Registro de una aplicación con la plataforma de identidad de Microsoft
Para empezar a trabajar con el Plataforma de identidad de Microsoft, registre una aplicación en el Azure Portal.
El Plataforma de identidad de Microsoft realiza la administración de identidades y acceso (IAM) solo para las aplicaciones registradas. Tanto si se trata de una aplicación cliente como una aplicación web o móvil, como si es una API web que respalda una aplicación cliente, registrarla establece una relación de confianza entre la aplicación y el proveedor de identidades, el Plataforma de identidad de Microsoft.
Sugerencia
Para registrar una aplicación para Azure AD B2C, siga los pasos descritos en Tutorial: Registro de una aplicación web en Azure AD B2C.
Requisitos previos
- Una cuenta de Azure que tiene una suscripción activa. Cree una cuenta de forma gratuita.
- La cuenta de Azure debe tener permiso para administrar aplicaciones en Azure Active Directory (Azure AD). Cualquiera de los siguientes roles de Azure AD incluye los permisos necesarios:
- Finalización del inicio rápido Configuración de un inquilino .
Registrar una aplicación
El registro de la aplicación establece una relación de confianza entre la aplicación y el Plataforma de identidad de Microsoft. La confianza es unidireccional: la aplicación confía en el Plataforma de identidad de Microsoft y no al revés.
Siga estos pasos para crear el registro de la aplicación:
Inicie sesión en el portal de Azure.
Si tiene acceso a varios inquilinos, use el filtro
Directorios y suscripciones del menú superior para cambiar al inquilino en el que desea registrar la aplicación.
Busque y seleccione Azure Active Directory.
En Administrar, seleccione Registros de aplicaciones>Nuevo registro.
Escriba un nombre para mostrar para la aplicación. Los usuarios de la aplicación pueden ver el nombre para mostrar cuando usan la aplicación, por ejemplo, durante el inicio de sesión. Puede cambiar el nombre para mostrar en cualquier momento y varios registros de aplicaciones pueden compartir el mismo nombre. El identificador de aplicación (cliente) generado automáticamente por el registro de la aplicación, no su nombre para mostrar, identifica de forma única la aplicación dentro de la plataforma de identidad.
Especifique quién puede usar la aplicación, a veces denominada audiencia de inicio de sesión.
Tipos de cuenta admitidos Descripción Solo las cuentas de este directorio organizativo Seleccione esta opción si va a compilar una aplicación para que la usen solo los usuarios (o invitados ) del inquilino .
A menudo denominada aplicación de línea de negocio (LOB), esta aplicación es una aplicación de inquilino único en el Plataforma de identidad de Microsoft.Cuentas en cualquier directorio organizativo Seleccione esta opción si desea que los usuarios de cualquier inquilino de Azure Active Directory (Azure AD) puedan usar la aplicación. Esta opción es adecuada si, por ejemplo, está creando una aplicación de software como servicio (SaaS) que pretende proporcionar a varias organizaciones.
Este tipo de aplicación se conoce como aplicación multiinquilino en el Plataforma de identidad de Microsoft.Cuentas en cualquier directorio organizativo y cuentas personales de Microsoft Seleccione esta opción para establecer como destino el mayor conjunto posible de clientes.
Al seleccionar esta opción, va a registrar una aplicación multiinquilino que también puede admitir usuarios que tienen cuentas personales de Microsoft.Cuentas personales de Microsoft Seleccione esta opción si va a compilar una aplicación solo para los usuarios que tengan cuentas personales de Microsoft. Las cuentas personales de Microsoft incluyen cuentas de Skype, Xbox, Live y Hotmail. No escriba nada para el URI de redirección (opcional). Configurará un URI de redireccionamiento en la sección siguiente.
Seleccione Registrar para completar el registro inicial de la aplicación.
Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente). También denominado identificador de cliente, este valor identifica de forma única la aplicación en el Plataforma de identidad de Microsoft.
