Integrando aplicativos com o Microsoft Entra ID e a plataforma de identidade da Microsoft

Como desenvolvedor, você pode criar e integrar aplicativos que os profissionais de TI podem proteger na empresa. Este artigo ajudará você a entender como usar os princípios da Confiança Zero para integrar com segurança seu aplicativo ao Microsoft Entra ID e à plataforma de identidade da Microsoft.

O serviço de gerenciamento de identidade e acesso baseado na nuvem da Microsoft, o Microsoft Entra ID, oferece aos desenvolvedores os seguintes benefícios de integração de aplicativos:

• Autenticação e autorização de aplicativos
• Autenticação e autorização de usuário
• SSO (logon único) usando federação ou senha
• Provisionamento e sincronização de usuário
• Controle de acesso baseado em função
• Serviços de autorização OAuth
• Publicação de aplicativos e proxy
• Atributos de extensão de esquema de diretório

Título do diagrama: plataforma de identidade para desenvolvedores da Microsoft. Legenda do diagrama: Crie aplicativos e integre a identidade com um kit de ferramentas unificado. As tecnologias e exemplos listados incluem pontos de extremidade como OpenID Connect, bibliotecas como Microsoft Authentication Libraries - MSAL, APIs da Web como Microsoft Graph, verificação de editores com o Microsoft Partner Network, provisionamento de usuários com System for Cross-domain Identity Management - SCIM e agentes de autenticação disponíveis via MSAL. As identidades com suporte incluem Microsoft Entra ID, MSA e Microsoft Entra External ID, incluindo o Azure AD B2C. Os padrões suportados da indústria incluem OAuth 2.0, OpenID Connect, SAML, SCIM.

O diagrama acima ilustra o kit de ferramentas unificado da plataforma de identidade da Microsoft para desenvolvedores que oferece suporte a várias identidades e padrões do setor. É possível criar aplicativos e integrar identidade com endpoints, bibliotecas, APIs da Web, verificação de editores, provisionamento de usuários e agentes de autenticação.

Introdução à integração de aplicativos

O site de Documentação da plataforma de identidade da Microsoft é o melhor ponto de partida para você aprender a integrar seus aplicativos com a plataforma de identidade da Microsoft. Você pode encontrar workshops para desenvolvedores, materiais de workshops, links para gravações de workshops e informações sobre os próximos eventos ao vivo em https://aka.ms/UpcomingIDLOBDev.

Ao projetar seu aplicativo, você precisará:

• Identifique os recursos que seu aplicativo precisa acessar.
• Considere se seu aplicativo terá usuários interativos e componentes de carga de trabalho.
• Acesse recursos protegidos pelo Microsoft Entra ID criando aplicativos que protegem a identidade por meio de permissões e acesso.

Tipos de aplicativos que você pode integrar

A plataforma de identidade da Microsoft realiza o gerenciamento de identidade e acesso (IAM) apenas para aplicativos registrados e aplicativos com suporte. Para integrar-se à plataforma de identidades da Microsoft, seu aplicativo deve ser capaz de fornecer um componente baseado em navegador da Web que possa se conectar aos pontos de extremidade de autorização do plataforma de identidades da Microsoft sob o endereço https://login.microsoftonline.com. O aplicativo chamará o ponto de extremidade do token no mesmo endereço.

Um aplicativo integrado pode ser executado de qualquer local, incluindo estes exemplos:

• Microsoft Azure
• Outros provedores de nuvem
• Seus próprios data centers e servidores
• Computadores desktop
• Dispositivos móveis
• Dispositivos de Internet das Coisas.

O aplicativo ou dispositivo, como um aplicativo de navegador da Web acessando o ponto de extremidade de autorização, pode fornecer requisitos nativamente. A cooperação entre um navegador desconectado e o aplicativo satisfará os requisitos. Por exemplo, aplicativos executados em televisores podem fazer com que o usuário execute a autenticação inicial com um navegador em um desktop ou dispositivo móvel.

