Registro de una aplicación de libro de contabilidad confidencial de Azure con el identificador de Microsoft Entra

En este artículo aprenderá a integrar su aplicación de libro de contabilidad confidencial de Azure con el identificador de Microsoft Entra, registrándolo con la plataforma de identidad de Microsoft.

La plataforma de identidad de Microsoft solo realiza la administración de identidades y acceso (IAM) para las aplicaciones registradas. Ya sea una aplicación cliente como una aplicación web o móvil, o es una API web que respalda una aplicación cliente, al registrarla se establece una relación de confianza entre la aplicación y el proveedor de identidades, la plataforma de identidad de Microsoft. Obtenga más información sobre la plataforma de identidad de Microsoft.

Prerrequisitos

• Una cuenta de Azure con una suscripción activa y permiso para administrar aplicaciones en el identificador de Microsoft Entra. Cree una cuenta gratuita.
• Un cliente de Microsoft Entra. Aprenda a configurar un inquilino.
• Una aplicación que llama a Azure confidential ledger.

Registrar una aplicación

El registro de la aplicación de libro de contabilidad confidencial de Azure establece una relación de confianza entre la aplicación y la plataforma de identidad de Microsoft. La confianza es unidireccional: la aplicación confía en el Plataforma de identidad de Microsoft y no al revés.

Siga estos pasos para crear el registro de la aplicación:

1. Inicie sesión en Azure Portal.

2. Si tiene acceso a varios inquilinos, use el filtro Directorios y suscripciones en el menú superior para cambiar al inquilino en el que desea registrar la aplicación.

3. Busque y seleccione Id. de Entra de Microsoft.

4. En Administrar, seleccione Registros de> aplicacionesNuevo registro.

5. Introduzca un nombre visible para la aplicación. Los usuarios de la aplicación pueden ver el nombre de usuario cuando usan la aplicación, por ejemplo, durante el inicio de sesión Puede cambiar el nombre para mostrar en cualquier momento y varios registros de aplicaciones pueden compartir el mismo nombre. El identificador de aplicación (cliente) generado automáticamente por el registro de la aplicación, no su nombre para mostrar, identifica de forma única la aplicación dentro de la plataforma de identidad.

6. Especifique quién puede usar la aplicación, a veces denominada audiencia de inicio de sesión.

   Tipos de cuenta admitidos	Descripción
   Solo las cuentas de este directorio organizativo	Seleccione esta opción si está desarrollando una aplicación para que sea utilizada solo por usuarios (o invitados) en su arrendatario. A menudo denominada aplicación de línea de negocio, se trata de una aplicación de un solo inquilino en la plataforma de identidad de Microsoft.
   Cuentas en cualquier directorio organizativo	Seleccione esta opción si desea que los usuarios de cualquier inquilino de Microsoft Entra puedan usar la aplicación. Esta opción es adecuada si, por ejemplo, está creando una aplicación de software como servicio (SaaS) que pretende proporcionar a varias organizaciones. Este tipo de aplicación se conoce como una aplicación multiinquilino en la plataforma de identidad de Microsoft.
   Cuentas en cualquier directorio organizativo y cuentas microsoft personales	Seleccione esta opción para establecer como destino el mayor conjunto posible de clientes. Al seleccionar esta opción, estará registrando una aplicación multiinquilino que también admite usuarios con cuentas personales de Microsoft.
   Cuentas personales de Microsoft	Seleccione esta opción si va a compilar una aplicación solo para los usuarios que tengan cuentas personales de Microsoft. Las cuentas personales de Microsoft incluyen cuentas de Skype, Xbox, Live y Hotmail.

7. No escriba nada para el URI de redirección (opcional). Configurará un URI de redireccionamiento en la sección siguiente.

8. Seleccione Registrar para completar el registro inicial de la aplicación.

   

Cuando finalice el registro, Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente). También llamado ID de cliente, este valor identifica de forma única tu aplicación en la plataforma de identidad de Microsoft.

Importante

De forma predeterminada, los nuevos registros de aplicaciones están ocultos a los usuarios. Cuando esté listo para que los usuarios vean la aplicación en su página Mis aplicaciones , puede habilitarla. Para habilitar la aplicación, en Azure Portal, vaya a Aplicacionesempresarialesde Microsoft Entra ID> y seleccione la aplicación. A continuación, en la página Propiedades , cambie Visible a los usuarios? a Sí.

El código de la aplicación, o más normalmente una biblioteca de autenticación que se usa en la aplicación, también usa el identificador de cliente. El identificador se usa como parte de la validación de los tokens de seguridad que recibe de la plataforma de identidad.

Incorporación de un URI de redirección

Un URI de redirección es la ubicación donde la plataforma de identidad de Microsoft redirige al cliente de un usuario y envía tokens de seguridad después de la autenticación.

En una aplicación web de producción, por ejemplo, el URI de redirección suele ser un punto de conexión público donde se ejecuta la aplicación, como https://contoso.com/auth-response. Durante el desarrollo, también es habitual agregar el punto de conexión donde se ejecuta la aplicación localmente, como https://127.0.0.1/auth-response o http://localhost/auth-response.

Agregue y modifique los URI de redireccionamiento para las aplicaciones registradas mediante la configuración de su plataforma.