Importante
Los nuevos registros de aplicaciones se ocultan a los usuarios de forma predeterminada. Cuando esté listo para que los usuarios vean la aplicación en su página de Aplicaciones, puede habilitarla. Para habilitar la aplicación, en el Azure Portal vaya aAplicaciones empresariales de Azure Active Directory> y seleccione la aplicación. A continuación, en la página Propiedades , cambie Visible a los usuarios a Sí.
El código de la aplicación, o más normalmente una biblioteca de autenticación que se usa en la aplicación, también usa el identificador de cliente. El identificador se usa como parte de la validación de los tokens de seguridad que recibe de la plataforma de identidad.
Adición de un URI de redireccionamiento
Un URI de redireccionamiento es la ubicación donde el Plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad después de la autenticación.
En una aplicación web de producción, por ejemplo, el URI de redireccionamiento suele ser un punto de conexión público donde se ejecuta la aplicación, como https://contoso.com/auth-response
. Durante el desarrollo, es habitual agregar también el punto de conexión donde se ejecuta la aplicación localmente, como https://127.0.0.1/auth-response
o http://localhost/auth-response
.
Para agregar y modificar los URI de redireccionamiento para las aplicaciones registradas, configure sus opciones de plataforma.
Configuración de la plataforma
La configuración de cada tipo de aplicación, incluidos los URI de redireccionamiento, se configura en Configuraciones de plataforma en el Azure Portal. Algunas plataformas, como las aplicaciones web y de página única, requieren que especifique manualmente un URI de redireccionamiento. Para otras plataformas, como dispositivos móviles y de escritorio, puede seleccionar entre los URI de redireccionamiento generados automáticamente al configurar sus otras opciones.
Para configurar la aplicación en función de la plataforma o dispositivo de destino, siga estos pasos:
En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
En Administrar, seleccione Autenticación.
En Configuraciones de plataforma, seleccione Agregar una plataforma.
En Configurar plataformas, seleccione el icono del tipo de aplicación (plataforma) para configurar sus opciones.
Plataforma Opciones de configuración Web Escriba un URI de redireccionamiento para la aplicación. Este identificador URI es la ubicación donde la Plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad después de la autenticación.
Seleccione esta plataforma para las aplicaciones web estándar que se ejecutan en un servidor.Aplicación de página única Escriba un URI de redireccionamiento para la aplicación. Este identificador URI es la ubicación donde la Plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad después de la autenticación.
Seleccione esta plataforma si va a compilar una aplicación web del lado cliente mediante JavaScript o un marco como Angular, Vue.js, React.js o Blazor WebAssembly.iOS/macOS Escriba el identificador de lote de la aplicación. Búscarlo en Configuración de compilación o en Xcode en Info.plist.
Cuando se especifica un identificador de agrupación, se genera un URI de redireccionamiento.Android Escriba el nombre del paquete de la aplicación. Encuéndola en el archivo AndroidManifest.xml . Genere y escriba también el hash de firma.
Al especificar esta configuración, se genera un URI de redireccionamiento.Aplicaciones móviles y de escritorio Seleccione uno de los URI de redireccionamiento sugeridos. O bien, especifique un URI de redireccionamiento personalizado.
En el caso de las aplicaciones de escritorio que usan el explorador incrustado, se recomiendahttps://login.microsoftonline.com/common/oauth2/nativeclient
En el caso de las aplicaciones de escritorio que usan el explorador del sistema, se recomiendahttp://localhost
Seleccione esta plataforma para aplicaciones móviles que no usen la biblioteca de autenticación de Microsoft (MSAL) más reciente o que no usen un agente. Seleccione también esta plataforma para aplicaciones de escritorio.Seleccione Configurar para completar la configuración de la plataforma.
Restricciones de URI de redirección
Hay algunas restricciones en el formato de los URI de redireccionamiento que se agregan a un registro de aplicación. Para obtener más información sobre estas restricciones, consulte Restricciones y limitaciones de URI de redirección (dirección URL de respuesta).
