Início Rápido: Registrar um aplicativo na plataforma de identidade da Microsoft

Comece a usar a plataforma de identidade da Microsoft registrando um aplicativo no portal do Azure.

A plataforma de identidade da Microsoft executa o IAM (gerenciamento de identidades e acesso) somente para os aplicativos registrados. Seja um aplicativo cliente como um aplicativo móvel ou Web, ou uma API Web que faz backup de um aplicativo cliente, registrá-lo estabelece uma relação de confiança entre seu aplicativo e o provedor de identidade, a plataforma de identidade da Microsoft.

Dica

Para registrar um aplicativo para Azure AD B2C, siga as etapas em Tutorial: Registrar um aplicativo Web no Azure AD B2C.

Pré-requisitos

Registrar um aplicativo

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Registrar seu aplicativo estabelece uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft. A confiança é unidirecional: seu aplicativo confia na plataforma de identidade da Microsoft, e não o contrário. Depois de criado, o objeto de aplicativo não pode ser movido entre locatários diferentes.

Siga estas etapas para criar o registro do aplicativo:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Se você tiver acesso a vários locatários, use o ícone de Configurações no menu superior para alternar para o locatário no qual deseja registrar o aplicativo no menu Diretórios + assinaturas.

  3. Navegue até Identidade>Aplicativos>Registros de aplicativos e selecione Novo registro.

  4. Insira um Nome de exibição para o seu aplicativo. Os usuários do seu aplicativo podem ver o nome de exibição quando usam o aplicativo, por exemplo, durante a conexão. Você pode alterar o nome de exibição a qualquer momento e vários registros de aplicativo podem compartilhar o mesmo nome. A ID do aplicativo (cliente) gerada automaticamente pelo registro do aplicativo, e não o nome de exibição, identifica exclusivamente o seu aplicativo dentro da plataforma de identidade.

  5. Especifique quem pode usar o aplicativo, às vezes, chamado do público-alvo de entrada.

    Tipos de conta com suporte Descrição
    Contas somente neste diretório organizacional Selecione essa opção se você está criando um aplicativo para uso somente por usuários (ou convidados) no seu locatário.

    Geralmente chamado de aplicativo LOB (linha de negócios), esse é um aplicativo de locatário único na plataforma de identidade da Microsoft.
    Contas em qualquer diretório organizacional Selecione essa opção se quiser que os usuários em qualquer locatário do Microsoft Entra possam usar seu aplicativo. Essa opção é apropriada se, por exemplo, você está criando um aplicativo SaaS (software como serviço) que quer fornecer a várias organizações.

    Esse tipo de aplicativo é conhecido como aplicativo multilocatário na plataforma de identidade da Microsoft.
    Contas em qualquer diretório organizacional e contas pessoais da Microsoft Selecione essa opção a fim de direcionar para o conjunto mais amplo de clientes.

    Ao selecionar essa opção, você está registrando um aplicativo multilocatário que também pode dar suporte aos usuários que têm contas Microsoft pessoais. As contas Microsoft pessoais incluem contas do Skype, Xbox, Live e Hotmail.
    Contas Microsoft pessoais Selecione essa opção se você estiver criando um aplicativo somente para os usuários que têm contas Microsoft pessoais. As contas Microsoft pessoais incluem contas do Skype, Xbox, Live e Hotmail.
  6. Não insira nada em URI de Redirecionamento (opcional) . Você vai configurar um URI de redirecionamento na próxima seção.

  7. Selecione Registrar para concluir o registro inicial do aplicativo.

    Screenshot of Microsoft Entra admin center in a web browser, showing the Register an application pane.

Quando o registro for concluído, o centro de administração do Microsoft Entra exibirá o painel Visão geral do registro do aplicativo. Você verá a ID do Aplicativo (cliente) . Também chamada de ID do cliente, esse valor identifica exclusivamente seu aplicativo na plataforma de identidade da Microsoft.

Importante

Novos registros de aplicativos ficam ocultos para os usuários por padrão. Quando estiver pronto para que os usuários vejam o aplicativo na página Meus Aplicativos, você poderá habilitá-lo. Para habilitar o aplicativo, no Centro de administração do Microsoft Entra, navegue até Identidade>Aplicativos>Aplicativos empresariais e selecione o aplicativo. Na página Propriedades, alterne Visível para os usuários? para Sim.

O código do aplicativo ou mais geralmente uma biblioteca de autenticação usada no aplicativo também usa a ID do cliente. A ID é usada como parte da validação dos tokens de segurança que ela recebe da plataforma de identidade.