Configuración de los valores de plataforma

Las opciones de cada tipo de aplicación, incluidos los URI de redireccionamiento, se configuran en Configuraciones de plataforma en Azure Portal. Algunas plataformas, como aplicaciones web y de página única, requieren que especifique manualmente un URI de redirección. Para otras plataformas, como las de aplicaciones móviles y de escritorio, es posible elegir entre los URI de redirección que se generan automáticamente al configurar las demás opciones.

Para configurar las opciones de la aplicación en función de la plataforma o el dispositivo de destino, siga estos pasos:

1. En Azure Portal, en Registros de aplicaciones, seleccione la aplicación.

2. En Administrar, seleccione Autenticación.

3. En Configuraciones de plataforma, seleccione Agregar una plataforma.

4. En Configurar plataformas, seleccione el icono del tipo de aplicación (plataforma) para configurar sus opciones.

   

   Plataforma	Parámetros de configuración
   Web	Escriba un URI de redirección para la aplicación. Este identificador URI es la ubicación donde la Plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad después de la autenticación. Seleccione esta plataforma para las aplicaciones web estándar que se ejecuten en un servidor.
   Aplicación de página única	Escriba un URI de redirección para la aplicación. Este identificador URI es la ubicación donde la Plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad después de la autenticación. Seleccione esta plataforma si va a crear una aplicación web del lado cliente mediante JavaScript o un marco como Angular, Vue.js, React.js o Blazor WebAssembly.
   iOS/macOS	Escriba el ID de agrupación de la aplicación. Puedes encontrarlo en configuración de compilación o en Xcode en Info.plist. Se genera un URI de redirección automáticamente al especificar un identificador de lote.
   Androide	Escriba el nombre del paquete de la aplicación. Búscalo en el archivo AndroidManifest.xml. Genere y escriba también el hash de firma. Al especificar esta configuración, se genera un URI de redireccionamiento.
   Aplicaciones móviles y de escritorio	Seleccione uno de los URI de redireccionamiento sugeridos. O bien, especifique un URI de redirección personalizado. En el caso de las aplicaciones de escritorio que usan el explorador incrustado, se recomienda https://login.microsoftonline.com/common/oauth2/nativeclient En el caso de las aplicaciones de escritorio que usan el explorador del sistema, se recomienda http://localhost Seleccione esta plataforma para aplicaciones móviles que no usen la biblioteca de autenticación de Microsoft (MSAL) más reciente o que no usen un agente. Seleccione también esta plataforma para las aplicaciones de escritorio.

5. Seleccione Configurar para completar la configuración de la plataforma.

Restricciones de URI de redirección

Hay algunas restricciones en el formato de los URI de redireccionamiento que se agregan a un registro de aplicación. Para más información sobre estas restricciones, consulte Restricciones y limitaciones del URI de redirección (URL de respuesta).

Adición de credenciales

Las aplicaciones cliente confidenciales usan credenciales que acceden a una API web. Algunos ejemplos de clientes confidenciales son aplicaciones web, otras API web o aplicaciones de tipo servicio y de tipo demonio. Las credenciales permiten que la aplicación se autentique como sí misma, sin necesidad de ninguna interacción de un usuario en tiempo de ejecución.

Puede agregar certificados y secretos de cliente (una cadena) como credenciales al registro de la aplicación cliente confidencial.

Incorporación de un certificado

A veces se denomina clave pública, un certificado es el tipo de credencial recomendado porque se consideran más seguros que los secretos de cliente. Para obtener más información sobre el uso de un certificado como método de autenticación en la aplicación, consulte Credenciales de certificado de autenticación de aplicaciones de plataforma de identidad de Microsoft.

1. En Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados y secretos>Cargar>certificado.
3. Seleccione el archivo que quiere cargar. Debe ser uno de los siguientes tipos de archivo: .cer, .pem, .crt.
4. Seleccione Agregar.

Agregar un secreto de cliente

A veces se denomina contraseña de aplicación, un secreto de cliente es un valor de cadena que la aplicación puede usar en lugar de un certificado para identificarse.

Los secretos de cliente se consideran menos seguros que las credenciales de certificado. A veces, los desarrolladores de aplicaciones usan secretos de cliente durante el desarrollo de aplicaciones locales debido a su facilidad de uso. Sin embargo, debe usar credenciales de certificado para cualquiera de las aplicaciones que se ejecutan en producción.

1. En Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados y secretos>Secretos de cliente>Nuevo secreto de cliente.
3. Agregue una descripción para la clave secreta de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada.
   • La duración del secreto de cliente está limitada a dos años (24 meses) o menos. No se puede especificar una duración personalizada superior a 24 meses.
   • Microsoft recomienda establecer un valor de expiración de menos de 12 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para su uso en el código de la aplicación cliente. Este valor secreto nunca se muestra de nuevo después de salir de esta página.

Para obtener recomendaciones de seguridad de aplicaciones, consulte Procedimientos recomendados y recomendaciones de la plataforma de identidad de Microsoft.

Pasos siguientes

• Autenticación de Azure Confidential Ledger con Microsoft Entra ID
• Introducción al libro de contabilidad confidencial de Microsoft Azure
• Integración de aplicaciones con microsoft Entra ID
• Uso del portal para crear una aplicación de Microsoft Entra y una entidad de servicio con acceso a los recursos
• Cree un principal de servicio en Azure con Azure CLI.
• Autenticación de nodos de Libro de contabilidad confidencial de Azure
• Funciones definidas por el usuario en Azure Confidential Ledger
• Funciones sencillas definidas por el usuario en Azure Confidential Ledger
• Funciones avanzadas definidas por el usuario en Azure Confidential Ledger