Inicio rápido: Registro de una aplicación en la plataforma de identidad de Microsoft

Para empezar a trabajar con la plataforma de identidad de Microsoft, registre una aplicación en el centro de administración Microsoft Entra.

La plataforma de identidad de Microsoft realiza la administración de identidades y acceso (IAM) solo para las aplicaciones registradas. Tanto si se trata de una aplicación del cliente (por ejemplo, móvil o web) como de una API web que respalda una aplicación cliente, al registrarlas se establece una relación de confianza entre la aplicación y el proveedor de identidades, es decir, la plataforma de identidad de Microsoft.

Sugerencia

Para registrar una aplicación en Azure AD B2C, siga los pasos que se indican en Tutorial: Registro de una aplicación web en Azure AD B2C.

Requisitos previos

Registro de una aplicación

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

El registro de la aplicación establece una relación de confianza entre la aplicación y la plataforma de identidad de Microsoft. La confianza es unidireccional: la aplicación confía en la plataforma de identidad de Microsoft y no al revés. Una vez creado, el objeto de aplicación no se podrá mover entre distintos inquilinos.

Siga estos pasos para crear el registro de la aplicación:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Si tiene acceso a varios inquilinos, use el icono Configuración del menú superior para cambiar al inquilino en el que desea registrar la aplicación desde el menú Directorios y suscripciones.

  3. Vaya a Identidad>Aplicaciones>Registros de aplicaciones y seleccione Nuevo registro.

  4. Escriba un Nombre de usuario para la aplicación. Los usuarios de la aplicación pueden ver el nombre de usuario cuando usan la aplicación, por ejemplo, durante el inicio de sesión Puede cambiar el nombre para mostrar en cualquier momento y varios registros de aplicaciones pueden compartir el mismo nombre. La aplicación (cliente) ID, la cual se genera automáticamente durante el registro, el lo que identifica su aplicación dentro de la plataforma de identidades.

  5. Especifique qué personas pueden usar la aplicación. A veces, se conoce a estas personas como público de inicio de sesión.

    Tipos de cuenta admitidos Descripción
    Solo las cuentas de este directorio organizativo Seleccione esta opción si va a desarrollar una aplicación para que la utilicen usuarios (o invitados) de su inquilino.

    A menudo denominada aplicación de línea de negocio, se trata de una aplicación de un solo inquilino en la plataforma de identidad de Microsoft.
    Cuentas en cualquier directorio organizativo Seleccione esta opción si quiere que los usuarios de cualquier inquilino de Microsoft Entra puedan usar la aplicación. Esta opción es adecuada si, por ejemplo, va a desarrollar una aplicación de software como servicio (SaaS) que desea proporcionar a varias organizaciones.

    Este tipo de aplicación se denomina multiinquilino en la plataforma de identidad de Microsoft.
    Cuentas en cualquier directorio organizativo y cuentas Microsoft personales Seleccione esta opción para establecer como destino el mayor conjunto posible de clientes.

    Al seleccionar esta opción, estará registrando una aplicación multiinquilino que también admite usuarios con cuentas personales de Microsoft. Las cuentas personales de Microsoft abarcan las cuentas de Skype, Xbox, Live y Hotmail.
    Cuentas personales de Microsoft Seleccione esta opción si va a crear una aplicación solo para usuarios con cuentas personales de Microsoft. Las cuentas personales de Microsoft abarcan las cuentas de Skype, Xbox, Live y Hotmail.
  6. Deje el URI de redirección (opcional) por ahora mientras configura un URI de redirección en la siguiente sección.

  7. Seleccione Registrar para completar el registro inicial de la aplicación.

    Captura de pantalla del Centro de administración de Microsoft Entra en un explorador web que muestra el panel Registrar una aplicación.

Cuando finalice el registro, en el Centro de administración de Microsoft Entra se mostrará el panel Información general del registro de la aplicación. Verá el id. de aplicación (cliente) . Este valor, también conocido como Id. de cliente, identifica de forma única la aplicación en la plataforma de identidad de Microsoft.

Importante

De forma predeterminada, los nuevos registros de aplicaciones están ocultos a los usuarios. Cuando esté listo para que los usuarios puedan ver la aplicación en su página Mis aplicaciones, puede habilitarla. Para habilitar la aplicación, en el Centro de administración de Microsoft Entra, vaya a Identidad>Aplicaciones>Aplicaciones empresariales y seleccione la aplicación. Después, en la página Propiedades, cambie ¿Es visible para los usuarios? a Sí.

El código de la aplicación, o lo que es más común, una biblioteca de autenticación que se usa en la aplicación, también se sirve del identificador de cliente. El identificador forma parte de la validación de los tokens de seguridad que recibe de la plataforma de identidad.

Captura de pantalla del Centro de administración Microsoft Entra en un explorador web que muestra el panel de información general del registro de una aplicación.

Incorporación de un URI de redirección

Un URI de redirección es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación.

