Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem que permite que os funcionários acessem recursos. Os analistas do setor reconhecem consistentemente o Microsoft Entra ID como líder. É sete vezes líder no Quadrante Mágico da Gartner para Gestão de Acessos. KuppingerCole classifica o Microsoft Entra ID como positivo em todas as dimensões no gerenciamento de acesso. Frost & Sullivan nomeou a Microsoft a Empresa do Ano de 2022 para o setor de Gerenciamento Global de Identidade e Acesso. Leia histórias sobre algumas das mais de 300.000 organizações que usam o Microsoft Entra ID.
Este artigo é o primeiro de uma série sobre como desenvolvedores independentes de software (ISVs) podem criar e otimizar aplicativos para o Microsoft Entra ID. Nesta série, você pode saber mais sobre estes tópicos:
- Establish applications in the Microsoft Entra ID ecosystem descreve como usar o centro de administração do Microsoft Entra ou a API (Application Programming Interface) do Microsoft Graph para registrar aplicativos em um locatário do Microsoft Entra ID.
- Autenticar aplicativos e usuários descreve como os aplicativos usam o Microsoft Entra ID para autenticar usuários e aplicativos.
- Autorizar aplicativos, recursos e cargas de trabalho ilustra a autorização quando um humano interage e direciona um aplicativo. Nesse cenário, as APIs atuam para um usuário e quando aplicativos ou serviços funcionam de forma independente.
- Personalizar tokens ajuda você a criar segurança em aplicativos com tokens de ID e tokens de acesso do Microsoft Entra ID. Ele descreve as informações que você pode receber em tokens de ID do Microsoft Entra e como você pode personalizá-los.
Desenvolva com a plataforma de identidade da Microsoft
Os aplicativos são essenciais para o Microsoft Entra ID. Quando um usuário acessa um recurso, ele acessa esse recurso com um aplicativo. A plataforma de identidade da Microsoft compreende as ferramentas e os serviços que permitem aos desenvolvedores criar com base no Microsoft Entra ID. A plataforma de identidade da Microsoft começa com o Microsoft Entra ID, o serviço de nuvem que fornece operações como entrar, sair e registrar o aplicativo que um aplicativo exige. A plataforma de identidade da Microsoft incorpora bibliotecas de autenticação Microsoft (MSAL) de código aberto em várias linguagens e estruturas e o Microsoft Graph que fornece APIs para acessar dados e operações no Microsoft Entra ID.
Para desenvolvedores, a plataforma de identidade da Microsoft inclui os seguintes recursos.
- Autentique um usuário, autorize um aplicativo, gere tokens de API.
- Simplifique a integração de recursos de segurança diretamente com a Microsoft Authentication Library (MSAL) ou por meio de uma API de nível superior, como Microsoft.Identity.Web ou Azure.Identity.
- Em vez de implementar o OAuth 2.0 do zero, use MSALs para abstrair a complexidade com APIs robustas que removem o trabalho do desenvolvedor.
- Certifique-se de que os aplicativos sigam as práticas recomendadas de segurança em conformidade com os padrões e protocolos do setor, como o OAuth 2.0.
- Unifique histórias de autenticação entre aplicativos e experiências com suporte a logon único (SSO).
- Agilize a integração de identidade social com o Microsoft External ID.
- Proteja dados e ativos com o mínimo de código de canalização e suporte nativo para recursos de ID do Microsoft Entra, como Acesso Condicional (CA), Avaliação de Acesso Contínuo (CAE), Proteção de ID do Microsoft Entra e gerenciamento de dispositivos.
- Crie aplicativos que protejam com segurança os tokens de autenticação e, ao mesmo tempo, garantam a aplicação da conformidade do dispositivo e da política. Conte com suporte para autenticação com corretores modernos, como o Microsoft Authenticator, ou componentes internos do sistema operacional, como o Gerenciador de Contas da Web (WAM) no Windows.