Você registrará seu aplicativo cliente (aplicativo Web ou nativo) ou API Web para estabelecer uma relação de confiança entre seu aplicativo e a plataforma de identidade da Microsoft. O registro do aplicativo Microsoft Entra é crítico porque a configuração incorreta ou o lapso na higiene do aplicativo podem resultar em tempo de inatividade ou comprometimento. Siga as Práticas recomendadas de segurança das propriedades dos aplicativos na ID do Microsoft Entra.

Publicar na galeria de aplicativos Microsoft Entra

A galeria de aplicativos do Microsoft Entra é uma coleção de objetos de entidade de segurança e aplicativos de software como serviço (SaaS) no Microsoft Entra ID que os desenvolvedores pré-integraram ao Microsoft Entra ID. Ela contém milhares de aplicativos que facilitam a implantação e configuração do SSO e do provisionamento automático de usuários.

Provisionamento automático de usuários refere-se à criação de identidades e funções de usuário em aplicativos em nuvem que os usuários precisam acessar. O provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam. Para provisionar usuários para aplicativos SaaS e outros sistemas, o serviço de provisionamento do Microsoft Entra se conecta a um ponto de extremidade da API de gerenciamento de usuários do Sistema de Gerenciamento de Usuários entre Domínios (SCIM) 2.0 fornecido pelo fornecedor do aplicativo. Esse ponto de extremidade do SCIM permite que o Microsoft Entra ID crie, atualize e remova usuários por meio de programação.

Ao desenvolver aplicativos para o Microsoft Entra ID, você pode usar a API de gerenciamento de usuários do SCIM 2.0 para criar um ponto de extremidade SCIM que integre o Microsoft Entra ID para provisionamento. Para obter detalhes, consulte o tutorial Desenvolver e planejar o provisionamento para um ponto de extremidade do SCIM no Microsoft Entra ID.

Publique seu aplicativo na galeria de aplicativos do Microsoft Entra e disponibilize-o publicamente para os usuários adicionarem a seus locatários, concluindo estas tarefas:

• Complete os pré-requisitos.
• Crie e publique a documentação.
• Envie seu aplicativo.
• Ingresse na Microsoft Partner Network.

Tornar-se um editor verificado

Verificação do fornecedor fornece informações aos usuários de aplicativos e administradores de organizações sobre a autenticidade dos desenvolvedores que publicam aplicativos que se integram à plataforma de identidade da Microsoft. Quando você é um editor verificado, os usuários podem decidir mais facilmente se desejam permitir que seu aplicativo entre e acesse suas informações de perfil. Eles podem basear sua decisão nas informações e no acesso que seu aplicativo solicita em tokens.

Os editores de aplicativos verificam a identidade na Microsoft associando seu registro de aplicativo à sua conta verificada da Microsoft Partner Network (MPN). Durante a verificação, a Microsoft solicita a documentação de verificação. Depois que você se tornar um editor verificado, um selo verificado azul será exibido nos prompts de consentimento do Microsoft Entra e nas páginas da Web do seu aplicativo.

Próximas etapas

• O artigo Criar aplicativos com uma abordagem de identidade de Confiança Zero fornece uma visão geral das permissões e das práticas recomendadas de acesso.
• O artigo Práticas recomendadas de autorização ajuda você a implementar os melhores modelos de autorização, permissão e consentimento para aplicativos.
• O artigo Configurar o domínio de editor de um aplicativo ajuda você a entender aplicativos multilocatários e os valores de domínio de editor padrão.
• O artigo Tutoriais de integração de aplicativos SaaS para uso com o Microsoft Entra ID ajuda você a integrar seus aplicativos SaaS habilitados para nuvem ao Microsoft Entra ID.
• Dicas de referência para solucionar problemas de verificação do fornecedor se você estiver recebendo erros ou vendo um comportamento inesperado durante a publicação.