Compartir vía


Configuración de la aplicación de pestaña en Microsoft Entra ID

Microsoft Entra ID proporciona acceso a la aplicación de pestaña en función de la identidad de Teams del usuario de la aplicación. Registre la aplicación de pestaña con el identificador de Microsoft Entra para que el usuario de la aplicación que ha iniciado sesión en Teams pueda tener acceso a la aplicación de pestaña.

Habilitación del inicio de sesión único en Microsoft Entra ID

El registro de la aplicación de pestaña en El identificador de Microsoft Entra y su habilitación para el inicio de sesión único requiere realizar configuraciones de aplicación, como generar el identificador de aplicación, definir el ámbito de la API y autenticar previamente los identificadores de cliente para aplicaciones de confianza.

Configuración del identificador de Microsoft Entra para enviar el token de acceso a la aplicación cliente de Teams

Cree un registro de aplicación en Microsoft Entra ID y exponga su API (web) mediante ámbitos (permisos). Configure una relación de confianza entre la API expuesta en el identificador de Microsoft Entra y la aplicación. Permite al cliente de Teams obtener un token de acceso en nombre de la aplicación y del usuario que ha iniciado sesión. Puede agregar identificadores de cliente para las aplicaciones móviles, de escritorio y web de confianza que desea autorizar previamente.

También es posible que deba configurar otros detalles, como autenticar a los usuarios de la aplicación en la plataforma o el dispositivo en el que quiera dirigirse a la aplicación de pestaña.

Se admiten permisos de Graph API a nivel de usuario, es decir, correo electrónico, perfil, offline_access y OpenId. Si necesita acceso a otros ámbitos de Graph, como User.Read o Mail.Read, consulte Obtención de un token de acceso con permisos de Graph.

La configuración de Microsoft Entra habilita el inicio de sesión único para la aplicación de pestaña en Teams. Responde con un token de acceso para validar al usuario de la aplicación.

Antes de configurar la aplicación

Resulta útil si aprende sobre la configuración para registrar la aplicación en Microsoft Entra ID de antemano. Asegúrese de que se ha preparado para configurar los siguientes detalles antes de registrar la aplicación:

  • Opciones únicas o multiinquilino: ¿se usará la aplicación solo en el inquilino de Microsoft 365 donde está registrada, o la usarán muchos inquilinos de Microsoft 365? Las aplicaciones escritas para una empresa suelen ser de un solo inquilino. Las aplicaciones escritas por un proveedor de software independiente y usadas por muchos clientes deben ser multiinquilino para que el inquilino de cada cliente pueda acceder a la aplicación.
  • URI de id. de aplicación: es un URI único mundial que identifica la API web que expone para el acceso de la aplicación a través de ámbitos. También se conoce como un URI de identificador. El URI del identificador de aplicación incluye el identificador de la aplicación y el subdominio donde se hospeda la aplicación. El nombre de dominio de la aplicación y el nombre de dominio que registre para la aplicación Microsoft Entra deben ser los mismos. No se admiten varios dominios por aplicación.
  • Ámbito: es el permiso que se puede conceder a un usuario de aplicación autorizado o a su aplicación para acceder a un recurso expuesto por la API.

Nota:

  • Aplicaciones personalizadas creadas para su organización (aplicaciones LOB): las aplicaciones personalizadas creadas para su organización (aplicaciones LOB) son internas o específicas dentro de su organización o empresa. Su organización puede hacer que estas aplicaciones estén disponibles a través de Microsoft Store.
  • A aplicaciones propiedad del Cliente: SSO también se admite para las aplicaciones propiedad del cliente dentro de los inquilinos de Azure AD B2C.

Para crear y configurar la aplicación en Microsoft Entra ID para habilitar el inicio de sesión único:

Configuración de la aplicación en Microsoft Entra ID

Puede configurar la aplicación de pestaña en Microsoft Entra ID para configurar el ámbito y los permisos para los tokens de acceso.

Registre la aplicación en Microsoft Entra ID y configure el inquilino y la plataforma de la aplicación, para poder habilitarla para el inicio de sesión único. Microsoft Entra ID genera un nuevo identificador de aplicación que debe tener en cuenta. Debe actualizarlo más adelante en el archivo de manifiesto de aplicación (anteriormente denominado manifiesto de aplicación de Teams).