Integrar aplicações com o Microsoft Entra ID
Os aplicativos que se integram com identidades de usuário, serviço ou grupo do Microsoft Entra ID interagem com um locatário do Microsoft Entra ID. Um locatário é uma instância dedicada do Microsoft Entra ID que geralmente representa uma organização ou um grupo dentro de uma empresa maior. O locatário mantém o diretório da organização, armazenando objetos como contas corporativas ou de estudante ou contas de parceiros convidados. Grupos, aplicativos, dispositivos e outros objetos também são armazenados. O locatário fornece os pontos de extremidade da Web que os aplicativos usam para executar operações, como autenticação.
Um aplicativo faz solicitações a um ponto de extremidade de locatário para obter tokens que identificam usuários ou que as APIs de recursos podem usar para autorizar o acesso a recursos. As identidades de aplicativo dentro do Microsoft Entra ID permitem que os aplicativos solicitem tokens de um locatário do Microsoft Entra ID enquanto fornecem aos usuários o nível certo de contexto sobre quem está tentando autenticá-los.
Embora a maioria das empresas exija apenas um locatário do Microsoft Entra ID, os cenários podem exigir que as organizações tenham vários locatários para atender às suas metas de negócios. Uma grande empresa pode incluir várias unidades de negócios independentes que podem exigir coordenação e colaboração em toda a empresa. Cidades em uma região ou escolas em um distrito podem ter requisitos semelhantes. Nesses cenários, cada unidade poderia ter seu próprio locatário com sua própria configuração e políticas. Como a nuvem do Microsoft Entra ID hospeda locatários, as organizações podem configurar a colaboração entre locatários com o mínimo de atrito.
Microsoft Entra ID suporta o seguinte entre uma ampla gama de protocolos.
- OAuth 2.0 é o padrão da indústria para autorização. Os aplicativos solicitam um token de acesso com o protocolo OAuth 2.0 para obter autorização para um aplicativo acessar um recurso protegido.
- OpenID Connect (OIDC) é um padrão de autenticação interoperável construído sobre o OAuth 2.0. Os aplicativos solicitam um token de ID com o protocolo OIDC para autenticar o usuário atual.
- Security Assertion Markup Language (SAML) 2.0 é um padrão de autenticação. Os aplicativos solicitam uma asserção SAML, também conhecida como token SAML, do Microsoft Entra ID para trocar dados de autenticação e autorização entre um aplicativo e o Microsoft Entra ID. Os aplicativos usam SAML para autenticar o usuário atual.
- O System for Cross-Domain Identity Management (SCIM) não se destina a autenticação e autorização. O SCIM é um protocolo de provisionamento que automatiza a sincronização de informações de usuários e grupos entre o Microsoft Entra ID e os aplicativos de conexão. A sincronização provisiona usuários e grupos para um aplicativo.
As principais operações que os aplicativos executam com o Microsoft Entra ID são solicitar e processar tokens. No passado, fazer com que o usuário se identificasse com um nome de usuário e uma senha era muitas vezes suficiente para um provedor de identidade como o Microsoft Entra ID emitir um token para um aplicativo. Esse token respondeu à pergunta: "Quem é o usuário e o que o aplicativo pode acessar?" Hoje, uma abordagem mais segura para verificar contas de identidade para mais sinais é:
- Quem é o utilizador?
- O que o aplicativo pode acessar?
- A partir de que dispositivo?
- Com que força de credenciais?
- A partir de que locais de rede?
Os clientes do Microsoft Entra ID podem usar recursos como Acesso Condicional para determinar quais perguntas ou condições desejam avaliar para garantir o acesso seguro aos recursos.
