Gerenciar e monitorar aplicativos do Microsoft Entra

Concluído

Agora que você implementou seu primeiro aplicativo integrado Microsoft Entra, planeja explorar aspetos mais aprofundados de sua funcionalidade que se concentram em tarefas de gerenciamento e manutenção. Você também deseja garantir que você identifique quaisquer advertências adicionais sobre aplicativos multilocatário.

Quais são as tarefas comuns de gerenciamento e manutenção relacionadas aos aplicativos integrados do Microsoft Entra?

A implementação de aplicativos integrados do Microsoft Entra inclui as seguintes considerações especiais, algumas das quais podem exigir tarefas adicionais de gerenciamento e manutenção:

• Acompanhe todos os URIs (Uniform Resource Identifiers) de redirecionamento associados aos seus aplicativos, incluindo os registros DNS (Serviço de Nomes de Domínio) correspondentes.

• Proteja aplicativos Web garantindo que os URIs de redirecionamento correspondam a pontos de extremidade criptografados.

• Mantenha credenciais para aplicativos Web, APIs Web e aplicativos daemon.

• Ao usar segredos, considere automatizar seu gerenciamento, incluindo sua rotação.

• Aplique o princípio de menor privilégio ao configurar o escopo de permissão de seus aplicativos. Os aplicativos devem solicitar permissões adicionais somente quando necessário.

• Sempre que possível, use permissões delegadas em vez de permissões de aplicativo.

• Durante o desenvolvimento, use a Biblioteca de Autenticação da Microsoft em vez de programar diretamente em protocolos como OAuth 2.0 e Open ID.

  Nota

  A Biblioteca de Autenticação da Microsoft oferece uma abordagem fácil de usar para implementar uma ampla variedade de cenários de autenticação, incluindo Acesso Condicional, logon único (SSO) em todo o dispositivo e cache de token.

  Nota

  Este módulo não se destina a fornecer uma orientação completa e práticas recomendadas sobre a integração de aplicativos nativos da nuvem com o Microsoft Entra ID, mas sim a introduzir conceitos de autenticação e multilocação do Microsoft Entra.

Quais são as considerações adicionais relacionadas aos aplicativos integrados multilocatários do Microsoft Entra?

Ao implementar cenários multilocatários do Microsoft Entra, você precisa configurar seu aplicativo para aceitar entradas de qualquer locatário do Microsoft Entra. Os usuários desses locatários poderão acessar o aplicativo depois de concederem o consentimento relevante solicitado pelo seu aplicativo.

Há quatro elementos principais necessários como parte da implementação de um aplicativo multilocatário:

• Registrando o aplicativo para ser multilocatário
• Configurando o aplicativo para enviar solicitações para o ponto de extremidade /common
• Adicionando código para gerenciar vários valores de emissor
• Incluindo disposições para responder ao consentimento do utilizador e administrador

Registrar o aplicativo para ser multilocatário

Para registrar seu aplicativo como multilocatário:

1. Use a caixa de texto Pesquisar recursos, serviços e documentos para pesquisar Registro de aplicativo e, na lista de resultados, na seção Serviços do Azure , selecione Registro de aplicativo.

2. Selecione Todos os registros e selecione o can-app.

3. Selecione a opção Tipos de conta suportados, em Tipos de conta suportados Contas em qualquer diretório organizacional (Qualquer diretório Microsoft Entra - Multilocatário) e selecione Salvar.

O Microsoft Entra ID requer que o URI do ID do aplicativo seja globalmente exclusivo. Para um aplicativo de locatário único, o URI da ID do Aplicativo deve ser exclusivo dentro desse locatário. Para um aplicativo multilocatário, ele deve ser globalmente exclusivo. Para atender a esse requisito, o nome do host do URI da ID do Aplicativo precisa corresponder a um domínio verificado do locatário do Microsoft Entra.

Configurar o aplicativo para enviar solicitações para o ponto de extremidade /common

Numa aplicação de inquilino único, os pedidos de início de sessão são enviados para o ponto de extremidade de início de sessão do inquilino. Por exemplo, para contoso.com, o ponto de extremidade correspondente é https://login.microsoftonline.com/contoso.com. Efetivamente, as solicitações direcionadas a esse ponto de extremidade permitem a entrada de usuários ou convidados no locatário correspondente do Microsoft Entra. Com um aplicativo multilocatário, você não pode determinar com antecedência qual locatário será usado, então você usará o https://login.microsoftonline.com/common ponto de extremidade, que atende a todos os locatários do Microsoft Entra.

Adicionar código para gerenciar vários valores de emissor

Aplicativos Web e APIs da Web devem ser capazes de validar tokens da plataforma de identidade da Microsoft. Isso requer a implementação de uma lógica que decida quais valores do emissor são válidos e quais não são, com base na parte do ID do locatário do valor do emissor. Para obter mais detalhes, consulte a documentação referenciada na unidade de resumo deste curso.

Incluir disposições para responder ao consentimento do utilizador e do administrador

Para um aplicativo multilocatário, o registro inicial de um aplicativo ocorre no locatário do Microsoft Entra usado pelo desenvolvedor do aplicativo. Quando usuários individuais de diferentes locatários do Microsoft Entra entram no aplicativo pela primeira vez, cada um deles é solicitado a consentir com as permissões solicitadas pelo aplicativo. Isso, por sua vez, resultaria na criação de uma entidade de serviço em seus respetivos inquilinos. Para obter detalhes sobre as disposições para abordar este requisito, consulte a documentação referenciada na unidade de resumo deste curso.