Screenshot of the Microsoft Entra admin center in a web browser, showing an app registration's Overview pane.

Adicionar um URI de redirecionamento

Um URI de redirecionamento é a localização para a qual a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

Em um aplicativo Web de produção, por exemplo, o URI de redirecionamento geralmente é um ponto de extremidade público em que seu aplicativo está em execução, como https://contoso.com/auth-response. Durante o desenvolvimento, é comum também adicionar o ponto de extremidade em que você executa o aplicativo localmente, como https://127.0.0.1/auth-response ou http://localhost/auth-response. Certifique-se de que nenhum ambiente de desenvolvimento/URI de redirecionamento desnecessários sejam expostos no aplicativo de produção. Isso pode ser feito com registros de aplicativo separados para desenvolvimento e produção.

Você adiciona e modifica URIs de redirecionamento para seus aplicativos registrados definindo suas configurações de plataforma.

Definir configurações de plataforma

As configurações para cada tipo de aplicativo, incluindo URIs de redirecionamento, são definidas em Configurações de plataforma no portal do Azure. Algumas plataformas, como Web e Aplicativos de página única, exigem que você especifique manualmente um URI de redirecionamento. Para outras plataformas, como dispositivos móveis e desktop, você pode selecionar entre URIs de redirecionamento gerados para você ao definir as outras configurações.

Para definir as configurações do aplicativo com base na plataforma ou no dispositivo que você está direcionando, siga estas etapas:

  1. No centro de administração do Microsoft Entra, em Registros de aplicativos, selecione seu aplicativo.

  2. Em Gerenciar, selecione Autenticação.

  3. Em Configurações da plataforma, selecione Adicionar uma plataforma.

  4. Em Configurar plataformas, selecione o bloco para o tipo de aplicativo (plataforma) para definir as configurações dele.

    Screenshot of the platform configuration pane in the Azure portal.

    Plataforma Definições de configuração
    Web Insira um URI de Redirecionamento para o aplicativo. Esse URI é a localização para a qual a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

    A URL de logoff de canal frontal e as propriedades de fluxo implícito e híbrido também podem ser configuradas.

    Selecione essa plataforma para aplicativos Web padrão que são executados em um servidor.
    Aplicativo de página única Insira um URI de Redirecionamento para o aplicativo. Esse URI é a localização para a qual a plataforma de identidade da Microsoft redireciona o cliente de um usuário e envia tokens de segurança após a autenticação.

    A URL de logoff de canal frontal e as propriedades de fluxo implícito e híbrido também podem ser configuradas.

    Selecione essa plataforma se você estiver criando um aplicativo Web do lado do cliente usando JavaScript ou uma estrutura como o Angular, o Vue.js, o React.js ou o Blazor WebAssembly.
    iOS/macOS Insira a ID do pacote do aplicativo. Encontre-a nas Configurações de Build ou no Xcode em Info.plist.

    Um URI de redirecionamento é gerado para você quando você especifica uma ID do Pacote.
    Android Insira o Nome do pacote do aplicativo. Encontre-o no arquivo AndroidManifest.xml. Gere e insira também o Hash de assinatura.

    Um URI de redirecionamento é gerado para você quando você especifica essas configurações.
    Aplicativos móveis e para desktop Selecione um dos URIs de redirecionamento sugeridos. Ou especifique em um ou mais URIs de redirecionamento personalizados.

    Para aplicativos de desktop usando o navegador incorporado, recomendamos
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Para aplicativos de desktop usando o navegador do sistema, recomendamos
    http://localhost

    Selecionar essa plataforma para aplicativos móveis que não estão usando a MSAL (Biblioteca de Autenticação da Microsoft) mais recente ou que não estão usando um agente. Selecione também essa plataforma para aplicativos de desktop.
  5. Selecione Configurar para concluir a configuração da plataforma.

Restrições do URI de redirecionamento

Há algumas restrições ao formato dos URIs de redirecionamento que você adiciona a um registro de aplicativo. Para obter detalhes sobre essas restrições, confira Restrições e limitações do URI de redirecionamento (URL de resposta).

Adicionar credenciais

As credenciais são usadas por aplicativos cliente confidenciais que acessam uma API Web. Exemplos de clientes confidenciais são aplicativos Web, outras APIs Web ou aplicativos dos tipos serviço e daemon. As credenciais permitem que seu aplicativo se autentique como ele mesmo, sem nenhuma interação com um usuário no runtime.

Você pode adicionar certificados e segredos do cliente (uma cadeia de caracteres) ou credenciais de identidade federada como credenciais ao registro do aplicativo cliente confidencial.

