Como registrar aplicativos
O portal de registro da plataformade identidade da Microsoft é o principal ponto de entrada para aplicativos que usam a plataforma para autenticação e necessidades associadas. Como desenvolvedor, ao registrar e configurar seus aplicativos, as escolhas que você faz impulsionam e afetam o quão bno seu aplicativo satisfaz os princípios de Confiança Zero. O registro efetivo de aplicativos considera especialmente os princípios de uso, acesso menos privilegiado e violação pressuposta. Este artigo ajuda você a aprender sobre o processo de registro de aplicativos e seus requisitos para garantir que seus aplicativos sigam uma abordagem de segurança Confiança Zero.
O gerenciamento de aplicativos no Microsoft Entra ID é o processo de criação, configuração, gerenciamento e monitoramento de aplicativos na nuvem. Ao registrar seu aplicativo em um locatário do Microsoft Entra, você configura o acesso de usuário seguro.
O Microsoft Entra ID representa os aplicativos por meio de objetos de aplicativos e entidades de serviços. Com algumas exceções, os aplicativos são objetos de aplicativo. Pense em uma entidade de serviço como uma instância de um aplicativo que faz referência a um objeto de aplicativo. Várias entidades de serviço entre diretórios podem fazer referência a um único objeto de aplicativo.
É possível configurar seu aplicativo para usar o Microsoft Entra ID por meio de três métodos: no Visual Studio, usando a API do Microsoft Graph ou usando o PowerShell. Há experiências de desenvolvedor no Azure e no API Explorer em todos os centros de desenvolvedores. Consulte as decisões e tarefas necessárias para as funções de desenvolvedor e profissional de TI para criar e implantar aplicativos seguros na plataforma de identidade da Microsoft.
Quem pode adicionar e registrar aplicativos
Os administradores e, se permitido pelo locatário, os usuários e desenvolvedores podem criar objetos de aplicativo registrando aplicativos no portal do Azure. Por padrão, todos os usuários em um diretório podem registrar objetos de aplicativo que eles desenvolvem. Os desenvolvedores de objetos de aplicativo decidem quais aplicativos compartilham e dão acesso aos dados organizacionais por consentimento.
Quando o primeiro usuário em um diretório entra em um aplicativo e concede consentimento, o sistema cria uma entidade de serviço no locatário que armazena todas as informações de consentimento do usuário. O Microsoft Entra ID cria automaticamente uma entidade de serviço para um aplicativo recém-registrado no locatário antes que um usuário se autentique.
Somente os administradores globais do Microsoft Entra podem executar tarefas específicas do aplicativo (como adicionar aplicativos da galeria de aplicativos e configurar aplicativos para utilizar o proxy de aplicativo).
Registrar objetos de aplicativo
Como desenvolvedor, você registra seus aplicativos que usam a plataforma de identidade da Microsoft. Registre seus aplicativos no portal do Azure ou chamando APIs de aplicativo do Microsoft Graph. Depois de registar seu aplicativo, este se comunica com a plataforma de identidade da Microsoft enviando pedidos para o ponto final.
Talvez você não tenha permissão para criar ou modificar um registro de aplicativo. Quando os administradores não lhe derem permissões para registrar seus aplicativos, pergunte a eles como você pode transmitir as informações de registro de aplicativo necessárias a eles.
Propriedades de registro de aplicativo podem incluir os seguintes componentes.
- Nome, logotipo e editor
- URIs de redirecionamento
- Segredos (chaves simétricas e/ou assimétricas usadas para autenticar o aplicativo)
- Dependências de API (OAuth)
- APIs/recursos/escopos publicados (OAuth)
- Funções de aplicativos para controle de acesso baseado em funções
- Metadados e configuração para logon único (SSO), provisionamento de usuário e proxy
Uma parte necessária do registro do aplicativo é a seleção de tipos de conta com suporte para definir quem pode utilizar seu aplicativo com base no tipo de conta do usuário. Os administradores do Microsoft Entra seguem o modelo de aplicativo para gerenciar objetos de aplicativo no portal do Azure com a experiência de registro de aplicativos e definem configurações de aplicativo que instruem ao serviço a emitir tokens para o aplicativo.
