Inicio rápido: Registro de una aplicación en la plataforma de identidad de Microsoft

  • Artículo

Para empezar a trabajar con la plataforma de identidad de Microsoft, registre una aplicación en Azure Portal.

La plataforma de identidad de Microsoft realiza la administración de identidades y acceso (IAM) solo para las aplicaciones registradas. Tanto si se trata de una aplicación del cliente (por ejemplo, móvil o web) como de una API web que respalda una aplicación cliente, al registrarlas se establece una relación de confianza entre la aplicación y el proveedor de identidades, es decir, la plataforma de identidad de Microsoft.

Sugerencia

Para registrar una aplicación en Azure AD B2C, siga los pasos que se indican en Tutorial: Registro de una aplicación web en Azure AD B2C.

Requisitos previos

Registro de una aplicación

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

El registro de la aplicación establece una relación de confianza entre la aplicación y la plataforma de identidad de Microsoft. La confianza es unidireccional: la aplicación confía en la plataforma de identidad de Microsoft y no al revés. Una vez creado, el objeto de aplicación no se podrá mover entre distintos inquilinos.

Siga estos pasos para crear el registro de la aplicación:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Si tiene acceso a varios inquilinos, use el icono Configuración del menú superior para cambiar al inquilino en el que desea registrar la aplicación desde el menú Directorios y suscripciones.

  3. Vaya a Identidad>Aplicaciones>Registros de aplicaciones y seleccione Nuevo registro.

  4. Escriba un Nombre de usuario para la aplicación. Los usuarios de la aplicación pueden ver el nombre de usuario cuando usan la aplicación, por ejemplo, durante el inicio de sesión Puede cambiar el nombre para mostrar en cualquier momento y varios registros de aplicaciones pueden compartir el mismo nombre. La aplicación (cliente) ID, la cual se genera automáticamente durante el registro, el lo que identifica su aplicación dentro de la plataforma de identidades.

  5. Especifique qué personas pueden usar la aplicación. A veces, se conoce a estas personas como público de inicio de sesión.

    Tipos de cuenta admitidos Descripción
    Solo las cuentas de este directorio organizativo Seleccione esta opción si va a desarrollar una aplicación para que la utilicen usuarios (o invitados) de su inquilino.

    A menudo denominada aplicación de línea de negocio, se trata de una aplicación de un solo inquilino en la plataforma de identidad de Microsoft.
    Cuentas en cualquier directorio organizativo Seleccione esta opción si quiere que los usuarios de cualquier inquilino de Microsoft Entra puedan usar la aplicación. Esta opción es adecuada si, por ejemplo, va a desarrollar una aplicación de software como servicio (SaaS) que desea proporcionar a varias organizaciones.

    Este tipo de aplicación se denomina multiinquilino en la plataforma de identidad de Microsoft.
    Cuentas en cualquier directorio organizativo y cuentas Microsoft personales Seleccione esta opción para establecer como destino el mayor conjunto posible de clientes.

    Al seleccionar esta opción, estará registrando una aplicación multiinquilino que también admite usuarios con cuentas personales de Microsoft. Las cuentas personales de Microsoft abarcan las cuentas de Skype, Xbox, Live y Hotmail.
    Cuentas personales de Microsoft Seleccione esta opción si va a crear una aplicación solo para usuarios con cuentas personales de Microsoft. Las cuentas personales de Microsoft abarcan las cuentas de Skype, Xbox, Live y Hotmail.

  6. No escriba nada en URI de redirección (opcional) . Configurará un URI de redirección en la sección siguiente.

  7. Seleccione Registrar para completar el registro inicial de la aplicación.

    Screenshot of Microsoft Entra admin center in a web browser, showing the Register an application pane.

Cuando finalice el registro, en el Centro de administración de Microsoft Entra se mostrará el panel Información general del registro de la aplicación. Verá el id. de aplicación (cliente) . Este valor, también conocido como Id. de cliente, identifica de forma única la aplicación en la plataforma de identidad de Microsoft.

Importante

De forma predeterminada, los nuevos registros de aplicaciones están ocultos a los usuarios. Cuando esté listo para que los usuarios puedan ver la aplicación en su página Mis aplicaciones, puede habilitarla. Para habilitar la aplicación, en el Centro de administración de Microsoft Entra, vaya a Identidad>Aplicaciones>Aplicaciones empresariales y seleccione la aplicación. Después, en la página Propiedades, cambie ¿Es visible para los usuarios? a Sí.

El código de la aplicación, o lo que es más común, una biblioteca de autenticación que se usa en la aplicación, también se sirve del identificador de cliente. El identificador forma parte de la validación de los tokens de seguridad que recibe de la plataforma de identidad.

