Cómo registrar una aplicación de Azure confidential ledger con Microsoft Entra ID

En este artículo aprenderá a integrar la aplicación de libro de contabilidad confidencial de Azure con el identificador de Entra de Microsoft, registrándolo con el Plataforma de identidad de Microsoft.

La plataforma de identidad de Microsoft realiza la administración de identidades y acceso (IAM) solo para las aplicaciones registradas. Tanto si se trata de una aplicación del cliente (por ejemplo, móvil o web) como de una API web que respalda una aplicación cliente, al registrarlas se establece una relación de confianza entre la aplicación y el proveedor de identidades, es decir, la plataforma de identidad de Microsoft. Obtenga más información sobre la Plataforma de identidad de Microsoft.

Requisitos previos

• Una cuenta de Azure con una suscripción activa y permiso para administrar aplicaciones en el identificador de Microsoft Entra. Cree una cuenta gratuita.
• Un inquilino de Microsoft Entra. Aprenda a configurar un inquilino.
• Una aplicación que llama a Azure confidential ledger.

Registro de una aplicación

El registro de la aplicación de Azure confidential ledger establece una relación de confianza entre la aplicación y la Plataforma de identidad de Microsoft. La confianza es unidireccional: la aplicación confía en la plataforma de identidad de Microsoft y no al revés.

Siga estos pasos para crear el registro de la aplicación:

1. Inicie sesión en Azure Portal.

2. Si tiene acceso a varios inquilinos, use el filtro Directorios y suscripciones en el menú superior para cambiar al inquilino en el que desea registrar la aplicación.

3. Busque y seleccione Microsoft Entra ID.

4. En Administrar, seleccione Registros de aplicaciones> y, luego, Nuevo registro.

5. Escriba un Nombre de usuario para la aplicación. Los usuarios de la aplicación pueden ver el nombre de usuario cuando usan la aplicación, por ejemplo, durante el inicio de sesión Puede cambiar el nombre para mostrar en cualquier momento y varios registros de aplicaciones pueden compartir el mismo nombre. La aplicación (cliente) ID, la cual se genera automáticamente durante el registro, el lo que identifica su aplicación dentro de la plataforma de identidades.

6. Especifique qué personas pueden usar la aplicación. A veces, se conoce a estas personas como público de inicio de sesión.

   Tipos de cuenta admitidos	Descripción
   Solo las cuentas de este directorio organizativo	Seleccione esta opción si va a desarrollar una aplicación para que la utilicen usuarios (o invitados) de su inquilino. A menudo denominada aplicación de línea de negocio, se trata de una aplicación de un solo inquilino en la plataforma de identidad de Microsoft.
   Cuentas en cualquier directorio organizativo	Seleccione esta opción si quiere que los usuarios de cualquier inquilino de Microsoft Entra puedan usar la aplicación. Esta opción es adecuada si, por ejemplo, va a desarrollar una aplicación de software como servicio (SaaS) que desea proporcionar a varias organizaciones. Este tipo de aplicación se denomina multiinquilino en la plataforma de identidad de Microsoft.
   Cuentas en cualquier directorio organizativo y cuentas Microsoft personales	Seleccione esta opción para establecer como destino el mayor conjunto posible de clientes. Al seleccionar esta opción, estará registrando una aplicación multiinquilino que también admite usuarios con cuentas personales de Microsoft.
   Cuentas personales de Microsoft	Seleccione esta opción si va a crear una aplicación solo para usuarios con cuentas personales de Microsoft. Las cuentas personales de Microsoft abarcan las cuentas de Skype, Xbox, Live y Hotmail.

7. No escriba nada en URI de redirección (opcional) . Configurará un URI de redirección en la sección siguiente.

8. Seleccione Registrar para completar el registro inicial de la aplicación.

   

Cuando finaliza el registro, en Azure Portal se muestra el panel Información general del registro de la aplicación. Verá el id. de aplicación (cliente) . Este valor, también conocido como Id. de cliente, identifica de forma única la aplicación en la plataforma de identidad de Microsoft.

Importante

De forma predeterminada, los nuevos registros de aplicaciones están ocultos a los usuarios. Cuando esté listo para que los usuarios puedan ver la aplicación en su página Mis aplicaciones, puede habilitarla. Para habilitar la aplicación, en Azure Portal, vaya a Aplicaciones empresariales de Microsoft Entra ID>y seleccione la aplicación. Después, en la página Propiedades, cambie ¿Es visible para los usuarios? a Sí.

El código de la aplicación, o lo que es más común, una biblioteca de autenticación que se usa en la aplicación, también se sirve del identificador de cliente. El identificador forma parte de la validación de los tokens de seguridad que recibe de la plataforma de identidad.

Incorporación de un URI de redirección

Un URI de redirección es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación.

En una aplicación web de producción, por ejemplo, el URI de redirección suele ser un punto de conexión público en el que se ejecuta la aplicación, por ejemplo, https://contoso.com/auth-response. Durante la fase de desarrollo, también es habitual incorporar el punto de conexión en el que se ejecuta la aplicación localmente, como https://127.0.0.1/auth-response o http://localhost/auth-response.

Para agregar y modificar los URI de redirección de las aplicaciones registradas, especifique los parámetros en Configuraciones de plataforma.