Durante o registro, você recebe a identidade do seu aplicativo: a ID do aplicativo (cliente). O aplicativo utiliza a ID de cliente sempre que executa uma transação por meio da plataforma de identidade da Microsoft.
Práticas recomendadas de registro de aplicativos
Siga as práticas recomendadas de segurança para propriedades de aplicativos ao registrar aplicativos no Microsoft Entra ID como uma parte essecial do seu uso comercial. Visa evitar paradas ou comprometimentos que possam afetar toda a organização. As recomendações a seguir ajudam você a desenvolver seu aplicativo seguro de acordo com os princípios do Confiança Zero.
- Utilize a lista de verificação de integração da plataforma de identidade da Microsoft para garantir uma integração segura e de alta qualidade. Mantenha a qualidade e a segurança do seu aplicativo.
- Definir corretamente suas URLs de redirecionamento Consulte as restrições e limitações de URI de redirecionamento (URL de resposta) para evitar problemas de compatibilidade e segurança.
- Verifique os URIs de redirecionamento usados no registro do aplicativo e a fim de evitar apropriações de domínio. As URLs de redirecionamento devem estar em domínios que você conhece e possui. Revise e remova regularmente URIs desnecessários e não utilizados. Não utilize URIs não-https em aplicativos de produção.
- Sempre defina e mantenha proprietários principais de aplicativos e serviços para os aplicativos registrados em seu locatário. Evite aplicativos órfãos (aplicativos e entidades de serviço que não tenham proprietários atribuídos). Certifique-se de que os administradores de TI possam identificar fácil e rapidamente os proprietários de aplicativos durante uma emergência. Mantenha o número de proprietários de aplicativos pequeno. Dificultar que uma conta de usuário comprometida afete vários aplicativos.
- Evite usar o mesmo registro de aplicativo para vários aplicativos. Separar os registros de aplicativos ajuda a habilitar o acesso menos privilegiado e reduzir o impacto durante uma violação.
- Utilize registros de aplicativos separados para aplicativos que conectam usuários e aplicativos que expõem dados e operações via API (a menos que estejam bem acoplados). Essa abordagem permite permissões para uma API com privilégios mais altos, como o Microsoft Graph e credenciais (como segredos e certificados), à distância de aplicativos que entram e interagem com os usuários.
- Utilize registros de aplicativos separados para aplicativos Web e APIs. Essa abordagem ajuda a garantir que, se a API da Web tiver um conjunto maior de permissões, o aplicativo cliente não as herde.
- Defina seu aplicativo como multilocatário somente quando necessário. Aplicativos multilocatários permitem o provisionamento em locatários diferentes do seu. Eles exigem mais sobrecarga de gerenciamento para filtrar o acesso indesejado. A menos que você pretenda desenvolver seu aplicativo como um aplicativo multilocatário, comece com um valor SignInAudience do AzureADMyOrg.
Próximas etapas
- Consulte a documentação da plataforma de identidade da Microsoft para saber como registrar tipos de aplicativo. Os tipos de aplicativo de exemplo incluem aplicativos de página única (SPA), aplicativos Web, APIs da Web, aplicativos de desktop, aplicativos móveis e serviços em segundo plano, daemons e scripts.
- O artigo Nova experiência de registros de aplicativo para o Azure AD B2C ajuda você a se familiarizar com a nova experiência que substitui a experiência herdada.
- O artigo Integrar aplicativos com o Microsoft Entra ID e a plataforma de identidade da Microsoft ajuda os desenvolvedores a criar e integrar aplicativos que os profissionais de TI podem proteger na empresa, integrando aplicativos com segurança com o Microsoft Entra ID e a plataforma de identidade da Microsoft.
- O artigo Adquirir autorização para acessar recursos ajuda a entender a melhor maneira de garantir a Confiança Zero ao adquirir permissões de acesso a recursos para um aplicativo.
- O artigo Práticas recomendadas de autorização ajuda você a implementar os melhores modelos de autorização, permissão e consentimento para aplicativos.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de