Início Rápido: Registrar um aplicativo na plataforma de identidade da Microsoft

Comece a usar a plataforma de identidade da Microsoft registrando um aplicativo no portal do Azure.

A plataforma de identidade da Microsoft executa o IAM (gerenciamento de identidades e acesso) somente para os aplicativos registrados. Seja um aplicativo cliente como um aplicativo móvel ou Web, ou uma API Web que faz backup de um aplicativo cliente, registrá-lo estabelece uma relação de confiança entre seu aplicativo e o provedor de identidade, a plataforma de identidade da Microsoft.

Dica

Para registrar um aplicativo para Azure AD B2C, siga as etapas em Tutorial: Registrar um aplicativo Web no Azure AD B2C.

Pré-requisitos

Registrar um aplicativo

Registrar seu aplicativo estabelece uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft. A confiança é unidirecional: seu aplicativo confia na plataforma de identidade da Microsoft, e não o contrário.

Siga estas etapas para criar o registro do aplicativo:

  1. Entre no portal do Azure.

  2. Se você tem acesso a vários locatários, use o filtro Diretórios + assinaturas no menu superior para mudar para o locatário no qual você deseja registrar o aplicativo.

  3. Pesquise Azure Active Directory e selecione-o.

  4. Em Gerenciar, selecione Registros de aplicativo>Novo registro.

  5. Insira um Nome de exibição para o seu aplicativo. Os usuários do seu aplicativo podem ver o nome de exibição quando usam o aplicativo, por exemplo, durante a conexão. Você pode alterar o nome de exibição a qualquer momento e vários registros de aplicativo podem compartilhar o mesmo nome. A ID do aplicativo (cliente) gerada automaticamente pelo registro do aplicativo, e não o nome de exibição, identifica exclusivamente o seu aplicativo dentro da plataforma de identidade.

  6. Especifique quem pode usar o aplicativo, às vezes, chamado do público-alvo de entrada.

    Tipos de conta com suporte Descrição
    Contas somente neste diretório organizacional Selecione essa opção se você está criando um aplicativo para uso somente por usuários (ou convidados) no seu locatário.

    Geralmente chamado de aplicativo LOB (linha de negócios), esse é um aplicativo de locatário único na plataforma de identidade da Microsoft.
    Contas em qualquer diretório organizacional Selecione essa opção se deseja que os usuários em qualquer locatário do Azure AD (Azure Active Directory) possam usar seu aplicativo. Essa opção é apropriada se, por exemplo, você está criando um aplicativo SaaS (software como serviço) que quer fornecer a várias organizações.

    Esse tipo de aplicativo é conhecido como aplicativo multilocatário na plataforma de identidade da Microsoft.
    Contas em qualquer diretório organizacional e contas pessoais da Microsoft Selecione essa opção a fim de direcionar para o conjunto mais amplo de clientes.

    Ao selecionar essa opção, você está registrando um aplicativo multilocatário que também pode dar suporte aos usuários que têm contas Microsoft pessoais.
    Contas Microsoft pessoais Selecione essa opção se você estiver criando um aplicativo somente para os usuários que têm contas Microsoft pessoais. As contas Microsoft pessoais incluem contas do Skype, Xbox, Live e Hotmail.
  7. Não insira nada em URI de Redirecionamento (opcional) . Você vai configurar um URI de redirecionamento na próxima seção.

  8. Selecione Registrar para concluir o registro inicial do aplicativo.

    Captura de tela do portal do Azure em um navegador da Web mostrando o painel Registrar um aplicativo.

Quando o registro for concluído, o portal do Azure exibirá o painel Visão geral do registro de aplicativo. Você verá a ID do Aplicativo (cliente) . Também chamada de ID do cliente, esse valor identifica exclusivamente seu aplicativo na plataforma de identidade da Microsoft.

Importante

Novos registros de aplicativos ficam ocultos para os usuários por padrão. Quando estiver pronto para que os usuários vejam o aplicativo na página Meus Aplicativos, você poderá habilitá-lo. Para habilitar o aplicativo, no portal do Azure, navegue até Azure Active Directory>Aplicativos empresariais e selecione o aplicativo. Na página Propriedades, alterne Visível para os usuários? para Sim.