Nota:

Microsoft Teams Toolkit registra la aplicación Microsoft Entra en un proyecto de SSO. Puede omitir esta sección si ha usado Teams Toolkit para crear la aplicación. Sin embargo, tendría que configurar los permisos y el ámbito, y confiar en las aplicaciones cliente.

Obtenga información sobre cómo registrar la aplicación en microsoft entra id.

Para registrar una nueva aplicación en Microsoft Entra ID

  1. Abra el Azure Portal en el explorador web.

  2. Seleccione el icono Registros de aplicaciones.

    Página del Centro de administración de Microsoft Entra.

    Aparece la página Registros de aplicaciones.

  3. Seleccione + Nuevo icono de registro..

    Nueva página de registro en el Centro de administración de Microsoft Entra.

    Aparece la página Registrar una aplicación.

  4. Escriba el nombre de la aplicación que desea que se muestre al usuario de la aplicación. Puede cambiar el nombre en una fase posterior, si lo desea.

    Página de registro de aplicaciones en el Centro de administración de Microsoft Entra.

  5. Seleccione el tipo de cuenta de usuario que puede acceder a su aplicación. Puede seleccionar entre opciones únicas o multiinquilino en directorios organizativos o restringir el acceso solo a cuentas personales de Microsoft.

    Opciones para tipos de cuenta admitidos
    Opción Seleccione esta opción para...
    Solo cuentas en este directorio organizativo (solo Microsoft: inquilino único) Compile una aplicación para que solo la usen los usuarios (o invitados) de su inquilino.
    A menudo denominada aplicación personalizada creada para su organización (aplicación LOB), esta aplicación es una aplicación de inquilino único en la plataforma de identidad de Microsoft.
    Cuentas en cualquier directorio organizativo (cualquier inquilino de Microsoft Entra ID: multiinquilino) Permitir que los usuarios de cualquier inquilino de Microsoft Entra usen la aplicación. Esta opción es adecuada si, por ejemplo, está creando una aplicación SaaS y tiene previsto que esté disponible para varias organizaciones.
    Este tipo de aplicación se conoce como aplicación multiinquilino en la plataforma de identidad de Microsoft.
    Cuentas en cualquier directorio organizativo (cualquier inquilino de Microsoft Entra ID : multiinquilino) y cuentas personales de Microsoft (por ejemplo, Skype, Xbox) Dirigirse al conjunto más amplio de clientes.
    Al seleccionar esta opción, va a registrar una aplicación multiinquilino que puede admitir a los usuarios de la aplicación que también tienen cuentas personales de Microsoft.
    Solo cuentas personales de Microsoft Cree una aplicación solo para los usuarios que tengan cuentas personales de Microsoft.

    Nota:

    No es necesario escribir el URI de redirección para habilitar el inicio de sesión único para una aplicación de pestaña.

  6. Seleccione Registrar. Aparece un mensaje en el explorador que indica que se ha creado la aplicación.

    Registre la aplicación en el Centro de administración de Microsoft Entra.

    Se muestra la página con el identificador de la aplicación y otras configuraciones.

    El registro de la aplicación se ha realizado correctamente.

  7. Tenga en cuenta y guarde el identificador de aplicación del identificador de aplicación (cliente) para actualizar el manifiesto de la aplicación más adelante.

    La aplicación está registrada en Microsoft Entra ID. Ahora tiene el identificador de la aplicación para la aplicación de pestaña.

Configurar el ámbito para el token de acceso

Después de crear un nuevo registro de aplicación, configure las opciones de ámbito (permiso) para enviar token de acceso a Teams Client y autorizar aplicaciones cliente de confianza para habilitar SSO.

Para configurar el ámbito y autorizar aplicaciones cliente de confianza, necesita:

  • Para exponer una API: configure las opciones de ámbito (permiso) para la aplicación. Exponga una API web y configure el URI del identificador de aplicación.
  • Para configurar el ámbito de la API: defina el ámbito de la API y los usuarios que pueden dar su consentimiento para un ámbito. Solo puede permitir que los administradores den su consentimiento para permisos con privilegios superiores.
  • Para configurar la aplicación cliente autorizada: cree identificadores de cliente autorizados para las aplicaciones que desea autenticar previamente. Permite al usuario de la aplicación acceder a los ámbitos de la aplicación (permisos) que ha configurado, sin necesidad de ningún consentimiento adicional. Autorice previamente solo las aplicaciones cliente en las que confíe, ya que los usuarios de la aplicación no tendrán la oportunidad de rechazar el consentimiento.