Screenshot of the Microsoft Entra admin center in a web browser, showing an app registration's Overview pane.

Incorporación de un URI de redirección

Un URI de redirección es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación.

En una aplicación web de producción, por ejemplo, el URI de redirección suele ser un punto de conexión público en el que se ejecuta la aplicación, por ejemplo, https://contoso.com/auth-response. Durante la fase de desarrollo, también es habitual incorporar el punto de conexión en el que se ejecuta la aplicación localmente, como https://127.0.0.1/auth-response o http://localhost/auth-response. Asegúrese de que en la aplicación de producción no se expongan entornos de desarrollo o identificadores URI de redirección innecesarios. Esto puede lograrse teniendo registros de aplicaciones separados para el desarrollo y la producción.

Para agregar y modificar los URI de redirección de las aplicaciones registradas, especifique los parámetros en Configuraciones de plataforma.

Configuración de los valores de plataforma

Los valores de cada tipo de aplicación, incluidos los URI de redirección, se especifican en Configuraciones de plataforma en Azure Portal. Algunas plataformas, como las de aplicaciones web y aplicaciones de página única, requieren que se especifique manualmente un URI de redirección. Para otras plataformas, como las de aplicaciones móviles y de escritorio, es posible elegir entre los URI de redirección que se generan automáticamente al configurar las demás opciones.

Para configurar las opciones de la aplicación en función de la plataforma o el dispositivo de destino, siga estos pasos:

  1. En el Centro de administración de Microsoft Entra, en Registros de aplicaciones, seleccione la aplicación.

  2. En Administrar, seleccione Autenticación.

  3. En Configuraciones de plataforma, seleccione Agregar una plataforma.

  4. En Configurar plataformas, seleccione el icono del tipo de aplicación (plataforma) para configurar los valores.

    Screenshot of the platform configuration pane in the Azure portal.

    Plataforma Parámetros de configuración
    Web Escriba un URI de redirección para la aplicación. Este URI es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación.

    La dirección URL de cierre de sesión del canal frontal y las propiedades implícitas e híbridas de flujo también se pueden configurar.

    Seleccione esta plataforma para las aplicaciones web estándar que se ejecuten en un servidor.
    Aplicación de página única Escriba un URI de redirección para la aplicación. Este URI es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación.

    La dirección URL de cierre de sesión del canal frontal y las propiedades implícitas e híbridas de flujo también se pueden configurar.

    Seleccione esta plataforma si va a desarrollar una aplicación web del lado del cliente con JavaScript, o bien, con un marco como Angular, Vue.js, React.js o Blazor WebAssembly.
    iOS/macOS Escriba el ID de agrupación de la aplicación. Lo encontrará en Configuración de la compilación o, en Xcode, en Info.plist.

    Al especificar un ID de agrupación, se genera un URI de redirección.
    Android Escriba el valor en Nombre del paquete de la aplicación. Lo encontrará en el archivo AndroidManifest.xml. Además, genere y especifique el valor de Hash de firma.

    Al especificar estos valores, se genera un URI de redirección.
    Aplicaciones móviles y de escritorio Seleccione uno de los valores sugeridos del URI de redirección. O especifique en o más URI de redirección personalizados.

    En el caso de las aplicaciones de escritorio que usan el explorador insertado, se recomienda
    https://login.microsoftonline.com/common/oauth2/nativeclient

    En el caso de las aplicaciones de escritorio que usan el explorador del sistema, se recomienda
    http://localhost

    Seleccionar esta plataforma para las aplicaciones móviles que no utilicen la biblioteca de autenticación de Microsoft (MSAL) más reciente o que no usen un agente. Seleccione también esta plataforma para las aplicaciones de escritorio.

  5. Seleccione Configurar para completar la configuración de la plataforma.

Restricciones aplicables a los URI de redirección

Existen algunas restricciones con respecto al formato de los URI de redirección que se agregan al registro de una aplicación. Para más información sobre estas restricciones, consulte Restricciones y limitaciones del identificador URI de redirección (dirección URL de respuesta).

Adición de credenciales

Las credenciales se usan en las aplicaciones cliente confidenciales que acceden a una API web. Ejemplos de aplicaciones cliente confidenciales son, entre otras, las aplicaciones web, las API web o las aplicaciones demonio y de tipo servicio. Las credenciales permiten que la aplicación se autentique a sí misma, por lo que no se requiere la interacción del usuario en tiempo de ejecución.

Puede agregar certificados, secretos de cliente (una cadena), o credenciales de identidad federadas, como credenciales al registro de la aplicación cliente confidencial.

Screenshot of the Microsoft Entra admin center, showing the Certificates and secrets pane in an app registration.

