Administración de aplicaciones Microsoft Entra y entidades de servicio mediante Microsoft Graph
Microsoft Entra ID es un sistema de administración de identidades y acceso (IAM). Una parte fundamental de su funcionalidad es el Plataforma de identidad de Microsoft, que proporciona servicios de autenticación y autorización para aplicaciones registradas. Las API de Microsoft Graph le permiten registrar y administrar las aplicaciones mediante programación, lo que le permite usar las funcionalidades de IAM de Microsoft.
Aplicaciones y entidades de servicio
En Microsoft Entra, un objeto application y un objeto de entidad de servicio definen una aplicación. Solo hay un objeto de aplicación para la aplicación en Microsoft Entra, pero puede haber varios objetos de entidad de servicio para la aplicación.
El objeto de aplicación se encuentra en el inquilino donde se registró la aplicación. Se crea una entidad de servicio en todos los inquilinos donde se instala y usa la aplicación, incluido el inquilino donde está registrada la aplicación. Para obtener más información, consulte Objetos de aplicación y entidad de servicio en Microsoft Entra ID.
En Microsoft Graph, una aplicación se representa mediante el tipo de recurso de aplicación y una entidad de servicio se representa mediante el tipo de recurso servicePrincipal. Se puede acceder a los detalles de los dos objetos en el Centro de administración Microsoft Entra a través de los menúsAplicaciones> de identidad>Registros de aplicaciones yAplicaciones> de identidad>Aplicaciones empresariales, respectivamente.
Casos de uso de API para administrar aplicaciones
Los siguientes casos de uso de API son compatibles con la administración de aplicaciones a través del tipo de recurso de aplicación en Microsoft Graph.
| Casos de uso | Operaciones de API |
|---|---|
| Registro de una aplicación y configuración de sus propiedades básicas | Create application |
| Configure las propiedades de la aplicación registrada, entre las que se incluyen: |
Update application |
| Eliminación de una aplicación | Delete application |
| Administración de aplicaciones eliminadas | |
| Administración de credenciales de contraseña para una aplicación | |
| Administración de credenciales de identidad federada para una aplicación | Inicio de la administración de credenciales de identidad federada con Microsoft Graph |
| Administración de credenciales basadas en certificados para una aplicación | |
| Administración de extensiones de directorio en aplicaciones | |
| Seguimiento de los cambios en una aplicación | ..?$filter=isof('microsoft.graph.application') |
| Administración de propietarios | |
| Administración de la comprobación del publicador |
Casos de uso de API para administrar entidades de servicio
Los siguientes casos de uso de API son compatibles con la administración de entidades de servicio a través del tipo de recurso servicePrincipal en Microsoft Graph.
| Casos de uso | Operaciones de API |
|---|---|
| Registro de la entidad de servicio | Crear servicePrincipal |
| Configure las propiedades de una entidad de servicio, entre las que se incluyen: |
Actualizar servicePrincipal |
| Eliminación de una entidad de servicio | Eliminar servicePrincipal |
| Administrar entidades de servicio eliminadas (ver, restaurar o eliminar permanentemente) | |
| Administración de credenciales de contraseña para una entidad de servicio | |
| Administración de credenciales basadas en certificados para una entidad de servicio | |
| Adición de un certificado de firma de token SAML | |
| Seguimiento de los cambios en una entidad de servicio | ..?$filter=isof('microsoft.graph.servicePrincipal') |
| Administración de propietarios |
Plantillas de aplicación
Las plantillas de aplicación son aplicaciones que están disponibles en la galería de aplicaciones de Microsoft Entra. Use el tipo de recurso applicationTemplate y sus métodos asociados para:
- Identificación de aplicaciones desde la galería de aplicaciones
- Identificación de aplicaciones por el modo sso que admiten
- Creación de instancias de una aplicación y una entidad de servicio desde una galería de aplicaciones
Directivas aplicables a aplicaciones y entidades de servicio
| Descripción de la directiva | Operaciones de API | Se aplica a |
|---|---|---|
| Administrar Microsoft Entra ID protocolo de autenticación de Servicios de Escritorio remoto (RDS) | tipo de recurso remoteDesktopSecurityConfiguration y sus métodos asociados | Entidades de servicio |
| Configuración de la directiva de tokens saml | tipo de recurso tokenIssuancePolicy y sus métodos asociados | Aplicaciones Entidades de servicio |
| Configuración de directivas para tokens de acceso, SAML e id. | Directiva de duración del token: tipo de recurso tokenLifetimePolicy y sus métodos asociados Directiva de emisión de tokens: tipo de recurso tokenIssuancePolicy y sus métodos asociados |
Aplicaciones Entidades de servicio |
| Administración del tiempo de espera de sesión inactiva para aplicaciones web de Microsoft 365 para todos los tipos de dispositivo Nota: Para desencadenar la directiva solo para dispositivos no administrados, también debe agregar una directiva de acceso condicional. |
tipo de recurso activityBasedTimeoutPolicy y sus métodos asociados | Aplicaciones web de Microsoft 365 |
| Administre las directivas para saber cómo se pueden usar los certificados y los secretos de contraseña en su organización. Cree directivas para todo el inquilino o directivas específicas de la aplicación, como bloquear el uso o restringir la duración de los secretos de contraseña o claves simétricas y aplicar entidades de certificación de confianza. | Directivas de métodos de autenticación de aplicaciones | Aplicaciones |
| Administrar directivas de asignación de notificaciones para los protocolos WS-Fed, SAML, OAuth 2.0 y OpenID Connect, y las aplicaciones a las que se aplican las directivas | tipo de recurso claimsMappingPolicy y sus métodos asociados | Entidades de servicio |
| Administrar la detección de dominio principal (HRD) para el inquilino y la asignación de la directiva a una entidad de servicio | tipo de recurso homeRealmDiscoveryPolicy y sus métodos asociados | Entidades de servicio |
Sincronización de identidades (aprovisionamiento)
Las API de aprovisionamiento en Microsoft Graph le permiten automatizar y administrar el aprovisionamiento y desaprovisionamiento de identidades en los siguientes escenarios:
- De la Active Directory local a la Microsoft Entra ID
- Desde otros directorios en la nube hasta Microsoft Entra ID
- Desde Microsoft Entra ID a aplicaciones en la nube como Dropbox, Salesforce, ServiceNow, etc.
Para obtener más información, consulte Microsoft Entra introducción a la API de sincronización.