Objetos de entidade de serviço e aplicativo no Microsoft Entra ID
Este artigo descreve o registro de aplicativo, objetos de aplicativo e entidades de serviço no ID do Microsoft Entra, o que são, como são usados e como estão relacionados entre si. Um cenário de exemplo de multilocatário também é apresentado para ilustrar a relação entre o objeto de um aplicativo e os objetos correspondentes da entidade de serviço.
Registro de aplicativo
Para delegar funções de gerenciamento de identidade e acesso à ID do Microsoft Entra, um aplicativo deve ser registrado com um locatário do Microsoft Entra. Ao registrar seu aplicativo com o ID do Microsoft Entra, você está criando uma configuração de identidade para seu aplicativo que permite que ele se integre ao ID do Microsoft Entra. Ao registrar um aplicativo, escolha se ele é um locatário único ou multilocatário e, opcionalmente, defina um URI de redirecionamento. Para obter instruções detalhadas sobre como registrar um aplicativo, consulte o guia de Início rápido do registro de aplicativos.
Depois de concluir o registro do aplicativo, você terá uma instância globalmente exclusiva do aplicativo (o objeto do aplicativo) que reside no seu locatário ou diretório inicial. Você também tem uma ID globalmente exclusiva para o aplicativo (a ID do cliente ou aplicativo). Você pode adicionar segredos ou certificados e escopos para fazer o aplicativo funcionar, personalizar a marca do aplicativo na caixa de diálogo de login e muito mais.
Se você registrar um aplicativo, um objeto de aplicativo e um objeto de entidade de serviço serão criados automaticamente no locatário inicial. Ao registrar/criar um aplicativo com as APIs do Microsoft Graph, há uma etapa separada para a criação do objeto da entidade de serviço.
Objeto de aplicativo
Um aplicativo Microsoft Entra é definido por seu único objeto de aplicativo, que reside no locatário do Microsoft Entra onde o aplicativo foi registrado (conhecido como locatário "home" do aplicativo). Um objeto de aplicativo é usado como um modelo ou blueprint para criar um ou mais objetos de entidade de serviço. Uma entidade de serviço é criada em todos os locatários em que o aplicativo é usado. Assim como uma classe na programação orientada a objetos, o objeto do aplicativo conta com algumas propriedades estáticas que são aplicadas a todas as entidades de serviço criadas (ou instâncias de aplicativo).
O objeto de aplicativo descreve três aspectos de um aplicativo:
- Como o serviço pode emitir tokens para acessar o aplicativo
- Os recursos que o aplicativo talvez precise acessar
- As ações que o aplicativo pode executar
Você pode usar a página Registros de aplicativos no centro de administração do Microsoft Entra para listar e gerenciar os objetos de aplicativos no locatário inicial.
A Entidade de aplicativo do Microsoft Graph define o esquema para as propriedades de um objeto de aplicativo.
Objeto de entidade de serviço
Para acessar recursos protegidos por um locatário do Microsoft Entra, a entidade que requer acesso deve ser representada por uma entidade de segurança. Este requisito abrange os usuários (entidade de usuário) e os aplicativos (entidade de serviço). A entidade de segurança define a diretiva de acesso e as permissões para o usuário/aplicativo no locatário do Microsoft Entra. Isso habilita recursos principais como a autenticação do usuário/aplicativo durante a entrada, bem como a autorização durante o acesso aos recursos.
Há três tipos de entidades de serviço:
Aplicativo – este tipo de entidade de serviço é a representação local, ou a instância do aplicativo, de um objeto de aplicativo global em um locatário ou diretório. Nesse caso, uma entidade de serviço é uma instância concreta criada a partir do objeto de aplicativo que herda determinadas propriedades desse objeto. Uma entidade de serviço é criada em cada locatário em que o aplicativo é usado e faz referência ao objeto de aplicativo exclusivo globalmente. O objeto da entidade de serviço define o que o aplicativo pode realmente fazer no locatário específico, quem pode acessar o aplicativo e quais recursos ele pode acessar.
Quando um aplicativo recebe permissão para acessar os recursos em um locatário (após o registro ou o consentimento), um objeto de entidade de serviço é criado. Ao registrar um aplicativo, uma entidade de serviço é criada automaticamente. Você também pode criar objetos da entidade de serviço em um locatário usando o Azure PowerShell, a CLI do Azure, o Microsoft Graph e outras ferramentas.
Identidade gerenciada – Esse tipo de entidade de serviço é usado para representar uma identidade gerenciada. As identidades gerenciadas eliminam a necessidade de os desenvolvedores gerenciarem credenciais. As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra. Quando uma identidade gerenciada é habilitada, uma entidade de serviço que representa essa identidade gerenciada é criada em seu locatário. As entidades de serviço que representam identidades gerenciadas podem receber acesso e permissões, mas não podem ser atualizadas ou modificadas diretamente.
