Glossário: plataforma de identidade da Microsoft
Você verá esses termos ao usar a documentação, o centro de administração do Microsoft Entra, as bibliotecas de autenticação e a API do Microsoft Graph. Alguns termos são específicos da Microsoft, ao passo que outros estão relacionados a protocolos como o OAuth ou outras tecnologias que você usa com a plataforma de identidade da Microsoft.
Token de acesso
Um tipo de token de segurança emitido por um servidor de autorização e usado por um aplicativo cliente para acessar um servidor de recursos protegido. Normalmente na forma de um JWT (Token Web JSON), o token consiste na autorização concedida ao cliente pelo proprietário do recurso para um nível de acesso solicitado. O token contém todas as declarações aplicáveis sobre a entidade, habilitando o aplicativo cliente a usá-lo como uma forma de credenciais ao acessar um recurso específico. Isso também elimina a necessidade do proprietário do recurso de expor as credenciais para o cliente.
Tokens de acesso só são válidos por um curto período e não podem ser revogados. Um servidor de autorização também pode emitir um token de atualização quando o token de acesso é emitido. Os tokens de atualização normalmente são fornecidos apenas para aplicativos cliente confidenciais.
Os tokens de acesso às vezes são chamados de "Usuário+Aplicativo" ou "Somente Aplicativo", dependendo das credenciais que estão sendo representadas. Por exemplo, quando um aplicativo cliente usa:
- Concessão de autorização de "código de autorização", o usuário final é autenticado primeiro como o proprietário do recurso, delegando a autorização ao cliente para acessar o recurso. O cliente é autenticado depois, ao obter o token de acesso. Às vezes, o token pode ser chamado mais especificamente de token de "Usuário+Aplicativo", que representa o usuário que autorizou o aplicativo cliente e o aplicativo.
- Concessão de autorização de "credenciais de cliente", o cliente fornece a única autenticação, funcionando sem a autenticação/autorização do proprietário do recurso. Portanto, às vezes o token pode ser chamado de token "Somente de Aplicativo".
Confira a referência de tokens de acesso para obter mais detalhes.
Ator
Outro termo para o aplicativo cliente. O ator é a parte que atua em nome de um assunto (proprietário do recurso).
ID do aplicativo (cliente)
A ID do aplicativo, ou a ID do cliente, é um valor que a plataforma de identidade da Microsoft atribui ao seu aplicativo quando você o registra no Microsoft Entra ID. A ID do aplicativo é um valor GUID que identifica exclusivamente o aplicativo e sua configuração dentro da plataforma de identidade. Você adiciona a ID do aplicativo ao código do aplicativo e as bibliotecas de autenticação incluem o valor em suas solicitações à plataforma de identidade no runtime do aplicativo. A ID do aplicativo (cliente) não é um segredo – não a utilize como senha ou como outra credencial.
Manifesto do aplicativo
Um manifesto do aplicativo é um recurso que produz uma representação JSON da configuração de identidade do aplicativo, usada como um mecanismo para atualizar as entidades Application e ServicePrincipal associadas. Veja Noções básicas sobre o manifesto de aplicativo do Microsoft Entra para saber mais.
Objeto de aplicativo
Quando você registra/atualiza um aplicativo, um objeto de aplicativo e um objeto de entidade de serviço correspondente são criados/atualizados para esse locatário. O objeto de aplicativo define a configuração de identidade do aplicativo globalmente (em todos os locatários aos quais ele tem acesso), fornecendo um modelo do qual seus objetos de entidade de serviço correspondentes são derivados para uso localmente em tempo de execução (em um locatário específico).
Para obter mais informações, consulte Objetos de entidade de serviço e aplicativo.
