Registro de la aplicación en el inquilino externo

Se aplica a:Círculo blanco con un símbolo X gris. inquilinos de personal Círculo verde con un símbolo de marca de verificación blanca. inquilinos externos (más información)

La Id. externa de Microsoft Entra permite a tu organización administrar las identidades de los clientes y controlar de forma segura el acceso a las aplicaciones y API orientadas al público. Aplicaciones en las que los clientes pueden comprar sus productos, suscribirse a sus servicios o acceder a su cuenta y datos. Los clientes solo necesitan iniciar sesión en un dispositivo o en un explorador web una vez y tendrán acceso a todas las aplicaciones a las que les ha concedido permisos.

Para permitir que la aplicación se autentique con la Id. externa, debe registrar la aplicación en la Id. externa. El registro de la aplicación establece una relación de confianza entre la aplicación y la Id. externa. Durante el registro de la aplicación, deberás especificar el URI de redirección. El URI de redirección es el punto de conexión al que la Id. externa redirige a los usuarios después de completar la autenticación. El proceso de registro de la aplicación genera un identificador de aplicación, también conocido como identificador de cliente, que permite identificar de forma exclusiva la aplicación.

La Id. externa admite la autenticación para diversas arquitecturas de aplicaciones modernas, por ejemplo, aplicaciones web o de página única. La interacción de cada tipo de aplicación con el inquilino externo es diferente, por lo tanto, debes especificar el tipo de aplicación que deseas registrar.

En este artículo, aprenderás a registrar una aplicación en el inquilino externo.

Requisitos previos

Elige el tipo de aplicación

Registro de una aplicación de página única

La Id. externa admite la autenticación para aplicaciones de página única (SPA).

En los siguientes pasos se muestra cómo registrar la SPA en el centro de administración de Microsoft Entra:

  1. Inicia sesión en el Centro de administración de Microsoft Entra al menos como Desarrollador de aplicaciones.

  2. Si tienes acceso a varios inquilinos, usa el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.

  3. Ve aIdentidad>Aplicaciones>Registros de aplicaciones.

  4. Selecciona + Nuevo registro.

  5. En la página Registrar una aplicación que aparece, escribe la información de registro de la aplicación:

    1. En la sección Nombre, escribe un nombre significativo para la aplicación, que se muestra a los usuarios de la aplicación, por ejemplo, ciam-client-app.

    2. En Tipos de cuenta admitidos, selecciona Solo las cuentas de este directorio organizativo.

    3. En URI de redirección (opcional), selecciona Aplicación de página única (SPA) y, a continuación, escribe http://localhost:3000/ en el cuadro de texto de dirección URL.

  6. Selecciona Registrar.

  7. El panel Información general de la aplicación se muestra cuando se completa el registro. Registra el id. de directorio (inquilino) y el id. de aplicación (cliente) que se usará en el código fuente de la aplicación.

Acerca del URI de redirección

El URI de redirección es el punto de conexión al cual el usuario es enviado por el servidor de autorización (en este caso, Microsoft Entra ID) después de completar su interacción con el usuario, y al cual un token de acceso o código de autorización es enviado después de una autorización exitosa.

En una aplicación de producción, suele ser un punto de conexión accesible públicamente donde se ejecuta la aplicación, como https://contoso.com/auth-response.

Durante el desarrollo de la aplicación, puedes agregar el punto de conexión en el que la aplicación realiza escuchas localmente, como http://localhost:3000. Puedes agregar y modificar los URI de redireccionamiento en las aplicaciones registradas en cualquier momento.

Las siguientes restricciones se aplican a los URI de redireccionamiento:

  • La dirección URL de respuesta debe comenzar con el esquema https excepto en casos en los que se utilice una dirección URL de redireccionamiento localhost.

  • La dirección URL de respuesta distingue mayúsculas de minúsculas. Sus mayúsculas o minúsculas deben coincidir con las de la ruta de acceso de la dirección URL de la aplicación en ejecución. Por ejemplo, si la aplicación incluye como parte de su ruta de acceso .../abc/response-oidc, no especifique .../ABC/response-oidc en la dirección URL de respuesta. Dado que el explorador web tiene en cuenta las mayúsculas y minúsculas de la ruta de acceso, se pueden excluir las cookies asociadas con .../abc/response-oidc si se redirigen a la dirección URL .../ABC/response-oidc con mayúsculas y minúsculas no coincidentes.