Herdado – Esse tipo de entidade de serviço representa um aplicativo herdado, que é um aplicativo criado antes dos Registros de aplicativo serem introduzidos ou criados por meio de experiências herdadas. Uma entidade de serviço herdada pode ter credenciais, nomes de entidade de serviço, URLs de resposta e outras propriedades que um usuário autorizado pode editar, mas não tem um registro de aplicativo associado. A entidade de serviço só pode ser usada no locatário em que foi criada.
A entidade ServicePrincipal do Microsoft Graph define o esquema para as propriedades do objeto de uma entidade de serviço.
Você pode usar a página Aplicativos empresariais no centro de administração do Microsoft Entra para listar e gerenciar as entidades de serviço em um locatário. Você pode ver as permissões da entidade de serviço, as permissões consentidas pelo usuário, quais usuários deram seu consentimento, as informações de entrada, entre outros itens.
Relação entre objetos de aplicativo e entidades de serviço
O objeto do aplicativo é a representação global do seu aplicativo a ser usada em todos os locatários e a entidade de serviço é a representação local a ser usada em um locatário específico. O objeto de aplicativo serve como o modelo do qual as propriedades comuns e padrão são derivadas para uso na criação de objetos de entidade de serviço correspondentes.
Um objeto de aplicativo tem:
- Uma relação um para um com o aplicativo de software e
- Uma relação um para muitos com os objetos de entidade de serviço correspondentes
Uma entidade de serviço deve ser criada em cada locatário no qual o aplicativo é usado, permitindo o estabelecimento de uma identidade para entrada e/ou acesso aos recursos que estão sendo protegidos pelo locatário. Um aplicativo de locatário único tem apenas uma entidade de serviço (em seu locatário inicial), criado e com consentimento para uso durante o registro do aplicativo. Um aplicativo multilocatário também tem uma entidade de serviço criada em cada locatário que contém um usuário que consentiu com seu uso.
Listar entidades de serviço associadas a um aplicativo
Você pode encontrar as entidades de serviço associadas a um objeto de aplicativo.
No centro de administração do Microsoft Entra, navegue até a visão geral do registro de aplicativo. Selecione Aplicativo gerenciado no diretório local.
Consequências da modificação e exclusão de aplicativos
As alterações feitas no objeto de aplicativo também são refletidas apenas no objeto da entidade de serviço do locatário inicial do aplicativo (aquele em que ele foi registrado). Isso significa que a exclusão de um objeto de aplicativo também excluirá seu objeto da entidade de serviço do locatário inicial. No entanto, a restauração desse objeto de aplicativo por meio da interface do usuário dos registros de aplicativo não vai restaurar a entidade de serviço correspondente. Para obter mais informações sobre exclusão e recuperação de aplicativos e dos respectivos objetos de entidade de serviço, confira Excluir e recuperar aplicativos e objetos de entidade de serviço.
Exemplo
O diagrama a seguir ilustra o relacionamento entre o objeto de aplicativo de um aplicativo e os objetos de entidade de serviço correspondentes, no contexto de um aplicativo multilocatário de exemplo chamado aplicativo de RH. Há três locatários do Microsoft Entra neste cenário de exemplo:
- Adatum: o locatário usado pela empresa que desenvolveu o aplicativo de RH
- Contoso: o locatário utilizado pela empresa Contoso, que é consumidora do aplicativo de HR
- Fabrikam: o locatário usado pela organização Fabrikam, que também consome o aplicativo de HR
Nesse cenário de exemplo:
| Etapa | Descrição |
|---|---|
| 1 | É o processo de criação do aplicativo e dos objetos de entidade de serviço no locatário inicial do aplicativo. |
| 2 | Quando os administradores da Contoso e da Fabrikam concluem o consentimento, um objeto de entidade de serviço é criado no locatário do Microsoft Entra da empresa e recebe as permissões concedidas pelo administrador. Observe também que o aplicativo de RH pode ser configurado/projetado para permitir o consentimento pelos usuários para uso individual. |
| 3 | Os locatários do consumidor do aplicativo de RH (Contoso e Fabrikam) tem seu próprio objeto de entidade de serviço. Cada um deles representa o uso de uma instância do aplicativo em runtime, controlado pelas permissões concedidas pelo respectivo administrador. |
Próximas etapas
Saiba como criar uma entidade de serviço:
- Usar o centro de administração do Microsoft Entra
- Usando o PowerShell do Azure
- Usando a CLI do Azure
- Usando o Microsoft Graph e o Explorador do Microsoft Graph para consultar os objetos do aplicativo e da entidade de serviço.