Screenshot of the Microsoft Entra admin center, showing the Certificates and secrets pane in an app registration.

Adicionar um certificado

Às vezes chamado de chave pública, um certificado é o tipo de credencial recomendado porque ele é considerado mais seguro do que os segredos do cliente. Para obter mais informações sobre como usar um certificado como um método de autenticação no seu aplicativo, confira Credenciais do certificado de autenticação de aplicativo da plataforma de identidade da Microsoft.

  1. No centro de administração do Microsoft Entra, em Registros de aplicativos, selecione seu aplicativo.
  2. Selecione Certificados e segredos>Certificados>Carregar certificado.
  3. Selecione os arquivos que deseja carregar. Ele precisa ser um dos seguintes tipos de arquivo: .cer, .pem ou .crt.
  4. Selecione Adicionar.

Adicionar um segredo do cliente

Às vezes chamado de senha do aplicativo, um segredo do cliente é um valor de cadeia de caracteres que seu aplicativo pode usar no lugar de um certificado para se identificar.

Os segredos do cliente são considerados menos seguros do que as credenciais de certificado. Os desenvolvedores de aplicativos às vezes usam segredos do cliente durante o desenvolvimento de aplicativos locais devido à facilidade de uso. No entanto, você deve usar credenciais de certificado para qualquer aplicativo em execução na produção.

  1. No centro de administração do Microsoft Entra, em Registros de aplicativos, selecione seu aplicativo.
  2. Selecione Certificados e segredos>Segredos do cliente>Novo segredo do cliente.
  3. Adicione uma descrição para o segredo do cliente.
  4. Selecione uma data de expiração para o segredo ou especifique um tempo de vida personalizado.
    • O tempo de vida do segredo do cliente é limitado a dois anos (24 meses) ou menos. Você não pode especificar um tempo de vida personalizado por mais de 24 meses.
    • A Microsoft recomenda definir um valor de expiração inferior a 12 meses.
  5. Selecione Adicionar.
  6. Registre o valor do segredo para uso no código do aplicativo cliente. Esse valor secreto nunca será exibido novamente depois que você sair dessa página.

Para recomendações de segurança sobre o aplicativo, confira Melhores práticas e recomendações da plataforma de identidade da Microsoft.

Se você estiver usando uma conexão de serviço do Azure DevOps que cria automaticamente uma entidade de serviço, precisará atualizar o segredo do cliente do site do portal do Azure DevOps em vez de atualizar diretamente o segredo do cliente. Consulte este documento sobre como atualizar o segredo do cliente do site do portal do Azure DevOps: Solucionar problemas de conexões de serviço do Azure Resource Manager.

Adicionar uma credencial federada

As credenciais de identidade federada são um tipo de credencial que permite que cargas de trabalho, como GitHub Actions, cargas de trabalho em execução no Kubernetes ou cargas de trabalho em execução em plataformas de computação fora do Azure acessem recursos protegidos do Microsoft Entra sem precisar gerenciar segredos usando a federação de identidade de carga de trabalho.

Para adicionar uma credencial federada, siga estas etapas:

  1. No centro de administração do Microsoft Entra, em Registros de aplicativos, selecione seu aplicativo.

  2. Selecione Certificados e segredos>Credenciais federadas>Adicionar credencial.

  3. Na caixa suspensa Cenário de credencial federada, selecione um dos cenários com suporte e siga as diretrizes correspondentes para concluir a configuração.

    • Chaves gerenciadas pelo cliente para criptografar os dados no locatário usando o Azure Key Vault em outro locatário.
    • GitHub Actions implantando recursos do Azure para configurar um fluxo de trabalho do GitHub para obter tokens para o aplicativo e implantar os ativos no Azure.
    • Kubernetes acessando os recursos do Azure to configurar uma conta de serviço do Kubernetes para obter tokens para o aplicativo e acessar os recursos do Azure.
    • Outro emissor para configurar uma identidade gerenciada por um provedor do OpenID Connect para obter tokens para o aplicativo e acessar os recursos do Azure.

Para obter mais informações sobre como obter um token de acesso com uma credencial federada, consulte o artigo A plataforma de identidade da Microsoft e o fluxo de credenciais do cliente OAuth 2.0.

Próximas etapas

Aplicativos cliente normalmente precisam acessar recursos em uma API Web. Proteja seu aplicativo cliente usando a plataforma de identidade da Microsoft. Use também a plataforma para autorizar o acesso baseado em permissões com escopo à sua API Web.

Vá para o próximo guia de início rápido da série para criar outro registro de aplicativo para sua API Web e expor os escopos dela.