Início Rápido: Registar uma aplicação na plataforma de identidade da Microsoft

Começa com o plataforma de identidades da Microsoft registando uma candidatura no portal do Azure.

O plataforma de identidades da Microsoft realiza gestão de identidade e acesso (IAM) apenas para aplicações registadas. Seja uma aplicação de cliente como uma web ou aplicação móvel, ou é uma API web que apoia uma aplicação do cliente, registando-a estabelece uma relação de confiança entre a sua aplicação e o fornecedor de identidade, o plataforma de identidades da Microsoft.

Dica

Para registar um pedido de Azure AD B2C, siga os passos em Tutorial: Registe uma aplicação web em Azure AD B2C.

Pré-requisitos

Registar uma aplicação

O registo da sua aplicação estabelece uma relação de confiança entre a sua app e a plataforma de identidades da Microsoft. A confiança é unidirecional: a sua aplicação confia no plataforma de identidades da Microsoft, e não o contrário.

Siga estes passos para criar o registo da aplicação:

  1. Inicie sessão no portal do Azure.

  2. Se tiver acesso a vários inquilinos, utilize o filtro Diretório + subscrições no menu superior para mudar para o inquilino no qual pretende registar a inscrição.

  3. Procure e selecione Azure Active Directory.

  4. Em Gestão, selecione Registos de aplicações>Novo registo.

  5. Introduza um nome de exibição para a sua aplicação. Os utilizadores da sua aplicação podem ver o nome do ecrã quando utilizarem a aplicação, por exemplo durante a sposição. Pode alterar o nome do visor a qualquer momento e várias inscrições de aplicações podem partilhar o mesmo nome. O ID da Aplicação (cliente) gerado automaticamente pelo registo da aplicação, não o seu nome de exibição, identifica exclusivamente a sua aplicação dentro da plataforma de identidade.

  6. Especifique quem pode usar a aplicação, às vezes chamado de público de inscrição.

    Tipos de conta suportados Description
    Contas apenas neste diretório organizacional Selecione esta opção se estiver a construir uma aplicação para uso apenas por utilizadores (ou hóspedes) no seu inquilino.

    Muitas vezes chamada de aplicação line-of-business (LOB), esta aplicação é uma aplicação de inquilino único no plataforma de identidades da Microsoft.
    Contas em qualquer diretório organizacional Selecione esta opção se quiser que os utilizadores em qualquer inquilino do Azure Ative (Azure AD) possam utilizar a sua aplicação. Esta opção é apropriada se, por exemplo, estiver a construir uma aplicação de software-as-a-service (SaaS) que pretende fornecer a várias organizações.

    Este tipo de aplicação é conhecido como uma aplicação multitenante no plataforma de identidades da Microsoft.
    Contas em qualquer diretório organizacional e contas Microsoft pessoais Selecione esta opção para visar o maior conjunto de clientes.

    Ao selecionar esta opção, está a registar uma aplicação multitenante que também pode suportar utilizadores que tenham contas pessoais da Microsoft.
    Contas pessoais da Microsoft Selecione esta opção se estiver a construir uma aplicação apenas para utilizadores que tenham contas pessoais da Microsoft. As contas pessoais da Microsoft incluem contas Skype, Xbox, Live e Hotmail.
  7. Não introduza nada para redirecionar URI (opcional). Vai configurar um URI redirecionado na próxima secção.

  8. Selecione Registar-se para completar o registo inicial da aplicação.

    A imagem do portal do Azure num navegador web, mostrando ao Registo um painel de aplicações.

Quando a inscrição termina, o portal do Azure exibe o painel de visão geral do registo da aplicação. Vê o ID de Aplicação (cliente). Também chamado de ID do cliente, este valor identifica exclusivamente a sua aplicação no plataforma de identidades da Microsoft.

Importante

Por padrão, os novos registos de aplicações são ocultas aos utilizadores. Quando estiver pronto para que os utilizadores vejam a aplicação na sua página As Minhas Aplicações pode ative-la. Para ativar a aplicação, no portal do Azure navegar paraaplicaçõesAzure Ative Directory> Enterprise e selecionar a aplicação. Em seguida, na página Propriedadesalternar Visível para os utilizadores?