Os desenvolvedores que criam aplicativos que exigem manipulação de identidade do usuário não precisam escrever código para levar em conta essa complexidade na emissão de tokens. As capacidades MSAL incorporadas permitem o processamento de pedidos de autenticação. Com o Acesso Condicional habilitado, quando um aplicativo solicita um token, a ID do Microsoft Entra garante a aplicação da política. Ele verifica solicitações em relação a políticas como a localização do usuário (por exemplo, se eles residem na rede corporativa) ou a avaliação de sinais de risco para o usuário. A avaliação de risco do usuário pode exigir mais interação do usuário, como autenticação multifator (MFA). Depois que o Microsoft Entra ID verifica a conformidade com as restrições de política, ele emite um token. Quando não é possível verificar a conformidade, o Microsoft Entra ID não emite um token para o aplicativo e fornece ao usuário contexto sobre por que ele não pode acessar um recurso.
As políticas de Acesso Condicional são agora mais sofisticadas. Há um amplo conjunto de sinais que determina se um usuário ou serviço deve receber um token. Por exemplo, pode ser importante determinar se um dispositivo móvel utiliza a Gestão de Aplicações Móveis (MAM), se o Intune gere um PC Windows a partir de uma aplicação de ambiente de trabalho. Ou, talvez seja necessário proteger os tokens vinculando-os ao dispositivo de origem de uma solicitação. Essa diligência ajuda a garantir conformidade e segurança com o mínimo de atrito para o desenvolvedor. As bibliotecas da Microsoft oferecem o andaime necessário, mantendo a flexibilidade na resposta a requisitos específicos de política.
Autenticar e autorizar com o Microsoft Entra ID
O Microsoft Entra ID suporta fluxos de autenticação e autorização dentro de navegadores para proteger ativos baseados na Web (como sites e APIs) e em plataformas de cliente como Windows, macOS, Linux, iOS e Android. Os fornecedores de tecnologia em todo o ecossistema interagem com a Microsoft para garantir que os clientes, as suas organizações e parceiros tenham experiências perfeitas de tratamento de credenciais. O Microsoft Edge funciona diretamente com o Microsoft Entra ID para oferecer suporte ao SSO em todo o dispositivo para autenticar usuários em seus dispositivos Windows. O Google Chrome (versão 111) e o Firefox (versão 91) têm esta funcionalidade. Os aplicativos Web que usam identidades de ID do Microsoft Entra usam automaticamente esses recursos em seus aplicativos baseados em navegador para oferecer uma experiência de entrada perfeita para os clientes.
Para permitir que os aplicativos nativos forneçam essa experiência unificada de SSO, o Microsoft Entra introduziu os agentes de autenticação, aplicativos que são executados no dispositivo de um usuário para gerenciar handshakes de autenticação e manter tokens para contas conectadas. A tabela a seguir lista os agentes de autenticação para sistemas operacionais comuns.
| Sistema operativo | Agente de autenticação |
|---|---|
| iOS | Aplicação Microsoft Authenticator |
| Androide | Aplicativo Microsoft Authenticator ou aplicativo Portal da Empresa do Intune |
| Windows | Componente de sistema operativo incorporado do Gestor de Conta Web disponível no Windows 10, Windows Server 2019 e posterior, Windows 11 |
Com os agentes de autenticação, os desenvolvedores de aplicativos nativos podem usar novos recursos do Microsoft Entra ID, como políticas de Acesso Condicional baseadas em dispositivo, sem precisar reescrever o código à medida que novos recursos ficam disponíveis na nuvem. Os aplicativos que não usam um agente de autenticação podem ter uma adoção limitada de aplicativos pelos clientes do Microsoft Entra ID que exigem esses recursos.
Delegar o gerenciamento de identidade e acesso ao Microsoft Entra ID
Você pode criar aplicativos que delegam o gerenciamento de identidade e acesso ao Microsoft Entra ID usando qualquer ferramenta, biblioteca ou estrutura de desenvolvedor que implemente OAuth 2.0, OIDC ou SAML com as advertências discutidas anteriormente. Muitas implementações OIDC com Certificação OpenID para um ou mais perfis de certificação, incluindo perfis de autenticação, requerem configuração extra mínima para funcionar com o Microsoft Entra ID. Para facilitar o desenvolvimento da plataforma Microsoft Entra ID, várias bibliotecas otimizadas da Microsoft funcionam com serviços e recursos da Microsoft.
