Compartir a través de

Registrar aplicaciones

  • Artículo

El portal de registro de la aplicación de la plataforma de identidad de Microsoft es el principal punto de entrada para las aplicaciones que usan la plataforma para la autenticación y las necesidades asociadas. Como desarrollador, al registrar y configurar las aplicaciones, las decisiones que toma impulsan y afectan al cumplimiento de los principios de Confianza cero por parte de la aplicación. Un registro de aplicaciones efectivo tiene en cuenta especialmente los principios de uso del acceso con privilegios mínimos y presunción de que ha habido una vulneración. Este artículo le ayuda a obtener información sobre el proceso de registro de aplicaciones y sus requisitos para asegurarse de que las aplicaciones siguen un enfoque de seguridad de Confianza cero.

La administración de aplicaciones en Microsoft Entra ID es el proceso de creación, configuración, administración y supervisión de aplicaciones en la nube de forma segura. Al registrar la aplicación en un inquilino de Microsoft Entra, está configurando el acceso seguro de los usuarios.

Microsoft Entra ID representa las aplicaciones mediante objetos de aplicación y entidades de servicio. Con algunas excepciones, las aplicaciones son objetos de aplicación. Piense en una entidad de servicio como una instancia de una aplicación que hace referencia a un objeto de aplicación. Varias entidades de servicio en diferentes directorios pueden hacer referencia a un único objeto de aplicación.

Puede configurar la aplicación para que use Microsoft Entra ID de tres formas: en Visual Studio, mediante la API de Microsoft Graph o mediante PowerShell. Hay disponibles experiencias de desarrollador en Azure y en el explorador de API en todos los centros de desarrollo. Haga referencia a las decisiones y tareas necesarias para que los roles de desarrollador y profesional de TI compilen e implementen aplicaciones seguras en la Plataforma de identidad de Microsoft.

Quién puede agregar y registrar aplicaciones

Los administradores y, si lo permite el inquilino, los usuarios y desarrolladores pueden crear objetos de aplicación mediante el registro de aplicaciones en Azure Portal. De manera predeterminada, todos los usuarios de un directorio pueden registrar los objetos de aplicación que desarrollan. Los desarrolladores de objetos de aplicación deciden qué aplicaciones comparten y dan acceso a los datos de la organización mediante el consentimiento.

Cuando el primer usuario de un directorio inicia sesión en una aplicación y concede consentimiento, el sistema crea una entidad de servicio en el inquilino que almacena toda la información de consentimiento del usuario. Microsoft Entra ID crea automáticamente una entidad de servicio para una aplicación recién registrada en el inquilino antes de que un usuario se autentique.

Aquellos usuarios que tengan asignado, al menos, el rol Administrador de aplicaciones o Administrador de aplicaciones en la nube pueden realizar tareas de aplicación específicas (como agregar aplicaciones desde la galería de aplicaciones y configurar aplicaciones para usar el proxy de aplicación).

Registro de objetos de aplicación

Como desarrollador, registra las aplicaciones que usan la Plataforma de identidad de Microsoft. Registre las aplicaciones en Azure Portal o llamando a las API de aplicación de Microsoft Graph. Una vez registrada la aplicación, esta se comunica con la Plataforma de identidad de Microsoft mediante el envío de solicitudes al punto de conexión.

Es posible que no tenga permiso para crear o modificar un registro de aplicación. Si los administradores no le conceden permisos para registrar las aplicaciones, pregúnteles cómo puede transmitirles la información necesaria de registro de aplicaciones.

Las propiedades de registro de aplicación pueden incluir los siguientes componentes.

  • Nombre, logotipo y editor
  • Redireccionamiento de identificadores uniformes de recursos (URI)
  • Secretos (claves simétricas o asimétricas utilizadas para autenticar la aplicación)
  • Dependencias de API (OAuth)
  • API/recursos/ámbitos publicados (OAuth)
  • Roles de aplicación para el control de acceso basado en roles
  • Metadatos y configuración para el inicio de sesión único (SSO), el aprovisionamiento de usuarios y el proxy

Una parte necesaria del registro de aplicaciones es seleccionar los tipos de cuenta admitidos para definir qué usuarios pueden usar la aplicación en función de su tipo de cuenta. Los administradores de Microsoft Entra siguen el modelo de aplicación para administrar objetos de aplicación en Azure Portal por medio de la experiencia de registro de aplicaciones y definen la configuración de la aplicación que indica al servicio cómo emitir tokens a la aplicación.

Durante el registro, recibirá la identidad de la aplicación: el identificador de la aplicación (cliente). La aplicación usa su id. de cliente cada vez que realiza una transacción mediante la Plataforma de identidad de Microsoft.

Procedimientos recomendados de registro de aplicaciones

Siga los procedimientos recomendados de seguridad para las propiedades de la aplicación al registrar su aplicación en Microsoft Entra ID como parte fundamental de su uso empresarial. Evite tiempos de inactividad o compromisos que puedan afectar a toda la organización. Las siguientes recomendaciones le ayudan a desarrollar una aplicación segura conforme a los principios de Confianza cero.

  • Use la lista de comprobación de la integración con la Plataforma de identidad de Microsoft para garantizar una integración segura y de alta calidad. Mantenga la calidad y la seguridad de la aplicación.
  • Defina correctamente las URL de redireccionamiento. Consulte las restricciones y limitaciones del identificador URI de redireccionamiento (URL de respuesta) para evitar problemas de compatibilidad y seguridad.
  • Compruebe los URI de redireccionamiento en el registro de la aplicación para la propiedad y evitar la toma de control de dominio. Las URL de redireccionamiento deben estar en dominios que conozca y que sean de su propiedad. Revise y elimine periódicamente los URI innecesarios y sin usar. No use URI que no sean https en aplicaciones de producción.
  • Defina y mantenga siempre los propietarios de la aplicación y de la entidad de servicio para las aplicaciones registradas en el inquilino. Evite aplicaciones huérfanas (aplicaciones y entidades de servicio sin propietarios asignados). Asegúrese de que los administradores de TI puedan identificar fácil y rápidamente a los propietarios de las aplicaciones durante una emergencia. Mantenga un número reducido de propietarios de aplicaciones. Dificulte que una cuenta de usuario en peligro afecte a varias aplicaciones.
  • Evite usar el registro de la misma aplicación para varias aplicaciones. La separación de los registros de aplicaciones le ayuda a habilitar el acceso con privilegios mínimos y a reducir el impacto durante una vulneración.
    • Use registros de aplicaciones independientes para aplicaciones que inician la sesión de usuarios y aplicaciones que exponen datos y operaciones mediante la API (a menos que estén estrechamente acoplados). Este enfoque permite conceder permisos para una API con privilegios más elevados, como Microsoft Graph y credenciales (por ejemplo, secretos y certificados), distanciada de las aplicaciones que inician sesión e interactúan con los usuarios.
    • Use registros de aplicaciones independientes para las aplicaciones web y las API. Este enfoque ayuda a garantizar que, si la API web tiene un mayor conjunto de permisos, la aplicación cliente no los hereda.
  • Defina la aplicación como una aplicación multiinquilino solo cuando sea necesario. Las aplicaciones multiinquilino permiten el aprovisionamiento en inquilinos distintos del suyo. Como resultado, requieren más sobrecarga de administración para filtrar el acceso no deseado. A menos que quiera desarrollar la aplicación como una aplicación multiinquilino, comience con un valor SignInAudience de AzureADMyOrg.

Pasos siguientes