Planejar o registro do aplicativo
O registo de aplicações (App) no Microsoft Entra ID é o processo de garantir que o seu sistema de identidade está ciente das aplicações utilizadas. Pode confirmar que o utilizador tem acesso à aplicação e que esta tem acesso a quaisquer recursos necessários. O registo de aplicações garante a segurança e privacidade dos utilizadores, aplicações e dos seus dados.
Benefícios de registrar um aplicativo
Ao registrar seu aplicativo com o Microsoft Entra ID, você está fornecendo uma configuração de identidade para seu aplicativo que permite que ele se integre à plataforma de identidade da Microsoft. Registrar o aplicativo também permite que você:
- Personalize a identidade visual do seu aplicativo na caixa de diálogo de login.
- A marca é importante porque iniciar sessão é a primeira experiência que um utilizador tem com a sua aplicação.
- Decida se pretende permitir que os utilizadores iniciem sessão apenas se pertencerem à sua organização.
- Iniciar sessão na sua própria organização é conhecido como uma aplicação de inquilino único.
- Pode permitir que os utilizadores iniciem sessão usando qualquer conta de trabalho ou escola, o que é conhecido como uma aplicação multitenant.
- Você também pode permitir contas pessoais da Microsoft ou uma conta social do LinkedIn, Google e assim por diante.
- Solicitar permissões de escopo.
- Por exemplo, você pode solicitar o escopo "user.read", que concede permissão para ler o perfil do usuário conectado.
- Defina um escopo que defina o acesso à sua API da Web.
- Normalmente, quando uma aplicação quer aceder à sua API, precisa de pedir permissões para os scopes que define.
- Partilhe um segredo com a plataforma de identidade da Microsoft que comprove a identidade da aplicação.
- O uso de um segredo é relevante no caso em que o aplicativo é um aplicativo cliente confidencial. Um aplicativo cliente confidencial é um aplicativo que pode conter credenciais com segurança, como um cliente da Web. Um servidor back-end confiável é necessário para armazenar as credenciais.
Aplicativos de locatário único versus multilocatário
Como o nome indica, uma aplicação registada como aplicação de inquilino único só está disponível para utilizadores e recursos nesse tenant específico. Para aplicações registadas como aplicações multiinquilino, utilizadores de diferentes inquilinos podem aceder às aplicações. O cenário multilocatário deve ser usado intencionalmente quando necessário. No cenário multilocatário, um objeto principal de serviço é criado no diretório para cada locatário onde o aplicativo tem utilizadores. A criação da entidade de serviço acontece no momento do registo da aplicação no locatário de origem e durante a primeira autenticação do utilizador noutros locatários. Quando se trata de desenvolver aplicações, os programadores podem optar por configurar a sua aplicação como "single-tenant" ou "multitenant" durante o registo no centro de administração do Microsoft Entra.
- As aplicações de locatário único só estão disponíveis no locatário em que foram registadas, também conhecido como locatário principal.
- Os aplicativos multilocatários estão disponíveis para usuários em seu locatário doméstico e outros locatários.
No centro de administração do Microsoft Entra, pode configurar a sua aplicação como single-tenant ou multitenant definindo o público-alvo da seguinte maneira.
| Público-alvo | Single/multitenant | Quem pode iniciar sessão |
|---|---|---|
| Contas apenas neste diretório | Inquilino único | Todas as contas de usuário e convidado em seu diretório podem usar seu aplicativo ou API. |
| Contas em qualquer diretório do Microsoft Entra | Multitenant | Todos os utilizadores e convidados com uma conta escolar ou profissional da Microsoft podem utilizar a sua aplicação ou API. O acesso inclui escolas e empresas que utilizam o Microsoft 365. |
| Contas em qualquer diretório do Microsoft Entra e contas pessoais da Microsoft (como Skype, Xbox Outlook.com) | Multitenant | Todos os utilizadores com uma conta Microsoft profissional ou escolar ou pessoal podem utilizar a sua aplicação ou API. Inclui escolas e empresas que utilizam o Microsoft 365, bem como contas pessoais que são utilizadas para iniciar sessão em serviços como a Xbox e o Skype. |
O que acontece quando uma aplicação é registada
Depois de a aplicação ser registada, é atribuído um identificador único que partilha com a plataforma de identidade da Microsoft quando solicita tokens. Se a aplicação for uma aplicação cliente confidencial, partilha o segredo ou a chave pública dependendo se foram usados certificados ou segredos.
Importante
Desde agosto de 2024, as novas aplicações recebem tokens de acesso v2 por defeito (em vez de v1) para melhorar a segurança. Esta alteração afeta a forma como os tokens são formatados e as reivindicações que contêm.
Há duas representações de aplicativos no Microsoft Entra ID:
- Objetos de aplicativo - Embora haja exceções, os objetos de aplicativo podem ser considerados a definição de um aplicativo.
- Entidades de serviço - Podem ser consideradas uma instância de uma aplicação. As entidades de serviço geralmente fazem referência a um objeto de aplicativo, e um objeto de aplicativo pode ser referenciado por várias entidades de serviço entre diretórios.
A plataforma de identidade da Microsoft representa aplicativos usando um modelo que cumpre duas funções principais. Primeiro, a plataforma de identidade identificará o aplicativo pelos protocolos de autenticação suportados. E, em segundo lugar, fornece todos os identificadores, URLs, segredos e informações relacionadas que são necessários para autenticar.
A plataforma de identidade da Microsoft:
- Contém todos os dados necessários para dar suporte à autenticação em tempo de execução.
- Contém todos os dados para decidir quais recursos um aplicativo pode precisar acessar e em que circunstâncias uma determinada solicitação deve ser atendida.
- Fornece infraestrutura para implementar o provisionamento de aplicativos no locatário do desenvolvedor do aplicativo e para qualquer outro locatário do Microsoft Entra.
- Lida com o consentimento do usuário durante o tempo de solicitação de token e facilita o provisionamento dinâmico de aplicativos entre locatários.
Consentimento é o processo em que um proprietário de recurso concede autorização para um aplicativo cliente acessar recursos protegidos, sob permissões específicas, em nome do proprietário do recurso. O Microsoft Entra permite que usuários e administradores concedam ou neguem dinamicamente o consentimento para que o aplicativo acesse recursos em seu nome. E, em última análise, permite que os administradores decidam quais aplicativos têm permissão para fazer e quais usuários podem usar aplicativos específicos, e como os recursos de diretório são acessados.