Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A plataforma de identidade da Microsoftportal de registro de aplicativos é o principal ponto de entrada para aplicativos que usam a plataforma para autenticação e necessidades associadas. Como desenvolvedor, quando você registra e configura seus aplicativos, suas opções impulsionam e afetam o quão bem seu aplicativo satisfaz os princípios de Confiança Zero. O registro efetivo do aplicativo considera os princípios de uso de acesso menos privilegiado e pressupõe violação. Este artigo ajuda você a aprender sobre o processo de registro de aplicativos e seus requisitos para garantir que seus aplicativos sigam uma abordagem de segurança Confiança Zero.
O gerenciamento de aplicativos na ID do Microsoft Entra (Microsoft Entra ID) ajuda você a criar, configurar, gerenciar e monitorar aplicativos com segurança na nuvem. Ao registrar seu aplicativo em um locatário do Microsoft Entra, você configura o acesso de usuário seguro.
O Microsoft Entra ID representa os aplicativos por meio de objetos de aplicativos e principais de serviço. Com algumas exceções, os aplicativos são objetos de aplicativo. Pense em um principal de serviço como uma instância de um aplicativo que faz referência a um objeto de aplicação. Várias entidades de serviço entre diretórios podem fazer referência a um único objeto de aplicativo.
Você pode configurar seu aplicativo para usar a ID do Microsoft Entra por meio de três métodos: no Visual Studio, com a API do Microsoft Graph ou com o PowerShell. Há experiências de desenvolvedor no Azure e no API Explorer em todos os centros de desenvolvedores. Consulte as decisões e tarefas necessárias para as funções de desenvolvedor e profissional de TI para criar e implantar aplicativos seguros na plataforma de identidade da Microsoft.
Quem pode adicionar e registrar aplicativos
Os administradores e, quando o locatário permite que usuários e desenvolvedores, possam criar objetos de aplicativo quando registrarem aplicativos no portal do Azure. Por padrão, todos os usuários em um diretório podem registrar objetos de aplicativo que eles desenvolvem. Os desenvolvedores de objetos de aplicativo decidem quais aplicativos compartilham e dão acesso aos dados organizacionais por consentimento.
Quando o primeiro usuário em um diretório entra em um aplicativo e concede consentimento, o sistema cria uma entidade de serviço no locatário que armazena todas as informações de consentimento do usuário. O Microsoft Entra ID cria automaticamente um principal de serviço para um aplicativo recém-registrado no tenant antes que um usuário se autentique.
Usuários com pelo menos a função Administrador de Aplicativos ou Administrador de Aplicativos na Nuvem podem executar tarefas específicas do aplicativo (como adicionar aplicativos da galeria de aplicativos e configurar aplicativos para usar o proxy de aplicativo).
Registrar objetos de aplicativos
Como desenvolvedor, você registra seus aplicativos que usam a plataforma de identidade da Microsoft. Registre seus aplicativos no portal do Azure ou chamando APIs de aplicativo do Microsoft Graph. Depois de registar seu aplicativo, este se comunica com a plataforma de identidade da Microsoft enviando pedidos para o ponto final.
Talvez você não tenha permissão para criar ou modificar um registro de aplicativo. Quando os administradores não lhe derem permissões para registrar seus aplicativos, pergunte a eles como você pode transmitir as informações de registro de aplicativo necessárias a eles.
Propriedades de registro de aplicativo podem incluir os seguintes componentes.
- Nome, logotipo e editor
- Redirecionamento de Identificadores Uniformes de Recurso (URIs)
- Segredos (chaves simétricas e/ou assimétricas usadas para autenticar o aplicativo)
- Dependências de API (OAuth)
- APIs, recursos e escopos publicados (OAuth)
- Funções de aplicativos para controle de acesso baseado em funções
- Metadados e configuração para logon único (SSO), provisionamento de usuário e proxy
Uma parte necessária do registro do aplicativo é a seleção de tipos de conta com suporte para definir quem pode utilizar seu aplicativo com base no tipo de conta do usuário. Os administradores do Microsoft Entra seguem o modelo de aplicativo para gerenciar objetos de aplicativo no portal do Azure com a experiência de registro de aplicativos e definem configurações de aplicativo que instruem ao serviço a emitir tokens para o aplicativo.
