Explore as entidades de serviço

  • 3 minutos

Para delegar funções de Gerenciamento de Identidade e Acesso ao Microsoft Entra ID, um aplicativo deve ser registrado com um locatário do Microsoft Entra. Ao registrar seu aplicativo com o Microsoft Entra ID, você está criando uma configuração de identidade para seu aplicativo que permite que ele se integre ao Microsoft Entra ID. Ao registrar um aplicativo no portal do Azure, você escolhe se ele é:

  • Inquilino único: acessível apenas no seu inquilino
  • Multilocatário: acessível em outros locatários

Se você registrar um aplicativo no portal, um objeto de aplicativo (a instância globalmente exclusiva do aplicativo) e um objeto principal de serviço serão criados automaticamente em seu locatário doméstico. Você também tem uma ID globalmente exclusiva para seu aplicativo (a ID do aplicativo ou do cliente). No portal, você pode adicionar segredos ou certificados e escopos para fazer seu aplicativo funcionar, personalizar a identidade visual do seu aplicativo na caixa de diálogo de entrada e muito mais.

Nota

Você também pode criar objetos de entidade de serviço em um locatário usando o Azure PowerShell, a CLI do Azure, o Microsoft Graph e outras ferramentas.

Objeto do aplicativo

Um aplicativo Microsoft Entra é definido por seu único objeto de aplicativo. O objeto do aplicativo reside no locatário do Microsoft Entra onde o aplicativo foi registrado (conhecido como locatário "doméstico" do aplicativo). Um objeto de aplicativo é usado como um modelo ou esquema para criar um ou mais objetos de entidade de serviço. Uma entidade de serviço é criada em cada locatário onde o aplicativo é usado. Semelhante a uma classe na programação orientada a objetos, o objeto de aplicativo tem algumas propriedades estáticas que são aplicadas a todas as entidades de serviço criadas (ou instâncias de aplicativo).

O objeto application descreve três aspetos de um aplicativo. Como o serviço pode emitir tokens para acessar o aplicativo. Recursos que o aplicativo pode precisar acessar e as ações que o aplicativo pode tomar.

A entidade Aplicativo do Microsoft Graph define o esquema para as propriedades de um objeto de aplicativo.

Objeto principal do serviço

Para acessar recursos protegidos por um locatário do Microsoft Entra, a entidade que requer acesso deve ser representada por uma entidade de segurança. Isso é verdadeiro tanto para usuários (entidade de usuário) quanto para aplicativos (entidade de serviço).

A entidade de segurança define a política de acesso e as permissões para o usuário/aplicativo no locatário do Microsoft Entra. Isso permite recursos principais, como autenticação do usuário/aplicativo durante o login e autorização durante o acesso a recursos.

Existem três tipos de entidade de serviço:

  • Aplicativo - Este tipo de entidade de serviço é a representação local, ou instância de aplicativo, de um objeto de aplicativo global em um único locatário ou diretório. Uma entidade de serviço é criada em cada locatário onde o aplicativo é usado e faz referência ao objeto de aplicativo globalmente exclusivo. O objeto principal de serviço define o que o aplicativo pode realmente fazer no locatário específico, quem pode acessar o aplicativo e quais recursos o aplicativo pode acessar.

  • Identidade gerenciada - Esse tipo de entidade de serviço é usado para representar uma identidade gerenciada. As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra. Quando uma identidade gerenciada é habilitada, uma entidade de serviço que representa essa identidade gerenciada é criada em seu locatário. As entidades de serviço que representam identidades gerenciadas podem receber acesso e permissões, mas não podem ser atualizadas ou modificadas diretamente.

  • Legado - Esse tipo de entidade de serviço representa um aplicativo herdado, que é um aplicativo criado antes que os registros de aplicativo sejam introduzidos ou um aplicativo criado por meio de experiências herdadas. Uma entidade de serviço herdada pode ter:

    • credenciais
    • Nomes das entidades de serviço
    • URLs de resposta
    • e outras propriedades que um usuário autorizado pode editar, mas não tem um registro de aplicativo associado.

Relação entre objetos de aplicativo e entidades de serviço

O objeto de aplicativo é a representação global do seu aplicativo para uso em todos os locatários, e a entidade de serviço é a representação local para uso em um locatário específico. O objeto de aplicativo serve como o modelo do qual as propriedades comuns e padrão são derivadas para uso na criação de objetos de entidade de serviço correspondentes.

Um objeto de aplicativo tem:

  • Uma relação de um para um com a aplicação de software, e
  • Um a muitos relacionamentos com o(s) objeto(s) principal(is) de serviço correspondente(s).

Uma entidade de serviço deve ser criada em cada locatário onde o aplicativo é usado para permitir que ele estabeleça uma identidade para entrada e/ou acesso aos recursos que estão sendo protegidos pelo locatário. Um aplicativo de locatário único tem apenas uma entidade de serviço (em seu locatário doméstico), criada e consentida para uso durante o registro do aplicativo. Um aplicativo multilocatário também tem uma entidade de serviço criada em cada locatário em que um usuário desse locatário consentiu com seu uso.