Autenticação e autorização no Microsoft Entra ID
O Microsoft Entra ID fornece serviço de autenticação e autorização suportando protocolos de autenticação modernos, como OAuth 2.0 e OpenID Connect, de forma compatível com os padrões. Você pode usar bibliotecas de código aberto, como a Microsoft Authentication Library (MSAL) e outras bibliotecas compatíveis com o padrão com o Microsoft Entra ID.
No cenário de portal do funcionário, você aprende que sua organização usa o Microsoft Entra ID como o provedor de identidade para autenticação e autorização.
Nesta unidade, você aprenderá sobre autenticação, autorização e como eles são suportados no Microsoft Entra ID.
Autenticação
Autenticação refere-se ao processo de estabelecer e verificar a identidade do usuário final que está acessando um aplicativo.
O Microsoft Entra ID usa o protocolo OpenID Connect para manipular a autenticação. O OpenID Connect permite que os aplicativos obtenham informações básicas sobre o usuário autenticado e a sessão.
Autorização
A autorização é o processo de garantir que um usuário autenticado tenha permissão para executar alguma operação ou acessar alguns dados.
O protocolo OAuth 2.0 é usado para fornecer fluxos de autorização para diferentes aplicativos no Microsoft Entra ID.
Registo de aplicação
O Microsoft Entra ID exige que você registre seu aplicativo antes que ele possa fornecer serviços de gerenciamento de identidade e acesso. Registrar seu aplicativo estabelece uma relação de confiança entre o aplicativo e o provedor de identidade. Você pode criar um registro de aplicativo por meio do portal do Azure, usando a CLI do Azure e até mesmo programaticamente usando APIs do Microsoft Graph.
O registro do aplicativo permite que você especifique o nome do aplicativo, o tipo de aplicativo (web, área de trabalho e assim por diante) e o público de entrada, que é as contas de usuário às quais você deseja permitir acesso. O público de login inclui:
- Contas neste diretório organizacional somente se você estiver criando um aplicativo para uso somente por usuários no locatário organizacional (locatário único).
- Contas em qualquer diretório organizacional se você quiser que os usuários em qualquer locatário do Microsoft Entra usem seu aplicativo (multilocatário).
- Contas em qualquer diretório organizacional e contas pessoais da Microsoft para o maior conjunto de clientes (multilocatário que também oferece suporte a contas pessoais da Microsoft).
- Contas pessoais da Microsoft para utilização apenas por utilizadores de contas Microsoft pessoais (por exemplo, contas do Hotmail, Live, Skype e Xbox).
Você também pode configurar credenciais, redirecionar URIs e outras configurações de autenticação no registro do aplicativo.
Quando um registro de aplicativo é concluído, você recebe uma ID de aplicativo (cliente) que identifica exclusivamente seu aplicativo no Microsoft Entra ID. Essa ID é usada no código do aplicativo ou na biblioteca de autenticação como parte das solicitações feitas à ID do Microsoft Entra.