Exploración de las entidades de servicio
Para poder delegar las funciones de administración de identidades y acceso a Microsoft Entra ID, la aplicación debe registrarse con un inquilino de Microsoft Entra. Al registrar la aplicación con Microsoft Entra ID, va a crear una configuración de identidad para la aplicación que le permita integrarla con Microsoft Entra ID. Al registrar una aplicación en Azure Portal, deberá elegir una de las siguientes opciones:
- Inquilino único: solo accesible en el inquilino
- Multiinquilino: accesible en otros inquilinos
Si registra una aplicación en el portal, se crean automáticamente en el inquilino principal un objeto de aplicación (la instancia única global de la aplicación), así como un objeto de entidad de servicio. También tiene un identificador único global para la aplicación (el identificador de la aplicación o del cliente). En el portal, puede entonces agregar secretos o certificados y ámbitos para que la aplicación funcione, personalizar la marca de la aplicación en el cuadro de diálogo de inicio de sesión y mucho más.
Nota:
También puede crear objetos de entidad de servicio en un inquilino mediante Azure PowerShell, la CLI de Azure, Microsoft Graph y otras herramientas.
Objeto de aplicación
Una aplicación de Microsoft Entra se define mediante su objeto de aplicación único. El objeto de aplicación reside en el inquilino de Microsoft Entra donde se registró la aplicación (conocido como inquilino "principal" de la aplicación). El objeto de aplicación se usa como plantilla o plano técnico para crear uno o varios objetos de entidad de servicio. La entidad de servicio se crea en todos los inquilinos en los que se utiliza la aplicación. De forma similar a una clase en la programación orientada a objetos, el objeto de aplicación tiene algunas propiedades estáticas que se aplican a todas las entidades de servicio creadas (o instancias de aplicación).
El objeto de aplicación describe tres aspectos de una aplicación. Cómo el servicio puede emitir tokens para acceder a la aplicación. Recursos que la aplicación puede necesitar para acceder y las acciones que puede realizar la aplicación.
La entidad de aplicación de Microsoft Graph define el esquema para las propiedades de un objeto de aplicación.
Objeto de entidad de servicio
Para acceder a los recursos que protege un inquilino de Microsoft Entra, la entidad que requiere acceso debe estar representada por una entidad de seguridad. Esto es cierto para los usuarios (entidad de seguridad de usuario) y para las aplicaciones (entidad de servicio).
La entidad de seguridad define la directiva de acceso y los permisos para el usuario o la aplicación de ese inquilino de Microsoft Entra. Esto habilita características básicas como la autenticación del usuario o de la aplicación durante el inicio de sesión y la autorización durante el acceso a los recursos.
Hay tres tipos de entidad de servicio:
Aplicación: este tipo de entidad de servicio es la representación local o la instancia de aplicación de un objeto de aplicación global en un único inquilino o directorio. La entidad de servicio se crea en cada inquilino donde se usa la aplicación y hace referencia al objeto de aplicación único global. El objeto de entidad de servicio define lo que la aplicación puede hacer en el inquilino específico, quién puede acceder a la aplicación y a qué recursos tiene acceso la aplicación.
Identidad administrada: este tipo de entidad de servicio se usa para representar una identidad administrada. Las identidades administradas proporcionan una identidad que usan las aplicaciones al conectarse a los recursos que admiten la autenticación de Microsoft Entra. Cuando se habilita una identidad administrada, se crea en el inquilino una entidad de servicio que representa esa identidad administrada. A las entidades de servicio que representan identidades administradas se les pueden conceder acceso y permisos, pero no se pueden actualizar ni modificar directamente.
Heredado: este tipo de entidad de servicio representa una aplicación heredada (la que se ha creado antes de que se introdujeran o crearan registros de aplicaciones mediante experiencias heredadas). Una entidad de servicio heredada puede tener:
- credentials
- nombres de entidades de seguridad de servicio
- URL de respuesta
- y otras propiedades que un usuario autorizado puede editar, pero no tiene un registro de aplicación asociado.
Relación entre los objetos de aplicación y las entidades de servicio
El objeto de aplicación es la representación global de la aplicación para su uso en todos los inquilinos, y la entidad de servicio es la representación local para su uso en un inquilino específico. El objeto de aplicación actúa como la plantilla a partir de la cual se derivan las propiedades comunes y predeterminadas para su uso en la creación de objetos de entidad de servicio correspondientes.
Un objeto de aplicación tiene lo siguiente:
- Una relación uno a uno con la aplicación de software y
- Relaciones de uno a varios con sus objetos de entidad de servicio correspondientes.
Debe crearse una entidad de servicio en cada inquilino donde se use la aplicación para que se pueda establecer una identidad para el inicio de sesión o el acceso a los recursos protegidos por el inquilino. Una aplicación de inquilino único tendrá solo una entidad de servicio (en su inquilino principal), que normalmente se crea y se consiente para su uso durante el registro de la aplicación. Una aplicación multiinquilino también tiene una entidad de servicio creada en cada inquilino donde un usuario de ese inquilino dio su consentimiento para su uso.