Creación de un registro de aplicación de Azure AD

  • 7 minutos

Como desarrollador de una aplicación, una de las primeras tareas es registrar una aplicación de Azure AD. Una aplicación de Azure AD establece una identidad para su aplicación y especifica los permisos para los recursos de la API REST de Power BI. La aplicación puede usar el registro de aplicación de Azure AD para generar tokens de Azure AD.

Cada aplicación de Azure AD tiene un identificador ApplicationID, que a veces se conoce como identificador ClientID. Es un identificador único global que identifica la aplicación en la Plataforma de identidad de Microsoft. La aplicación usa el identificador ApplicationID al solicitar un token de Azure AD, por lo que su valor debe codificarse de forma rígida en el archivo de configuración de la aplicación.

La aplicación debe establecer las credenciales de la aplicación de Azure AD para autenticarse como ella misma, sin necesidad de interacción de un usuario de la aplicación. Puede agregar certificados y secretos de cliente como credenciales al registro de la aplicación.

Un certificado, que a veces se denomina clave pública, es el tipo de credencial recomendado para las aplicaciones de producción ya que se considera más seguro que los secretos de cliente. Para más información sobre el uso de un certificado como método de autenticación en la aplicación, consulte Credenciales de certificado para la autenticación de aplicaciones en la plataforma de identidad de Microsoft.

Por su parte, un secreto de cliente es un valor de cadena que la aplicación puede usar en lugar de un certificado a fin de identificarse. A veces se denomina contraseña de aplicación.

Importante

Los secretos de cliente son menos seguros que las credenciales de certificado. Los desarrolladores usan a veces secretos de cliente durante el desarrollo de aplicaciones locales debido a su facilidad de uso. No obstante, el usuario debería utilizar credenciales de certificado con las aplicaciones de producción.

Tanto si usa certificados como secretos de cliente, debe seguir los pasos necesarios para proteger las credenciales frente al acceso y uso no autorizados. Se recomienda usar Azure Key Vault, que protege claves criptográficas, certificados y secretos en la nube.

Tiene tres opciones para crear un registro de aplicación:

  • Uso de Azure Portal
  • Uso de la herramienta de configuración de inserción
  • Desarrollo de un script de PowerShell

Uso de Azure Portal

Use Registros de aplicaciones en Azure Portal para crear, mostrar y administrar los objetos de aplicación del inquilino principal. Puede agregar también secretos o certificados y ámbitos para que la aplicación funcione, personalizar la marca de la aplicación en el cuadro de diálogo de inicio de sesión y mucho más.

Nota

Cuando registra la aplicación en Azure Portal, el portal crea automáticamente un objeto de entidad de servicio al mismo tiempo.

Una ventaja de usar Azure Portal es que expone todos los permisos de servicio de Power BI que se admiten. Los permisos incluyen derechos para ver todos los informes, leer y escribir en todos los informes, etc.

Captura de pantalla de la ventana Solicitud de permisos de API de Azure Portal. Muestra dos permisos concedidos: Ver todos los informes y Leer y escribir todos los informes.

Azure Portal permite conceder esos permisos a la cuenta de usuario maestra para evitar que Azure AD solicite el consentimiento. Además, un administrador global puede conceder permisos a todos los usuarios de la organización para evitar recibir solicitudes de todos los usuarios de la aplicación.

Nota

No es necesario conceder permisos cuando la identidad de inserción de la aplicación es una entidad de servicio. Esto se debe a que los administradores de Power BI administran sus permisos en el portal de administración de Power BI.

Sin embargo, una desventaja de usar Azure Portal es que los desarrolladores pueden considerarlo una opción mas lenta y compleja.

Uso de la herramienta de configuración de inserción

Para simplificar y acelerar la configuración del entorno de desarrollo, use la herramienta de configuración de inserción. Ofrece dos opciones de inserción: Insertar para los clientes e Insertar para la organización.

Nota

La aplicación Insertar para los clientes de ejemplo no admite el uso de una identidad de inserción de entidades de servicio, pero se puede adaptar para que la admita.

Captura de pantalla de las dos opciones que se ven en la herramienta de configuración de la inserción, Insertar para los clientes e Insertar para la organización.

La herramienta elimina el trabajo duro de la configuración. Solo se tardan unos minutos en realizar el flujo de trabajo parecido a un asistente. Cuando haya terminado, la herramienta automáticamente:

  • Crea un registro de aplicación de Azure AD y solicita los permisos de la API REST de Power BI pertinentes.
  • Opcionalmente, crea un área de trabajo.
  • También opcionalmente, importa un conjunto de datos y un informe en el área de trabajo. Puede importar un informe de ejemplo o cargar un archivo de Power BI Desktop (.pbix) de su elección.
  • Concede permisos para evitar que Azure AD solicite consentimiento.
  • Devuelve valores de configuración importantes, incluidos ApplicationID, el identificador de área de trabajo (GroupID) y ReportID.
  • Crea una aplicación ASP.NET de ejemplo escrita en C# que puede descargar como un archivo ZIP. El archivo de configuración de la aplicación contiene todos los valores de configuración (descritos en la lista anterior), pero no incluye la cuenta de usuario maestra ni sus credenciales. Debe especificar esos valores de configuración.

Esto es estupendo para usted como desarrollador principiante de análisis integrados de Power BI. En primer lugar, puede obtener una aplicación funcional en cuestión de minutos. En segundo lugar, Microsoft desarrolló las aplicaciones de ejemplo y uso para ello las bibliotecas de software actuales y procedimientos de diseño recomendados, por lo que realizar en ellas ingeniería inversa para saber cómo funcionan y aprender de ellas. Puede decidir si sigue desarrollando la aplicación o empieza desde cero y desarrolla otra aplicación mediante sus nuevas aptitudes.

Desarrollo de un script de PowerShell

La opción de desarrollar un script para crear un registro de aplicación es útil si necesita reproducir las operaciones de administración. Por ejemplo, puede crear un script para incorporar un nuevo inquilino en una aplicación multiinquilino. Unos scripts bien escritos pueden dar lugar a resultados más rápidos y precisos.

Microsoft Graph proporciona un modelo de programación unificado. Expone las API REST y una biblioteca cliente para acceder a los datos y realizar operaciones en varios servicios en la nube de Microsoft. Especialmente importante a la hora de crear registros de aplicaciones, puede usar Microsoft Graph para:

  • Generar secretos de aplicación
  • Crear registros de aplicaciones
  • Crear la entidad de servicio de la aplicación
  • Asignar un usuario como propietario de la aplicación
  • Agregar las entidades de servicio a un grupo de seguridad

Nota

Al crear mediante programación un registro de aplicación, no se crea automáticamente una entidad de servicio. El script debe agregar explícitamente una entidad de servicio a la aplicación.

Sugerencia

Para obtener un ejemplo de cómo desarrollar un script que cree un registro de aplicación, consulte el módulo Automatización de la administración de soluciones de Power BI.