- Quando você cria aplicativos Web, APIs ou outras cargas de trabalho (como daemons ou serviços no ASP.NET Core ou ASP.NET), use o Microsoft Identity Web.
- Se você criar no Microsoft Azure, use SDKs do Azure que incluem as bibliotecas de cliente do Azure Identity.
- Quando não for possível usar uma dessas bibliotecas, use um MSAL para seu ambiente de desenvolvimento, conforme mostrado na tabela a seguir.
| Biblioteca | Plataformas e estruturas suportadas |
|---|---|
| MSAL para Android | Androide |
| MSAL Angular | Aplicativos de página única com estruturas Angular e Angular.js |
| Objetivo MSAL-C | iOS, iPadOS, macOS |
| MSAL Go | Windows, macOS, Linux |
| MSAL Java | Windows, macOS, Linux |
| MSAL.js | Estruturas JavaScript/TypeScript, como Vue.js, Ember.js ou Durandal.js |
| MSAL.NET | .NET, .NET Framework, .NET para Android, .NET para tvOS |
| Nó MSAL | Aplicações Web com Express, aplicações de ambiente de trabalho com Electron, aplicações de consola multiplataforma |
| MSAL Python | Windows, macOS, Linux |
| MSAL Reagir | Aplicativos de página única com bibliotecas baseadas em React e React (Next.js, Gatsby.js) |
A família de bibliotecas MSAL fornece a principal funcionalidade de aquisição e cache de tokens. Criado em clientes MSAL, Microsoft Identity Web e Azure Identity, simplifique a aquisição de tokens com recursos de biblioteca de autenticação.
Sempre que possível, aconselhamos ISVs construídos em MSAL ou uma biblioteca construída sobre MSAL. O MSAL suporta autenticação intermediada, cenários de Acesso Condicional, proteção de token, políticas de proteção de aplicativos do Microsoft Intune e Gerenciamento de Aplicativos Móveis, Avaliação de Acesso Contínuo da Microsoft e muito mais.
Em todas as plataformas disponíveis, a estrutura unificada de autenticação MSAL integra-se perfeitamente com a plataforma de identidade da Microsoft para autenticação de usuário consistente e segura. Como o MSAL abstrai a complexidade em torno da renovação, armazenamento em cache e revogação proativos de tokens, os desenvolvedores podem garantir que os fluxos de autenticação sejam seguros, robustos e confiáveis.
Aceder a outros recursos
Os aplicativos geralmente precisam de mais do que autenticação e autorização (como acesso aos dados de diretório do locatário). O acesso pode incluir a obtenção de atributos do usuário, grupos, membros do grupo, aplicativos e governança.
O Microsoft Graph fornece acesso à identidade e ao acesso do locatário, usuários, grupos e aplicativos. O Microsoft Graph é a porta de entrada para dados e inteligência no Microsoft 365. Você pode usar seu modelo de programação unificado para acessar a enorme quantidade de dados no Microsoft 365, Windows e Enterprise Mobility + Security (EMS).
Próximos passos
- Establish applications in the Microsoft Entra ID ecosystem descreve como usar o centro de administração do Microsoft Entra ou a API do Microsoft Graph para registrar aplicativos em um locatário do Microsoft Entra ID.
- Autenticar aplicativos e usuários descreve como os aplicativos usam o Microsoft Entra ID para autenticar usuários e aplicativos.
- Autorizar aplicativos, recursos e cargas de trabalho discute a autorização quando um ser humano individual interage e dirige um aplicativo, quando as APIs agem em nome de um usuário e quando os aplicativos ou serviços funcionam de forma independente.
- Personalizar tokens ajuda você a criar segurança em aplicativos com tokens de ID e tokens de acesso do Microsoft Entra ID. Ele descreve as informações que você pode receber em tokens de ID do Microsoft Entra e como você pode personalizá-los.