local em que a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação. Também pode configurar as propriedades URL de fim de sessão de front-channel e Concessão implícita e fluxos híbridos . Selecione esta plataforma se estiver a criar uma aplicação Web do lado do cliente com JavaScript ou uma arquitetura como Angular, Vue.js, React.js ou Blazor WebAssembly.
   iOS/macOS	Introduza o ID do Pacote da aplicação. Localize-o em Definições de Criação ou em Xcode em Info.plist. É gerado um URI de redirecionamento quando especifica um ID do Pacote.
   Android	Introduza o Nome do pacote da aplicação. Localize-o no ficheiro AndroidManifest.xml . Também gere e introduza o Hash de assinatura. É gerado um URI de redirecionamento quando especifica estas definições.
   Aplicações móveis e de ambiente de trabalho	Selecione um dos URIs de Redirecionamento sugeridos. Em alternativa, especifique em ou mais URIs de redirecionamento personalizados. Para aplicações de ambiente de trabalho que utilizem o browser incorporado, recomendamos https://login.microsoftonline.com/common/oauth2/nativeclient Para aplicações de ambiente de trabalho que utilizem o browser do sistema, recomendamos http://localhost Selecione esta plataforma para aplicações móveis que não estejam a utilizar a Biblioteca de Autenticação da Microsoft (MSAL) mais recente ou que não estejam a utilizar um mediador. Selecione também esta plataforma para aplicações de ambiente de trabalho.

4. Selecione Configurar para concluir a configuração da plataforma.

Restrições de URI de redirecionamento

Existem algumas restrições no formato dos URIs de redirecionamento que adiciona a um registo de aplicação. Para obter detalhes sobre estas restrições, veja Restrições e limitações do URI de Redirecionamento (URL de resposta).

Adicionar credenciais

As credenciais são utilizadas por aplicações cliente confidenciais que acedem a uma API Web. Exemplos de clientes confidenciais são aplicações Web, outras APIs Web ou aplicações do tipo de serviço e do tipo daemon. As credenciais permitem que a sua aplicação se autentique como ela própria, não exigindo qualquer interação por parte de um utilizador no runtime.

Pode adicionar certificados, segredos de cliente (uma cadeia ou palavra-passe) ou credenciais federadas como credenciais ao registo confidencial da aplicação cliente.

Opção 1: Adicionar um certificado

Por vezes denominado chave pública, um certificado é o tipo de credencial recomendado porque são considerados mais seguros do que os segredos do cliente. Para obter mais informações sobre como utilizar um certificado como método de autenticação na sua aplicação, veja plataforma de identidade da Microsoft credenciais de certificado de autenticação de aplicação.

1. Selecione Certificados & segredos>Certificados>Carregar certificado.
2. Selecione o ficheiro que pretende carregar. Tem de ser um dos seguintes tipos de ficheiro: .cer, .pem, .crt.
3. Selecione Adicionar.

Opção 2: Adicionar um segredo do cliente

Por vezes denominado palavra-passe de aplicação, um segredo do cliente é um valor de cadeia que a sua aplicação pode utilizar em vez de um certificado para identificar a própria identidade.

Os segredos do cliente são considerados menos seguros do que as credenciais do certificado. Por vezes, os programadores de aplicações utilizam segredos de cliente durante o desenvolvimento de aplicações locais devido à facilidade de utilização. No entanto, deve utilizar credenciais de certificado ou credenciais federadas para aplicações em execução na produção.

1. Selecione Certificados & segredos>do cliente Segredos> docliente Novo segredo do cliente.
2. Adicione uma descrição para o segredo do cliente.
3. Selecione uma expiração para o segredo ou especifique uma duração personalizada.
   • A duração do segredo do cliente está limitada a dois anos (24 meses) ou menos. Não pode especificar uma duração personalizada superior a 24 meses.
   • A Microsoft recomenda que defina um valor de expiração inferior a 12 meses.
4. Selecione Adicionar.
5. Registe o valor do segredo para utilização no código da aplicação cliente. Este valor secreto nunca mais é apresentado depois de sair desta página.

Para obter recomendações de segurança de aplicações, veja plataforma de identidade da Microsoft melhores práticas e recomendações.

Se estiver a utilizar uma ligação de serviço do Azure DevOps que cria automaticamente um principal de serviço, tem de atualizar o segredo do cliente a partir do site do portal do Azure DevOps em vez de atualizar diretamente o segredo do cliente. Veja este documento sobre como atualizar o segredo do cliente a partir do site do portal do Azure DevOps: Resolver problemas de ligações de serviço do Azure Resource Manager.

Opção 3: Adicionar uma credencial federada

As credenciais federadas são um tipo de credencial que permite que cargas de trabalho, como GitHub Actions, cargas de trabalho em execução no Kubernetes ou cargas de trabalho em execução em plataformas de computação fora do Azure, acedam a recursos protegidos por Microsoft Entra ID sem necessidade de gerir segredos. As credenciais federadas utilizam a federação de identidade da carga de trabalho.

Para adicionar uma credencial federada, siga estes passos:

1. Selecione Certificados & segredos>>Credenciais federadasAdicionar credencial.

2. Na caixa pendente Cenário de credenciais federadas , selecione um dos cenários suportados e siga a documentação de orientação correspondente para concluir a configuração.

   • Chaves geridas pelo cliente para encriptar dados no seu inquilino com o Azure Key Vault noutro inquilino.
   • GitHub actions deploying Azure resources to configure a GitHub workflow to get tokens for your application and deploy assets to Azure (Ações do GitHub que implementam recursos do Azure para configurar um fluxo de trabalho do GitHub para obter tokens para a sua aplicação e implementar recursos no Azure).
   • O Kubernetes está a aceder aos recursos do Azure para configurar uma conta de serviço do Kubernetes para obter tokens para a sua aplicação e aceder aos recursos do Azure.
   • Outro emissor para configurar uma identidade gerida por um fornecedor externo do OpenID Connect para obter tokens para a sua aplicação e aceder aos recursos do Azure.

Para obter mais informações sobre como obter um token de acesso com uma credencial federada, veja plataforma de identidade da Microsoft e o fluxo de credenciais de cliente OAuth 2.0.

Outros recursos

• Saiba mais sobre permissões e consentimento no plataforma de identidade da Microsoft ou como as permissões funcionam no Microsoft Graph.
• Escolha um guia de introdução que o orienta ao longo da adição de funcionalidades principais de gestão de identidades e acessos (IAM) às suas aplicações e melhores práticas para manter as suas aplicações seguras e disponíveis.
• Saiba mais sobre os dois objetos Microsoft Entra que representam uma aplicação registada e a relação entre eles: objetos de aplicação e objetos de principal de serviço.

Próxima etapa

Utilizar a aplicação para Obter acesso em nome de um utilizador ou Obter acesso sem um utilizador