Registro de aplicativo
Para permitir que um aplicativo se integre e delegue funções de Gerenciamento de Acesso e Identidade ao Microsoft Entra ID, ele deve ser registrado em um locatáriodo Microsoft Entra. Ao registrar seu aplicativo com Microsoft Entra ID, você está fornecendo uma configuração de identidade para seu aplicativo, permitindo que ele se integre ao Microsoft Entra ID e use recursos como:
- Gerenciamento robusto de logon único usando o gerenciamento de identidade do Microsoft Entra e a implementação de protocolo OpenID Connect
- Acesso agenciado a recursos protegidos por aplicativos cliente, por meio do servidor de autorização OAuth 2.0
- Estrutura de consentimento para gerenciar o acesso do cliente a recursos protegidos, com base na autorização do proprietário do recurso.
Benefícios da integração de aplicativos ao Microsoft Entra ID para mais detalhes.
Autenticação
O ato de desafiar uma parte para o fornecimento de credenciais legítimas, fornecendo a base para a criação de uma entidade de segurança a ser usada para controle de identidade e acesso. Durante uma concessão de autorização OAuth 2.0, por exemplo, a parte que está realizando a autenticação está desempenhando a função de proprietário do recurso ou aplicativo cliente, dependendo da concessão usada.
Autorização
O ato de conceder a uma entidade de segurança autenticada permissão para fazer algo. Há dois casos de uso principais no modelo de programação do Microsoft Entra:
- Durante um fluxo de concessão de autorização do OAuth 2.0: quando o proprietário do recurso concede autorização para o aplicativo cliente, permitindo que o cliente acesse os recursos do proprietário do recurso.
- Durante o acesso a recursos pelo cliente: conforme implementado pelo servidor de recursos, usando os valores de declaração presentes no token de acesso para tomar decisões de controle de acesso com base neles.
Código de Autorização
Um valor de curta duração fornecido pelo ponto de extremidade de autorização para um aplicativo cliente durante o fluxo de concessão de código de autorização OAuth 2.0, uma das quatro concessões de autorização do OAuth 2.0. Também chamado de código de autenticação, o código de autorização é retornado ao aplicativo cliente em resposta à autenticação de um proprietário de recurso. O código de autenticação indica que o proprietário do recurso delegou a autorização ao aplicativo cliente para acessar seus recursos. Como parte do fluxo, o código de autenticação é resgatado posteriormente por um token de acesso.
Ponto de extremidade de autorização
Um dos pontos de extremidade implementados pelo servidor de autorização, usado para interagir com o proprietário do recurso para fornecer uma concessão de autorização durante um fluxo de concessão de autorização OAuth 2.0. Dependendo do fluxo de concessão de autorização usado, a concessão real fornecida pode variar, incluindo um código de autorização ou um token de segurança.
Confira as seções sobre tipos de concessão de autorização e ponto de extremidade de autorização da especificação OAuth 2.0, bem como a especificação OpenIDConnect para obter mais detalhes.
Concessão de autorização
Uma credencial que representa a autorização do proprietário do recurso para acessar seus recursos protegidos, concedida a um aplicativo cliente. Um aplicativo cliente pode usar um dos quatro tipos de concessão definidos pela Estrutura de Autorização OAuth 2.0 para obter uma concessão, dependendo do tipo/requisitos do cliente: "concessão de código de autorização", "concessão de credenciais de cliente", "concessão implícita" e "concessão de credenciais de senha do proprietário do recurso". A credencial retornada ao cliente é um token de acesso ou um código de autorização (posteriormente trocado por um token de acesso), dependendo do tipo de concessão de autorização usado.
A concessão de credenciais de senha do proprietário do recurso não deve ser usada, exceto em cenários em que outros fluxos não podem ser usados. Caso estejam criando um SPA, use o fluxo de código de autorização com PKCE em vez de concessão implícita.
Servidor de autorização
Conforme definido pela Estrutura de Autorização OAuth 2.0, o servidor é responsável pela emissão de tokens de acesso ao cliente, depois de autenticar com êxito o proprietário do recurso e obter a autorização dele. Um aplicativo cliente interage com o servidor de autorização no runtime por meio dos pontos de extremidade de autorização e de token dele, conforme as concessões de autorização definidas pelo OAuth 2.0.