O código do aplicativo ou mais geralmente uma biblioteca de autenticação usada no aplicativo também usa a ID do cliente. A ID é usada como parte da validação dos tokens de segurança que ela recebe da plataforma de identidade.

Captura de tela do portal do Azure em um navegador da Web mostrando o painel Visão geral de um registro de aplicativo.

Adicionar um URI de redirecionamento

Um URI de redirecionamento é a localização para a qual a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

Em um aplicativo Web de produção, por exemplo, o URI de redirecionamento geralmente é um ponto de extremidade público em que seu aplicativo está em execução, como https://contoso.com/auth-response. Durante o desenvolvimento, é comum também adicionar o ponto de extremidade em que você executa o aplicativo localmente, como https://127.0.0.1/auth-response ou http://localhost/auth-response.

Você adiciona e modifica URIs de redirecionamento para seus aplicativos registrados definindo suas configurações de plataforma.

Definir configurações de plataforma

As configurações para cada tipo de aplicativo, incluindo URIs de redirecionamento, são definidas em Configurações de plataforma no portal do Azure. Algumas plataformas, como Web e Aplicativos de página única, exigem que você especifique manualmente um URI de redirecionamento. Para outras plataformas, como dispositivos móveis e desktop, você pode selecionar entre URIs de redirecionamento gerados para você ao definir as outras configurações.

Para definir as configurações do aplicativo com base na plataforma ou no dispositivo que você está direcionando, siga estas etapas:

  1. No portal do Azure, em Registros de aplicativo, selecione seu aplicativo.

  2. Em Gerenciar, selecione Autenticação.

  3. Em Configurações da plataforma, selecione Adicionar uma plataforma.

  4. Em Configurar plataformas, selecione o bloco para o tipo de aplicativo (plataforma) para definir as configurações dele.

    Captura de tela do painel Configuração da plataforma no portal do Azure.

    Plataforma Definições de configuração
    Web Insira um URI de Redirecionamento para o aplicativo. Esse URI é a localização para a qual a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

    Selecione essa plataforma para aplicativos Web padrão que são executados em um servidor.
    Aplicativo de página única Insira um URI de Redirecionamento para o aplicativo. Esse URI é a localização para a qual a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

    Selecione essa plataforma se você estiver criando um aplicativo Web do lado do cliente usando JavaScript ou uma estrutura como o Angular, o Vue.js, o React.js ou o Blazor WebAssembly.
    iOS/macOS Insira a ID do pacote do aplicativo. Encontre-a nas Configurações de Build ou no Xcode em Info.plist.

    Um URI de redirecionamento é gerado para você quando você especifica uma ID do Pacote.
    Android Insira o Nome do pacote do aplicativo. Encontre-o no arquivo AndroidManifest.xml. Gere e insira também o Hash de assinatura.

    Um URI de redirecionamento é gerado para você quando você especifica essas configurações.
    Aplicativos móveis e para desktop Selecione um dos URIs de redirecionamento sugeridos. Ou, então, especifique um URI de redirecionamento personalizado.

    Para aplicativos de desktop usando o navegador incorporado, recomendamos
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Para aplicativos de desktop usando o navegador do sistema, recomendamos
    http://localhost

    Selecionar essa plataforma para aplicativos móveis que não estão usando a MSAL (Biblioteca de Autenticação da Microsoft) mais recente ou que não estão usando um agente. Selecione também essa plataforma para aplicativos de desktop.
  5. Selecione Configurar para concluir a configuração da plataforma.

Restrições do URI de redirecionamento

Há algumas restrições ao formato dos URIs de redirecionamento que você adiciona a um registro de aplicativo. Para obter detalhes sobre essas restrições, confira Restrições e limitações do URI de redirecionamento (URL de resposta).

Adicionar credenciais

As credenciais são usadas por aplicativos cliente confidenciais que acessam uma API Web. Exemplos de clientes confidenciais são aplicativos Web, outras APIs Web ou aplicativos dos tipos serviço e daemon. As credenciais permitem que seu aplicativo se autentique como ele mesmo, sem nenhuma interação com um usuário no runtime.

Você pode adicionar certificados e segredos do cliente (uma cadeia de caracteres) como credenciais ao registro do aplicativo cliente confidencial.