  • La dirección URL de respuesta deberá incluir o excluir la barra diagonal final en función de si la aplicación la espera. Por ejemplo, https://contoso.com/auth-response y https://contoso.com/auth-response/ se pueden tratar como direcciones URL no coincidentes en la aplicación.

Una vez registrada la aplicación, se le asigna el permiso User.Read . Sin embargo, dado que el inquilino es un inquilino externo, los propios usuarios del cliente no pueden dar su consentimiento a este permiso. Como administrador, debe dar el consentimiento a este permiso en nombre de todos los usuarios del inquilino:

  1. En la página Registros de aplicaciones, seleccione la aplicación que creó (como ciam-client-app) para abrir la página Información general.

  2. En Administrar, seleccione Permisos de API.

    1. Seleccione Conceder consentimiento del administrador para <nombre del inquilino> y seleccione .
    2. Seleccione Actualizar y compruebe que El nombre> del inquilino aparece <en Estado para el permiso.

Conceder permisos de API (opcional):

Si la SPA necesita llamar a una API, debe conceder los permisos de API a la SPA para que pueda llamar a la API. También debe registrar la API web a la que necesita llamar.

Para conceder permisos de API a su aplicación cliente (ciam-client-app), siga estos pasos:

  1. En la página Registros de aplicaciones, seleccione la aplicación que creó (como ciam-client-app) para abrir la página Información general.

  2. En Administrar, seleccione Permisos de API.

  3. En Permisos configurados, seleccione Agregar un permiso.

  4. Seleccione la pestaña API usadas en mi organización.

  5. En la lista de API, seleccione la API como ciam-ToDoList-api.

  6. Seleccione la opción Permisos delegados.

  7. En la lista de permisos, seleccione ToDoList.Read, ToDoList.ReadWrite (use el cuadro de búsqueda si es necesario).

  8. Seleccione el botón Agregar permisos. En este momento, ha asignado los permisos correctamente. Sin embargo, dado que se trata de un inquilino del cliente, los propios usuarios consumidores no pueden dar su consentimiento a estos permisos. Para solucionar este problema, como administrador debe consentir estos permisos en nombre de todos los usuarios del inquilino:

    1. Seleccione Conceder consentimiento del administrador para <nombre del inquilino> y seleccione .

    2. Seleccione Actualizar y compruebe que aparece Concedido para <nombre del inquilino> en Estado para ambos ámbitos.

  9. En la lista Permisos configurados, seleccione los permisos ToDoList.Read y ToDoList.ReadWrite, de uno en uno y, a continuación, copie el URI completo del permiso para su uso posterior. El URI de permiso completo tiene un aspecto similar a api://{clientId}/{ToDoList.Read} o api://{clientId}/{ToDoList.ReadWrite}.

Si quiere obtener información sobre cómo exponer los permisos mediante la adición de un vínculo, vaya a la sección API web .

Prueba del flujo de usuario (opcional)

Para probar un flujo de usuario con este registro de aplicación, habilite el flujo de concesión implícito para la autenticación.

Importante

El flujo implícito solo debe usarse con fines de prueba y no para autenticar a los usuarios en las aplicaciones de producción. Una vez finalizada la prueba, se recomienda quitarla.

Para habilitar el flujo implícito, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Desarrollador de aplicaciones.
  2. Si tienes acceso a varios inquilinos, usa el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.
  4. Seleccione el registro de aplicaciones que creó.
  5. En Administrar, seleccione Autenticación.
  6. En Flujos de concesión implícita e híbridos, seleccione la casilla de verificación Tokens de id. (usados para flujos híbridos e implícitos).
  7. Seleccione Guardar.

Buscar el identificador de la aplicación (cliente)

Después de registrar una nueva aplicación, puede encontrar el identificador de aplicación (cliente) en la información general del centro de administración de Microsoft Entra.

  1. En la página Registros de aplicaciones, seleccione la pestaña Todas las aplicaciones o Aplicaciones propias.

  2. Seleccione la aplicación para abrir su página de Información general.

  3. En Essentials encontrará todos los detalles de la aplicación, incluido el id. de la aplicación (cliente).

    Captura de pantalla que muestra el id. de la aplicación (cliente).

Pasos siguientes