Configuración de los valores de plataforma

Los valores de cada tipo de aplicación, incluidos los URI de redirección, se especifican en Configuraciones de plataforma en Azure Portal. Algunas plataformas, como las de aplicaciones web y aplicaciones de página única, requieren que se especifique manualmente un URI de redirección. Para otras plataformas, como las de aplicaciones móviles y de escritorio, es posible elegir entre los URI de redirección que se generan automáticamente al configurar las demás opciones.

Para configurar las opciones de la aplicación en función de la plataforma o el dispositivo de destino, siga estos pasos:

1. En Azure Portal, seleccione la aplicación en Registros de aplicaciones.

2. En Administrar, seleccione Autenticación.

3. En Configuraciones de plataforma, seleccione Agregar una plataforma.

4. En Configurar plataformas, seleccione el icono del tipo de aplicación (plataforma) para configurar los valores.

   

   Plataforma	Parámetros de configuración
   Web	Escriba un URI de redirección para la aplicación. Este URI es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación. Seleccione esta plataforma para las aplicaciones web estándar que se ejecuten en un servidor.
   Aplicación de página única	Escriba un URI de redirección para la aplicación. Este URI es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación. Seleccione esta plataforma si va a desarrollar una aplicación web del lado del cliente con JavaScript, o bien, con un marco como Angular, Vue.js, React.js o Blazor WebAssembly.
   iOS/macOS	Escriba el ID de agrupación de la aplicación. Lo encontrará en Configuración de la compilación o, en Xcode, en Info.plist. Al especificar un ID de agrupación, se genera un URI de redirección.
   Android	Escriba el valor en Nombre del paquete de la aplicación. Lo encontrará en el archivo AndroidManifest.xml. Además, genere y especifique el valor de Hash de firma. Al especificar estos valores, se genera un URI de redirección.
   Aplicaciones móviles y de escritorio	Seleccione uno de los valores de URI de redirección sugeridos. O bien, especifique un valor para URI de redireccionamiento personalizado. En el caso de las aplicaciones de escritorio que usan el explorador insertado, se recomienda https://login.microsoftonline.com/common/oauth2/nativeclient En el caso de las aplicaciones de escritorio que usan el explorador del sistema, se recomienda http://localhost Seleccionar esta plataforma para las aplicaciones móviles que no utilicen la biblioteca de autenticación de Microsoft (MSAL) más reciente o que no usen un agente. Seleccione también esta plataforma para las aplicaciones de escritorio.

5. Seleccione Configurar para completar la configuración de la plataforma.

Restricciones aplicables a los URI de redirección

Existen algunas restricciones con respecto al formato de los URI de redirección que se agregan al registro de una aplicación. Para más información sobre estas restricciones, consulte Restricciones y limitaciones del identificador URI de redirección (dirección URL de respuesta).

Adición de credenciales

Las credenciales se usan en las aplicaciones cliente confidenciales que acceden a una API web. Ejemplos de aplicaciones cliente confidenciales son, entre otras, las aplicaciones web, las API web o las aplicaciones demonio y de tipo servicio. Las credenciales permiten que la aplicación se autentique a sí misma, por lo que no se requiere la interacción del usuario en tiempo de ejecución.

Puede agregar certificados y secretos de cliente (una cadena) como credenciales al registro de la aplicación cliente confidencial.

Incorporación de un certificado

Un certificado, que a veces se denomina clave pública, es el tipo de credencial recomendado porque se considera más seguro que los secretos de cliente. Para más información sobre el uso de un certificado como método de autenticación en la aplicación, consulte Credenciales de certificado para la autenticación de aplicaciones en la plataforma de identidad de Microsoft.

1. En Azure Portal, seleccione la aplicación en Registros de aplicaciones.
2. Seleccione Certificates & secrets (Certificados y secretos)>Certificados>Cargar certificado.
3. Seleccione el archivo que quiere cargar. Debe ser uno de los siguientes tipos de archivo: .cer, .pem, .crt.
4. Seleccione Agregar.

Agregar un secreto de cliente

El secreto de cliente, a veces denominado contraseña de aplicación, es un valor de cadena que la aplicación puede usar en lugar de un certificado a fin de identificarse.

Los secretos de cliente se consideran menos seguros que las credenciales de certificado. Los desarrolladores de aplicaciones a veces usan secretos de cliente durante el desarrollo de aplicaciones locales debido a su facilidad de uso. Sin embargo, debe usar credenciales de certificado con cualquiera de las aplicaciones que se ejecutan en producción.

1. En Azure Portal, seleccione la aplicación en Registros de aplicaciones.
2. Seleccione Certificates & secrets>Client secrets>New client secret (Certificados y secretos > Secretos de cliente > Nuevo secreto de cliente).
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada.
   • La duración del secreto de cliente se limita a dos años (24 meses) o menos. No se puede especificar una duración personalizada superior a 24 meses.
   • Microsoft recomienda establecer un valor de expiración de menos de 12 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para su uso en el código de la aplicación cliente. Este valor secreto no se volverá a mostrar una vez que abandone esta página.

Para obtener las recomendaciones de seguridad de aplicaciones, consulte Procedimientos recomendados y recomendaciones de la plataforma de identidad de Microsoft.

Pasos siguientes

• Autenticación de Libro de contabilidad confidencial de Azure con el identificador de Microsoft Entra
• Introducción a Microsoft Azure Confidential Ledger
• Integración de aplicaciones con Microsoft Entra ID
• Uso del portal para crear una aplicación de Microsoft Entra y una entidad de servicio con acceso a los recursos
• Crear una entidad de servicio de Azure con la CLI de Azure.
• Autenticación de nodos de Azure Confidential Ledger