Incorporación de un certificado

Un certificado, que a veces se denomina clave pública, es el tipo de credencial recomendado porque se considera más seguro que los secretos de cliente. Para más información sobre el uso de un certificado como método de autenticación en la aplicación, consulte Credenciales de certificado para la autenticación de aplicaciones en la plataforma de identidad de Microsoft.

  1. En el Centro de administración de Microsoft Entra, en Registros de aplicaciones, seleccione la aplicación.
  2. Seleccione Certificates & secrets (Certificados y secretos)>Certificados>Cargar certificado.
  3. Seleccione el archivo que quiere cargar. Debe ser uno de los siguientes tipos de archivo: .cer, .pem, .crt.
  4. Seleccione Agregar.

Agregar un secreto de cliente

El secreto de cliente, a veces denominado contraseña de aplicación, es un valor de cadena que la aplicación puede usar en lugar de un certificado a fin de identificarse.

Los secretos de cliente se consideran menos seguros que las credenciales de certificado. Los desarrolladores de aplicaciones a veces usan secretos de cliente durante el desarrollo de aplicaciones locales debido a su facilidad de uso. Sin embargo, debe usar credenciales de certificado con cualquiera de las aplicaciones que se ejecutan en producción.

  1. En el Centro de administración de Microsoft Entra, en Registros de aplicaciones, seleccione la aplicación.
  2. Seleccione Certificates & secrets>Client secrets>New client secret (Certificados y secretos > Secretos de cliente > Nuevo secreto de cliente).
  3. Agregue una descripción para el secreto de cliente.
  4. Seleccione una expiración para el secreto o especifique una duración personalizada.
    • La duración del secreto de cliente se limita a dos años (24 meses) o menos. No se puede especificar una duración personalizada superior a 24 meses.
    • Microsoft recomienda establecer un valor de expiración de menos de 12 meses.
  5. Seleccione Agregar.
  6. Registre el valor del secreto para su uso en el código de la aplicación cliente. Este valor secreto no se volverá a mostrar una vez que abandone esta página.

Para obtener las recomendaciones de seguridad de aplicaciones, consulte Procedimientos recomendados y recomendaciones de la plataforma de identidad de Microsoft.

Si usa una conexión de servicio de Azure DevOps que crea automáticamente una entidad de servicio, debe actualizar el secreto de cliente desde el sitio del portal de Azure DevOps en lugar de actualizar directamente el secreto de cliente. Consulte este documento sobre cómo actualizar el secreto de cliente desde el sitio del portal de Azure DevOps: Solución de problemas de conexiones de servicio de Azure Resource Manager.

Agregar credencial federada

Las credenciales de identidad federada son un tipo de credencial que permite cargas de trabajo, como Acciones de GitHub, cargas de trabajo que se ejecutan en Kubernetes o cargas de trabajo que se ejecutan en plataformas de proceso fuera de los recursos protegidos de Microsoft Entra sin necesidad de administrar secretos mediante la federación de identidades de carga de trabajo.

Para agregar una credencial federada, siga estos pasos:

  1. En el Centro de administración de Microsoft Entra, en Registros de aplicaciones, seleccione la aplicación.

  2. Seleccione Certificados y secretos>Credenciales federadas>Agregar una credencial.

  3. En el cuadro desplegable Escenario de credenciales federadas, seleccione uno de los escenarios admitidos y siga las instrucciones correspondientes para completar la configuración.

    • Claves administradas por el cliente para cifrar datos en el inquilino mediante Azure Key Vault en otro inquilino.
    • Acciones de GitHub que implementan recursos de Azure para configurar un flujo de trabajo de GitHub para obtener tokens para la aplicación e implementar recursos en Azure.
    • Kubernetes que accede a los recursos de Azure para configurar una cuenta de servicio de Kubernetes para obtener tokens para la aplicación y acceder a los recursos de Azure.
    • Otro emisor para configurar una identidad administrada por un proveedor de OpenID Connect externo para obtener tokens para la aplicación y acceder a los recursos de Azure.

Para más información sobre cómo obtener un token de acceso con una credencial federada, consulte el artículo Plataforma de identidad de Microsoft y el flujo de credenciales de cliente de OAuth 2.0.

Pasos siguientes

Las aplicaciones cliente suelen necesitar acceso a los recursos de una API web. Puede proteger la aplicación cliente mediante la plataforma de identidad de Microsoft. También puede usar la plataforma para autorizar el acceso con permisos con ámbito a la API web.

Pase al siguiente inicio rápido de la serie con el fin de crear otro registro de aplicación para la API web y exponer sus ámbitos.

Configuración de una aplicación para exponer una API web