Añadir credenciales
Las credenciales las usan las aplicaciones cliente confidenciales que acceden a una API web. Algunos ejemplos de clientes confidenciales son aplicaciones web, otras API web o aplicaciones de tipo servicio y de tipo demonio. Las credenciales permiten que la aplicación se autentique como sí misma, sin necesidad de ninguna interacción de un usuario en tiempo de ejecución.
Puede agregar certificados y secretos de cliente (una cadena) como credenciales al registro de la aplicación cliente confidencial.
Opción 1: Agregar un certificado
A veces denominado clave pública, un certificado es el tipo de credencial recomendado porque se consideran más seguros que los secretos de cliente. Para obtener más información sobre el uso de un certificado como método de autenticación en la aplicación, consulte Plataforma de identidad de Microsoft credenciales de certificado de autenticación de la aplicación.
- En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
- Seleccione Certificados & secretos>Certificados>Carga de certificado.
- Seleccione el archivo que desea cargar. Debe ser uno de los siguientes tipos de archivo: .cer, .pem, .crt.
- Seleccione Agregar.
Opción 2: Agregar un secreto de cliente
A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena que la aplicación puede usar en lugar de un certificado para la identidad propia.
Los secretos de cliente se consideran menos seguros que las credenciales de certificado. A veces, los desarrolladores de aplicaciones usan secretos de cliente durante el desarrollo de aplicaciones locales debido a su facilidad de uso. Sin embargo, debe usar credenciales de certificado para cualquiera de las aplicaciones que se ejecutan en producción.
- En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
- Seleccione Secretos de certificados &>Secretos> decliente Nuevo secreto de cliente.
- Agregue una descripción para el secreto de cliente.
- Seleccione una expiración para el secreto o especifique una duración personalizada.
- La duración del secreto de cliente está limitada a dos años (24 meses) o menos. No se puede especificar una duración personalizada de más de 24 meses.
- Microsoft recomienda establecer un valor de expiración de menos de 12 meses.
- Seleccione Agregar.
- Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página.
Para obtener recomendaciones de seguridad de aplicaciones, consulte Plataforma de identidad de Microsoft procedimientos recomendados y recomendaciones.
Opción 3: Agregar una credencial federada
Las credenciales de identidad federada son un tipo de credencial que permite que las cargas de trabajo, como Acciones de GitHub, cargas de trabajo que se ejecutan en Kubernetes o cargas de trabajo que se ejecutan en plataformas de proceso fuera de Azure accedan a recursos protegidos de Azure AD sin necesidad de administrar secretos mediante la federación de identidades de carga de trabajo.
Para agregar una credencial federada, siga estos pasos:
En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
Seleccione Certificados & secretos> Credenciales >federadasAgregar una credencial.
En el cuadro desplegable Escenario de credenciales federadas , seleccione uno de los escenarios admitidos y siga las instrucciones correspondientes para completar la configuración.
- Claves administradas por el cliente para cifrar datos en el inquilino mediante Azure Key Vault en otro inquilino.
- Acciones de GitHub que implementan recursos de Azure para configurar un flujo de trabajo de GitHub con el fin de obtener tokens para la aplicación e implementar recursos en Azure.
- Kubernetes accede a los recursos de Azure para configurar una cuenta de servicio de Kubernetes con el fin de obtener tokens para la aplicación y acceder a los recursos de Azure.
- Otro emisor para configurar una identidad administrada por un proveedor externo de OpenID Connect para obtener tokens para la aplicación y acceder a los recursos de Azure.
Para obtener más información, cómo obtener un token de acceso con una credencial federada, consulte el Plataforma de identidad de Microsoft y el artículo Flujo de credenciales de cliente de OAuth 2.0.
Pasos siguientes
- Obtenga más información sobre los permisos y el consentimiento en el Plataforma de identidad de Microsoft o cómo funcionan los permisos en Microsoft Graph.
- Elija un inicio rápido que le guiará a través de la adición de características principales de administración de identidades y acceso (IAM) a las aplicaciones y procedimientos recomendados para mantener las aplicaciones seguras y disponibles.
- Para obtener más información acerca de los dos objetos de Azure AD que representan una aplicación registrada y la relación entre ellos: Objetos de aplicación y de entidad de servicio.