En una aplicación web de producción, por ejemplo, el URI de redirección suele ser un punto de conexión público en el que se ejecuta la aplicación, por ejemplo, https://contoso.com/auth-response. Durante la fase de desarrollo, también es habitual incorporar el punto de conexión en el que se ejecuta la aplicación localmente, como https://127.0.0.1/auth-response o http://localhost/auth-response. Asegúrese de que en la aplicación de producción no se expongan entornos de desarrollo o identificadores URI de redirección innecesarios. Esto puede lograrse teniendo registros de aplicaciones separados para el desarrollo y la producción.

Para agregar y modificar los URI de redirección de las aplicaciones registradas, especifique los parámetros en Configuraciones de plataforma.

Configuración de los valores de plataforma

Los valores de cada tipo de aplicación, incluidos los URI de redirección, se especifican en Configuraciones de plataforma en Azure Portal. Algunas plataformas, como las de aplicaciones web y aplicaciones de página única, requieren que se especifique manualmente un URI de redirección. Para otras plataformas, como las de aplicaciones móviles y de escritorio, es posible elegir entre los URI de redirección que se generan automáticamente al configurar las demás opciones.

Para configurar las opciones de la aplicación en función de la plataforma o el dispositivo de destino, siga estos pasos:

  1. En el Centro de administración de Microsoft Entra, en Registros de aplicaciones, seleccione la aplicación.

  2. En Administrar, seleccione Autenticación.

  3. En Configuraciones de plataforma, seleccione Agregar una plataforma.

  4. En Configurar plataformas, seleccione el icono del tipo de aplicación (plataforma) para configurar los valores.

    Captura de pantalla del panel de configuración de la plataforma en Azure Portal.

    Plataforma Parámetros de configuración
    Web Escriba un URI de redirección para la aplicación. Este URI es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación.

    La dirección URL de cierre de sesión del canal frontal y las propiedades implícitas e híbridas de flujo también se pueden configurar.

    Seleccione esta plataforma para las aplicaciones web estándar que se ejecuten en un servidor.
    Aplicación de página única Escriba un URI de redirección para la aplicación. Este URI es la ubicación a la que la plataforma de identidad de Microsoft redirige el cliente de un usuario y envía tokens de seguridad tras la autenticación.

    La dirección URL de cierre de sesión del canal frontal y las propiedades implícitas e híbridas de flujo también se pueden configurar.

    Seleccione esta plataforma si va a desarrollar una aplicación web del lado del cliente con JavaScript, o bien, con un marco como Angular, Vue.js, React.js o Blazor WebAssembly.
    iOS/macOS Escriba el ID de agrupación de la aplicación. Lo encontrará en Configuración de la compilación o, en Xcode, en Info.plist.

    Al especificar un ID de agrupación, se genera un URI de redirección.
    Android Escriba el valor en Nombre del paquete de la aplicación. Lo encontrará en el archivo AndroidManifest.xml. Además, genere y especifique el valor de Hash de firma.

    Al especificar estos valores, se genera un URI de redirección.
    Aplicaciones móviles y de escritorio Seleccione uno de los valores sugeridos del URI de redirección. O especifique uno o varios URI de redirección personalizados.

    En el caso de las aplicaciones de escritorio que usan el explorador insertado, se recomienda
    https://login.microsoftonline.com/common/oauth2/nativeclient

    En el caso de las aplicaciones de escritorio que usan el explorador del sistema, se recomienda
    http://localhost

    Seleccionar esta plataforma para las aplicaciones móviles que no utilicen la biblioteca de autenticación de Microsoft (MSAL) más reciente o que no usen un agente. Seleccione también esta plataforma para las aplicaciones de escritorio.
  5. Seleccione Configurar para completar la configuración de la plataforma.

Restricciones aplicables a los URI de redirección

Existen algunas restricciones con respecto al formato de los URI de redirección que se agregan al registro de una aplicación. Para más información sobre estas restricciones, consulte Restricciones y limitaciones del identificador URI de redirección (dirección URL de respuesta).

Adición de credenciales

Las credenciales se usan en las aplicaciones cliente confidenciales que acceden a una API web. Ejemplos de aplicaciones cliente confidenciales son, entre otras, las aplicaciones web, las API web o las aplicaciones demonio y de tipo servicio. Las credenciales permiten que la aplicación se autentique a sí misma, por lo que no se requiere la interacción del usuario en tiempo de ejecución.

Puede agregar certificados, secretos de cliente (una cadena), o credenciales de identidad federadas, como credenciales al registro de la aplicación cliente confidencial. Se recomienda usar certificados de una entidad de certificación (CA) de confianza siempre que sea posible.

Captura de pantalla del Centro de administración Microsoft Entra que muestra el panel de certificados y secretos durante el registro de una aplicación.

Un certificado, que a veces se denomina clave pública, es el tipo de credencial recomendado porque se considera más seguro que los secretos de cliente. Para más información sobre el uso de un certificado como método de autenticación en la aplicación, consulte Credenciales de certificado para la autenticación de aplicaciones en la plataforma de identidad de Microsoft.

  1. En el Centro de administración de Microsoft Entra, en Registros de aplicaciones, seleccione la aplicación.
  2. Seleccione Certificates & secrets (Certificados y secretos)>Certificados>Cargar certificado.
  3. Seleccione el archivo que quiere cargar. Debe ser uno de los siguientes tipos de archivo: .cer, .pem, .crt.
  4. Seleccione Agregar.

Paso siguiente