O código da sua aplicação, ou mais tipicamente uma biblioteca de autenticação utilizada na sua aplicação, também utiliza o ID do cliente. O ID é usado como parte da validação dos fichas de segurança que recebe da plataforma de identidade.

A imagem do portal do Azure num navegador web, mostrando o painel de visão geral de um registo de aplicações.

Adicione um URI de redirecionamento

Um URI de redirecionamento é o local onde o plataforma de identidades da Microsoft redireciona o cliente de um utilizador e envia fichas de segurança após a autenticação.

Numa aplicação web de produção, por exemplo, o redirect URI é muitas vezes um ponto final público onde a sua aplicação está a funcionar, como https://contoso.com/auth-response. Durante o desenvolvimento, é comum também adicionar o ponto final onde você executou a sua app localmente, como https://127.0.0.1/auth-response ou http://localhost/auth-response.

Adiciona e modifica URIs redirecionando para as suas aplicações registadas configurando as definições da sua plataforma.

Configurar configurações da plataforma

As definições para cada tipo de aplicação, incluindo URIs de redirecionamento, são configuradas nas configurações da Plataforma no portal do Azure. Algumas plataformas, como aplicações Web e Single-page, exigem que especifique manualmente um URI de redirecionamento. Para outras plataformas, como mobile e desktop, pode selecionar a partir de URIs de redirecionamento gerados para si quando configurar as suas outras definições.

Para configurar as definições de aplicações com base na plataforma ou dispositivo que está a direcionar, siga estes passos:

  1. Na portal do Azure, em Registos de aplicações, selecione a sua candidatura.

  2. Em Gestão, selecione Autenticação.

  3. Nas configurações da Plataforma, selecione Adicionar uma plataforma.

  4. Nas plataformas Configure, selecione o azulejo para o seu tipo de aplicação (plataforma) para configurar as suas definições.

    Screenshot do painel de configuração da plataforma no portal do Azure.

    Plataforma Definições de configuração
    Web Introduza um URI de redirecionamento para a sua aplicação. Este URI é o local onde o plataforma de identidades da Microsoft redireciona o cliente de um utilizador e envia fichas de segurança após a autenticação.

    Selecione esta plataforma para aplicações web padrão que são executadas num servidor.
    Aplicação de página única Introduza um URI de redirecionamento para a sua aplicação. Este URI é o local onde o plataforma de identidades da Microsoft redireciona o cliente de um utilizador e envia fichas de segurança após a autenticação.

    Selecione esta plataforma se estiver a construir uma aplicação web do lado do cliente utilizando o JavaScript ou uma estrutura como Angular, Vue.js, React.js ou Blazor WebAssembly.
    iOS / macOS Insira o ID do pacote de aplicações. Encontre-o em Definições de Construção ou em Xcode em Info.plist.

    Um URI de redirecionamento é gerado para si quando especifica um Bundle ID.
    Android Introduza o nome do pacote de aplicações. Encontre-o no ficheiro AndroidManifest.xml . Também gerar e inserir o hash Signature.

    Um URI de redirecionamento é gerado para si quando especifica estas definições.
    Aplicações móveis e desktop Selecione um dos URIs de redirecionamento sugerido. Ou especifique um URI de redirecionamento personalizado.

    Para aplicações de desktop usando navegador incorporado, recomendamos
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Para aplicações de desktop usando o navegador do sistema, recomendamos
    http://localhost

    Selecione esta plataforma para aplicações móveis que não estejam a usar a mais recente Biblioteca de Autenticação da Microsoft (MSAL) ou que não estejam a utilizar um corretor. Selecione também esta plataforma para aplicações de desktop.
  5. Selecione Configurar para completar a configuração da plataforma.

Redirecionar as restrições URI

Existem algumas restrições no formato dos URIs redirecionados que adiciona a um registo de aplicações. Para obter detalhes sobre estas restrições, consulte as restrições e limitações do Redirecionamento URI (URL de resposta).

Adicionar credenciais

As credenciais são utilizadas por aplicações confidenciais de clientes que acedem a uma API web. Exemplos de clientes confidenciais são aplicações web, outras APIs web, ou aplicações tipo serviço e do tipo daemon. As credenciais permitem que a sua aplicação autença como ele próprio, não requerendo qualquer interação de um utilizador em tempo de execução.

