Autenticação e autorização no Microsoft Entra ID
O Microsoft Entra ID fornece serviços de autenticação e autorização por meio do suporte a protocolos de autenticação modernos, como o OAuth 2.0 e o OpenID Connect, em conformidade com os padrões. Você pode usar bibliotecas de software livre, como a MSAL (Biblioteca de Autenticação da Microsoft), bem como outras bibliotecas em conformidade com padrões com o Microsoft Entra ID.
No cenário do portal de funcionários, você fica sabendo que sua organização usa o Microsoft Entra ID como provedor de identidade para autenticação e autorização.
Nessa unidade, você saberá mais sobre autenticação e autorização e como são facilitadas no Microsoft Entra ID.
Autenticação
Autenticação é o processo de estabelecer e verificar a identidade do usuário final que está acessando um aplicativo.
O Microsoft Entra ID usa o protocolo OpenID Connect para processar a autenticação. O OpenID Connect permite que os aplicativos recebam informações básicas sobre o usuário autenticado e a sessão.
Autorização
Autorização é o processo de garantir que um usuário autenticado tenha permissão para executar uma determinada operação ou acessar determinados dados.
O protocolo OAuth 2.0 é usado para fornecer fluxos de autorização para diferentes aplicativos no Microsoft Entra ID.
Registro de aplicativo
O Microsoft Entra ID requer que você registre seu aplicativo antes de fornecer serviços de gerenciamento de identidade e acesso. Registrar o aplicativo estabelece uma relação de confiança entre o aplicativo e o provedor de identidade. Você pode criar um registro de aplicativo por meio do portal do Azure, usando a CLI do Azure e até mesmo programaticamente, usando as APIs do Microsoft Graph.
O registro do aplicativo permite que você especifique o nome do seu aplicativo, o tipo de aplicativo (web, de área de trabalho e assim por diante) e o público-alvo do login, que são as contas de usuário às quais você quer permitir acesso. O público-alvo da conexão inclui:
- Contas somente neste diretório organizacional se você está criando um aplicativo para uso somente por usuários no locatário organizacional (locatário único).
- Contas em qualquer diretório organizacional se você deseja que usuários em qualquer locatário do Microsoft Entra usem o aplicativo (multilocatário).
- Contas em qualquer diretório organizacional e contas Microsoft pessoais para o conjunto mais amplo de clientes (multilocatário com suporte também para contas Microsoft pessoais).
- Contas Microsoft pessoais para uso somente por usuários com contas Microsoft pessoais (por exemplo, contas do Hotmail, Live, Skype e Xbox).
Você também pode configurar credenciais, redirecionar URIs e outras configurações de autenticação no registro de aplicativo.
Quando o registro de aplicativo é concluído, você recebe uma ID do Aplicativo (cliente) que identifica de maneira exclusiva o seu aplicativo no Microsoft Entra ID. Essa ID é usada no código do aplicativo ou na biblioteca de autenticação como parte das solicitações feitas para o Microsoft Entra ID.