Para exponer una API

  1. Seleccione Administrar>Exponer una API en el panel izquierdo.

    Exponer una opción de menú de API.

    Aparece la página Exponer una API.

  2. Seleccione Agregar para generar el URI del identificador de aplicación en forma de api://{AppID}.

    Establecer URI de id. de aplicación

    Aparece la sección para establecer el URI del ID de la aplicación.

  3. Introduzca el URI del ID de la aplicación en el formato que se explica aquí.

    URI del identificador de aplicación

    • El URI del identificador de aplicación se rellena previamente con el identificador de aplicación (GUID) en el formato api://{AppID}.
    • El formato uri del identificador de aplicación debe ser: api://fully-qualified-domain-name.com/{AppID}.
    • Inserte el fully-qualified-domain-name.com entre api:// y {AppID} (el cual es, GUID). Por ejemplo, api://example.com/{AppID}.

    donde,

    • fully-qualified-domain-name.com es el nombre de dominio legible por humanos desde el que se sirve la aplicación de pestañas. El nombre de dominio de la aplicación y el nombre de dominio que registre para la aplicación Microsoft Entra deben ser los mismos.

      Si está utilizando un servicio de tunelización, como ngrok, debe actualizar este valor cada vez que cambie el subdominio ngrok.

    • AppID es el identificador de aplicación (GUID) que se generó al registrar la aplicación. Puede verlo en la sección Información general.

    Importante

    • Información confidencial: el URI del identificador de aplicación se registra como parte del proceso de autenticación y no debe contener información confidencial.

    • URI de identificador de aplicación para la aplicación con varias funcionalidades: si va a compilar una aplicación con un bot, una extensión de mensajería y una pestaña, escriba el URI del identificador de aplicación como api://fully-qualified-domain-name.com/botid-{YourClientId}, donde {YourClientId} es el identificador de la aplicación de bot.

    • Formato para el nombre de dominio: use letras minúsculas para el nombre de dominio. No use mayúsculas.

      Por ejemplo, para crear una aplicación web o un servicio de aplicaciones con el nombre del recurso, demoapplication:

      Si el nombre del recurso base usado es La dirección URL será... El formato es compatible con...
      demoapplication https://demoapplication.example.net Todas las plataformas
      DemoApplication https://DemoApplication.example.net Solo para escritorio, web e iOS. No es compatible con Android.

      Use la opción en minúsculas demoapplication como nombre de recurso base.

  4. Haga clic en Guardar.

    Aparece un mensaje en el explorador que indica que se ha actualizado el URI del identificador de aplicación.

     Mensaje de URI de id. de la aplicación

    El URI del identificador de aplicación se muestra en la página.

     URI de id. de aplicación actualizado

  5. Tenga en cuenta y guarde el URI del identificador de aplicación para actualizar el manifiesto de la aplicación más adelante.

Para configurar el ámbito de la API

  1. Seleccione + Agregar un ámbito en la sección Ámbitos definidos por esta API.

    Seleccionar un ámbito

    Aparece la página Agregar un ámbito.

  2. Introduzca los detalles para configurar el ámbito.

    En la captura de pantalla se muestra cómo agregar detalles de ámbito en Azure.

    1. Introduzca el nombre del ámbito. Este campo es obligatorio.
    2. Seleccione el usuario que puede dar su consentimiento para este ámbito. La opción predeterminada es Solo administradores.
    3. Introduzca el nombre para mostrar del consentimiento del administrador. Este campo es obligatorio.
    4. Introduzca la descripción para el consentimiento del administrador. Este campo es obligatorio.
    5. Introduzca el nombre para mostrar del consentimiento del usuario.
    6. Introduzca la descripción del consentimiento del usuario.
    7. Seleccione la opción Habilitado para el estado.
    8. Seleccione Agregar ámbito.