Captura de tela do portal do Azure mostrando o painel Certificados e segredos em um registro de aplicativo.

Adicionar um certificado

Às vezes chamado de chave pública, um certificado é o tipo de credencial recomendado porque ele é considerado mais seguro do que os segredos do cliente. Para obter mais informações sobre como usar um certificado como um método de autenticação no seu aplicativo, confira Credenciais do certificado de autenticação de aplicativo da plataforma de identidade da Microsoft.

  1. No portal do Azure, em Registros de aplicativo, selecione seu aplicativo.
  2. Selecione Certificados & Segredos>Certificados>Carregar certificado.
  3. Selecione os arquivos que deseja carregar. Ele precisa ser um dos seguintes tipos de arquivo: .cer, .pem ou .crt.
  4. Selecione Adicionar.

Adicionar um segredo do cliente

Às vezes chamado de senha do aplicativo, um segredo do cliente é um valor de cadeia de caracteres que seu aplicativo pode usar no lugar de um certificado para se identificar.

Os segredos do cliente são considerados menos seguros do que as credenciais de certificado. Os desenvolvedores de aplicativos às vezes usam segredos do cliente durante o desenvolvimento de aplicativos locais devido à facilidade de uso. No entanto, você deve usar credenciais de certificado para qualquer aplicativo em execução na produção.

  1. No portal do Azure, em Registros de aplicativo, selecione seu aplicativo.
  2. Selecione Certificados & Segredos>Segredos do cliente>Novo segredo do cliente.
  3. Adicione uma descrição para o segredo do cliente.
  4. Selecione uma data de expiração para o segredo ou especifique um tempo de vida personalizado.
    • O tempo de vida do segredo do cliente é limitado a dois anos (24 meses) ou menos. Você não pode especificar um tempo de vida personalizado por mais de 24 meses.
    • A Microsoft recomenda definir um valor de expiração inferior a 12 meses.
  5. Selecione Adicionar.
  6. Registre o valor do segredo para uso no código do aplicativo cliente. Esse valor secreto nunca será exibido novamente depois que você sair dessa página.

Para recomendações de segurança sobre o aplicativo, confira Melhores práticas e recomendações da plataforma de identidade da Microsoft.

Adicionar uma credencial federada

Credenciais de identidade federadas são credenciais que permitem que as cargas de trabalho como GitHub Actions, cargas de trabalho em execução no Kubernetes ou cargas de trabalho em execução em plataformas de computação fora do Azure acessem os recursos protegidos do Azure AD sem a necessidade de gerenciar segredos usando a federação de identidade de carga de trabalho.

Para adicionar uma credencial federada, siga estas etapas:

  1. No portal do Azure, em Registros de aplicativo, selecione seu aplicativo.

  2. Selecione Certificados& segredos>Credenciais federadas>Adicionar uma credencial.

  3. Na caixa suspensa Cenário de credencial federada, selecione um dos cenários com suporte e siga as diretrizes correspondentes para concluir a configuração.

    • Chaves gerenciadas pelo cliente para criptografar os dados no locatário usando o Azure Key Vault em outro locatário.
    • GitHub Actions implantando recursos do Azure para configurar um fluxo de trabalho do GitHub para obter tokens para o aplicativo e implantar os ativos no Azure.
    • Kubernetes acessando os recursos do Azure to configurar uma conta de serviço do Kubernetes para obter tokens para o aplicativo e acessar os recursos do Azure.
    • Outro emissor para configurar uma identidade gerenciada por um provedor do OpenID Connect para obter tokens para o aplicativo e acessar os recursos do Azure.

Para obter mais informações sobre como obter um token de acesso com uma credencial federada, consulte o artigo A plataforma de identidade da Microsoft e o fluxo de credenciais do cliente OAuth 2.0.

Próximas etapas

Aplicativos cliente normalmente precisam acessar recursos em uma API Web. Proteja seu aplicativo cliente usando a plataforma de identidade da Microsoft. Use também a plataforma para autorizar o acesso baseado em permissões com escopo à sua API Web.

Vá para o próximo guia de início rápido da série para criar outro registro de aplicativo para sua API Web e expor os escopos dela.