Pode adicionar certificados e segredos de cliente (uma cadeia) como credenciais ao registo confidencial da aplicação do seu cliente.

Screenshot do portal do Azure, mostrando os Certificados e segredos num registo de aplicações.

Adicione um certificado

Às vezes chamado de chave pública, um certificado é o tipo de credencial recomendado porque são considerados mais seguros do que segredos de cliente. Para obter mais informações sobre a utilização de um certificado como método de autenticação na sua aplicação, consulte plataforma de identidades da Microsoft credenciais de certificado de autenticação de pedidos.

  1. Na portal do Azure, em Registos de aplicações, selecione a sua candidatura.
  2. Selecione Certificados segredos &>>Certificados Certificados
  3. Selecione o ficheiro que pretende carregar. Deve ser um dos seguintes tipos de ficheiros: .cer, .pem, .crt.
  4. Selecione Adicionar.

Adicionar um segredo de cliente

Por vezes chamado de senha de aplicação, um segredo de cliente é um valor de cadeia que a sua aplicação pode usar em vez de um certificado para a própria identidade.

Os segredos dos clientes são considerados menos seguros do que as credenciais de certificado. Os desenvolvedores de aplicações às vezes usam segredos de clientes durante o desenvolvimento de aplicações locais devido à sua facilidade de uso. No entanto, deve utilizar credenciais de certificado para qualquer uma das suas aplicações que estejam em execução em produção.

  1. Na portal do Azure, em Registos de aplicações, selecione a sua candidatura.
  2. Selecione Certificados segredos &>Cliente segredos>Novo segredo cliente.
  3. Adicione uma descrição do segredo do cliente.
  4. Selecione uma expiração para o segredo ou especifique uma vida útil personalizada.
    • A vida secreta do cliente é limitada a dois anos (24 meses) ou menos. Não pode especificar uma vida útil personalizada superior a 24 meses.
    • A Microsoft recomenda que estabeleça um valor de validade inferior a 12 meses.
  5. Selecione Adicionar.
  6. Grave o valor do segredo para uso no código de aplicação do seu cliente. Este valor secreto nunca mais é exibido depois de deixar esta página.

Para recomendações de segurança de aplicações, consulte plataforma de identidades da Microsoft boas práticas e recomendações.

Adicione uma credencial federada

As credenciais de identidade federadas são um tipo de credencial que permite cargas de trabalho, como GitHub Actions, cargas de trabalho em Kubernetes ou cargas de trabalho em plataformas de computação fora do acesso do Azure Azure AD recursos protegidos sem precisar de gerir segredos usando a federação de identidade de carga de trabalho.

Para adicionar uma credencial federada, siga estes passos:

  1. Na portal do Azure, em Registos de aplicações, selecione a sua candidatura.

  2. Selecione certificados segredos &>Credenciais federadas>Adicione uma credencial.

  3. Na caixa de lançamento de cenário de credencial federada , selecione um dos cenários suportados e siga as orientações correspondentes para completar a configuração.

    • O cliente geriu chaves para encriptar dados no seu inquilino usando a Azure Key Vault em outro inquilino.
    • As ações do GitHub que implantam recursos da Azure para configurar um fluxo de trabalho do GitHub para obter fichas para a sua aplicação e implantar ativos para a Azure.
    • Kubernetes acede aos recursos da Azure para configurar uma conta de serviço Kubernetes para obter fichas para a sua aplicação e aceder aos recursos da Azure.
    • Outro emitente para configurar uma identidade gerida por um fornecedor externo openID connect para obter fichas para a sua aplicação e aceder aos recursos do Azure.

Para obter mais informações, como obter um token de acesso com uma credencial federada, confira a plataforma de identidades da Microsoft e o artigo de fluxo de credenciais de cliente OAuth 2.0.

Passos seguintes

As aplicações do cliente normalmente precisam de aceder a recursos numa API web. Pode proteger a sua aplicação ao cliente utilizando o plataforma de identidades da Microsoft. Também pode utilizar a plataforma para autorizar o acesso baseado em permissões à sua API web.

Vá ao próximo quickstart da série para criar outro registo de aplicações para a sua API web e expor os seus âmbitos.