    Aparece un mensaje en el explorador que indica que se ha agregado el ámbito.

    Se ha agregado un mensaje de ámbito

    El nuevo ámbito definido se muestra en la página.

    Ámbito agregado y mostrado

Para configurar la aplicación cliente autorizada

  1. Desplácese por la página Exponer una API hasta la sección Aplicación cliente autorizada, y seleccione + Agregar una aplicación cliente.

    A aplicación cliente autorizada

    Aparece la página Agregar una aplicación cliente.

  2. Escriba el identificador de cliente de Microsoft 365 adecuado para las aplicaciones que desea autorizar para la aplicación web de la aplicación.

    Agregar una aplicación cliente

    Nota:

    • Los identificadores de cliente de Microsoft 365 para aplicaciones móviles, de escritorio y web para Teams, la aplicación de Microsoft 365 y Outlook son los identificadores reales que debe agregar.
    • Para una aplicación de pestaña de Teams, necesita Web o SPA, ya que no puede tener una aplicación cliente de escritorio o móvil en Teams.
    1. Seleccione uno de los siguientes identificadores de cliente:

      Microsoft 365 aplicación cliente Id. de cliente
      Escritorio de Teams, móvil 1fec8e78-bli4-4aaf-ab1b-5451cc387264
      Web de Teams 5e3ce6c0-2b1f-4285-8d4b-75ee78787346
      Web de Microsoft 365 4765445b-32c6-49b0-83e6-1d93765276ca
      Escritorio de Microsoft 365 0ec893e0-5785-4de6-99da-4ed124e5296c
      Microsoft 365 mobile d3590ed6-52b3-4102-aeff-aad2292ab01c
      Versión de escritorio de Outlook d3590ed6-52b3-4102-aeff-aad2292ab01c
      Outlook web bc59ab01-8403-45c6-8796-ac3ef710b3e3
      Outlook para dispositivos móviles 27922004-5251-4030-b22d-91ecd9a37ea4

      Nota:

      Algunas aplicaciones cliente de Microsoft 365 comparten identificadores de cliente.

    2. Seleccione el URI de identificador de aplicación que creó para la aplicación en Ámbitos autorizados para agregar el ámbito a la API web que ha expuesto.

    3. Seleccione Agregar aplicación.

      Aparece un mensaje en el explorador que indica que se ha agregado la aplicación cliente autorizada.

      Se ha agregado un mensaje a la aplicación cliente

      El identificador de cliente de la aplicación autorizada se muestra en la página.

      Aplicación cliente agregada y mostrada

Nota:

Puede autorizar más de una aplicación cliente. Repita los pasos de este procedimiento para configurar otra aplicación cliente autorizada.

Ha configurado correctamente el ámbito de la aplicación, los permisos y las aplicaciones cliente. Asegúrese de anotar y guardar el URI del identificador de aplicación. A continuación, configure la versión del token de acceso.

Configuración de la versión del token de acceso

Debe definir la versión del token de acceso para la aplicación. Esta configuración se realiza en el manifiesto de aplicación de la aplicación Microsoft Entra.

Para definir la versión del token de acceso

  1. Seleccione Administrar>manifiesto en el panel izquierdo.

    Manifiesto del Centro de administración de Microsoft Entra

    Aparece el manifiesto de la aplicación Microsoft Entra.

  2. Introduzca 2 como valor de la accessTokenAcceptedVersion propiedad.

    Nota:

    Si ha seleccionado Solo cuentas personales de Microsoft o Cuentas en cualquier directorio organizativo (cualquier directorio de Microsoft Entra : multiinquilino) y cuentas personales de Microsoft (por ejemplo, Skype y Xbox) durante el registro de la aplicación, actualice el valor de la accessTokenAcceptedVersion propiedad como 2.

    Valor para la versión del token de acceso aceptado

  3. Seleccione Guardar.

    Aparece un mensaje en el explorador que indica que el manifiesto de la aplicación se actualizó correctamente.

    Mensaje actualizado del manifiesto

Enhorabuena. Ha completado la configuración de la aplicación en Microsoft Entra ID necesaria para habilitar el inicio de sesión único para la aplicación de pestaña.

Paso siguiente

Recursos adicionales