Durante o registro, você recebe a identidade do seu aplicativo: a ID do aplicativo (cliente). O aplicativo utiliza a ID de cliente sempre que executa uma transação por meio da plataforma de identidade da Microsoft.
Práticas recomendadas de registro de aplicativos
Siga as práticas recomendadas de segurança para propriedades de aplicativo ao registrar seu aplicativo na ID do Microsoft Entra como uma parte crítica de seu uso comercial. Visa impedir o tempo de inatividade ou o comprometimento que pode afetar toda a organização. As recomendações a seguir ajudam você a desenvolver seu aplicativo seguro de acordo com os princípios do Confiança Zero.
- Utilize a lista de verificação de integração da plataforma de identidade da Microsoft para garantir uma integração segura e de alta qualidade. Mantenha a qualidade e a segurança do seu aplicativo.
- Definir corretamente suas URLs de redirecionamento Consulte as restrições e limitações de URI de redirecionamento (URL de resposta) para evitar problemas de compatibilidade e segurança.
- Verifique os URIs de redirecionamento no registro do aplicativo para garantir a propriedade e evitar apropriações de domínio. As URLs de redirecionamento devem estar em domínios que você conhece e possui. Revise e remova regularmente URIs desnecessários e não utilizados. Não utilize URIs não-https em aplicativos de produção.
- Sempre defina e mantenha proprietários principais de aplicativos e serviços para os aplicativos registrados em seu locatário. Evite aplicativos órfãos (aplicativos e entidades de serviço sem proprietários atribuídos). Certifique-se de que os administradores de TI possam identificar fácil e rapidamente os proprietários de aplicativos durante uma emergência. Mantenha o número de proprietários de aplicativos pequeno. Dificultar que uma conta de usuário comprometida afete vários aplicativos.
-
Evite usar o mesmo registro de aplicativopara vários aplicativos. Separar os registros de aplicativos ajuda a habilitar o acesso menos privilegiado e reduzir o impacto durante uma violação.
- Utilize registros de aplicativos separados para aplicativos que conectam usuários e aplicativos que expõem dados e operações via API (a menos que estejam bem acoplados). Essa abordagem permite permissões para uma API com privilégios mais altos, como o Microsoft Graph e credenciais (como segredos e certificados), separado de aplicativos que autenticam e interagem com os usuários.
- Utilize registros de aplicativos separados para aplicativos Web e APIs. Essa abordagem ajuda a garantir que, se a API da Web tiver um conjunto maior de permissões, o aplicativo cliente não as herde.
- Defina sua aplicação como uma aplicação para múltiplos locatários somente quando necessário. Aplicativos multilocatários permitem provisionamento em locatários que não são o seu. Eles exigem mais sobrecarga de gerenciamento para filtrar o acesso indesejado. A menos que você pretenda desenvolver seu aplicativo como um aplicativo multitenant, comece com o valor SignInAudience do AzureADMyOrg.
Próximas etapas
- Consulte a documentação da plataforma de identidade da Microsoft para saber como registrar tipos de aplicativo. Os tipos de aplicativo de exemplo incluem aplicativos de página única (SPA), aplicativos Web, APIs da Web, aplicativos de desktop, aplicativos móveis e serviços em segundo plano, daemons e scripts.
- O artigo Integrar aplicativos com o Microsoft Entra ID e a plataforma de identidade da Microsoft ajuda os desenvolvedores a criar e integrar aplicativos que os profissionais de TI podem proteger na empresa.
- O artigo Adquirir autorização para acessar recursos ajuda você a entender a melhor forma de garantir Confiança Zero ao adquirir permissões de acesso a recursos para o seu aplicativo.
- O artigo Práticas recomendadas de autorização ajuda você a implementar os melhores modelos de autorização, permissão e consentimento para aplicativos.