No caso da integração de aplicativos da plataforma de identidade da Microsoft, a plataforma implementa a função de servidor de autorização para aplicativos do Microsoft Entra e APIs de serviço da Microsoft, por exemplo, APIs do Microsoft Graph.
Declaração
As declarações são pares nome/valor em um token de segurança que fornecem declarações feitas por uma entidade para outra. Essas entidades normalmente são o aplicativo cliente ou um proprietário de recurso que fornece declarações a um servidor de recursos. As declarações retransmitem fatos sobre o assunto do token, como o ID da entidade de segurança que foi autenticada pelo servidor de autorização. As declarações presentes em um token podem variar e dependem de vários fatores, como o tipo de token, o tipo de credencial usada para autenticar o assunto, a configuração do aplicativo e outros.
Confira a Referência de token da plataforma de identidade da Microsoft para obter mais detalhes.
Aplicativo cliente
Também conhecido como o "ator". Conforme definido pela Estrutura de Autorização OAuth 2.0, um aplicativo que faz solicitações de recursos protegidas em nome do proprietário do recurso. Eles recebem permissões do proprietário do recurso na forma de escopos. O termo "cliente" não implica características de implementação de hardware específicas (por exemplo, se o aplicativo é executado em um servidor, na área de trabalho ou em outros dispositivos).
Um aplicativo cliente solicita autorização de um proprietário de recurso para participar de um fluxo de concessão de autorização OAuth 2.0 e pode acessar APIs/dados em nome do proprietário do recurso. A estrutura de autorização OAuth 2.0 define dois tipos de clientes, "confidencial" e "público", com base na capacidade do cliente de manter a confidencialidade das credenciais dele. Os aplicativos podem implementar um cliente Web (confidencial) que é executado em um servidor Web, um cliente nativo (público) instalado em um dispositivo ou um cliente baseado em agente de usuário (público) que é executado no navegador do dispositivo.
Consentimento
O processo para que um proprietário do recurso conceda autorização a um aplicativo cliente, para acessar recursos protegidos em permissões específicas, em nome do proprietário do recurso. Dependendo das permissões solicitadas pelo cliente, um administrador ou usuário deverá consentir o acesso a seus dados da empresa/individuais, respectivamente. Observe que, em um cenário de multilocatário, a entidade de serviço do aplicativo também é registrada no locatário do usuário isso que fornece o consentimento.
Veja estrutura de consentimento para obter mais informações.
token de ID
Um token de segurança OpenID Connect fornecido por um ponto de extremidade de autorização do servidor de autorização, que contém declarações referentes à autenticação de um proprietário de recurso de usuário final. Assim como um token de acesso, os tokens de ID também são representados como um JWT (Token Web JSON) assinado digitalmente. Diferentemente de um token de acesso, as declarações de um token de ID não são usadas para fins relacionados ao acesso a recursos e ao controle de acesso especificamente.
Veja referência de tokens de ID para obter mais detalhes.
Identidades gerenciadas
Eliminam a necessidade de os desenvolvedores gerenciarem credenciais. As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra. Os aplicativos podem usar a identidade gerenciada para obter tokens da plataforma de identidade da Microsoft. Por exemplo, um aplicativo pode usar uma identidade gerenciada para acessar recursos como Azure Key Vault, em que os desenvolvedores podem armazenar credenciais de maneira segura ou acessar contas de armazenamento. Para obter mais informações, confira a visão geral das identidades gerenciadas.
Plataforma de identidade da Microsoft
A plataforma de identidade da Microsoft é uma evolução do serviço de identidade do Microsoft Entra e da plataforma de desenvolvedor. Ela permite que os desenvolvedores criem aplicativos que se conectam a todas as identidades da Microsoft e obtenham tokens para chamar o Microsoft Graph, outras APIs da Microsoft ou APIs que os desenvolvedores criaram. Trata-se de uma plataforma completa que consiste em um serviço de autenticação, bibliotecas, registro de aplicativo e configuração, documentação completa do desenvolvedor, exemplos de código e outros conteúdos do desenvolvedor. A plataforma de identidade da Microsoft dá suporte a protocolos padrão do setor, como OAuth 2.0 e OpenID Connect.
Aplicativos multilocatários
Uma classe de aplicativo que permite se conectar e consentir por usuários provisionados em qualquer locatário do Microsoft Entra, incluindo locatários diferentes daquele em que o cliente está registrado. Aplicativos de cliente nativo são multilocatários por padrão, enquanto aplicativos de cliente Web e recurso da Web/API têm a capacidade de selecionar locatário único ou multilocatário. Por outro lado, um aplicativo Web registrado como locatário único só permitirá conexões de contas de usuário provisionadas no mesmo locatário que aquele em que o aplicativo está registrado.
Veja Como conectar qualquer usuário do Microsoft Entra usando o padrão de aplicativo multilocatário para saber mais.
Cliente nativo
Um tipo de aplicativo cliente que é instalado de forma nativa em um dispositivo. Como todo o código é executado em um dispositivo, ele é considerado um cliente "público" devido à incapacidade dele de armazenar credenciais de maneira particular/confidencial. Confira Perfis e tipos de cliente OAuth 2.0 para obter mais detalhes.
Permissões
Um aplicativo cliente obtém acesso a um servidor de recursos declarando solicitações de permissão. Dois tipos estão disponíveis:
- Permissões “delegadas”, que especificam o acesso com base no escopo usando a autorização delegada do proprietário do recurso conectado, são apresentadas para o recurso em tempo de execução como declarações “scp” no token de acesso do cliente. Eles indicam a permissão concedida ao ator pelo assunto.
- Permissões de “aplicativo”, que especificam o acesso baseado em função usando as credenciais/identidade do aplicativo cliente, são apresentadas para o recurso em tempo de execução como declarações de “funções” no token de acesso do cliente. Elas indicam permissões concedidas ao assunto pelo locatário.
Também surgem durante o processo de consentimento , oferecendo ao administrador ou ao proprietário do recurso a oportunidade de conceder/negar ao cliente o acesso aos recursos em seu locatário.
As solicitações de permissão são configuradas na página Permissões de API de um aplicativo, selecionando as "Permissões Delegadas" e as "Permissões de Aplicativo" desejadas (essa última exige a associação à função Administrador global). Como um cliente público não pode manter credenciais com segurança, ele só pode solicitar permissões delegadas, enquanto um cliente confidencial tem a capacidade de solicitar permissões delegadas e de aplicativo. O objeto de aplicativo do cliente armazena as permissões declaradas em sua propriedade requiredResourceAccess.
Token de atualização
Um tipo de token de segurança emitido por um servidor de autorização. Antes que um token de acesso expire, um aplicativo cliente inclui o token de atualização associado dele quando solicita um novo token de acesso do servidor de autorização. Tokens de atualização normalmente são formatados como um JWT (Token Web JSON).
Ao contrário dos tokens de acesso, os tokens de atualização podem ser revogados. Um servidor de autorização nega qualquer solicitação de um aplicativo cliente que inclua um token de atualização que foi revogado. Quando o servidor de autorização nega uma solicitação que inclui um token de atualização revogado, o aplicativo cliente perde a permissão para acessar o servidor de recursos em nome do proprietário do recurso.
Confira tokens de atualização para obter mais detalhes.
Proprietário do recurso
Conforme definido pela Estrutura de Autorização OAuth 2.0, uma entidade com a capacidade de conceder acesso a um recurso protegido. Quando o proprietário do recurso é uma pessoa, é chamado de usuário final. Por exemplo, quando um aplicativo cliente quer acessar a caixa de correio do usuário por meio da API do Microsoft Graph, requer a permissão do proprietário do recurso da caixa de correio. Às vezes, o "proprietário do recurso" também é chamado de assunto.
Cada token de segurança representa um proprietário do recurso. O proprietário do recurso é o que a declaração de assunto, a declaração de ID do objeto e os dados pessoais no token representam. Os proprietários de recursos são a parte que concede permissões delegadas a um aplicativo cliente, na forma de escopos. Os proprietários de recursos também são os destinatários de \funções que indicam permissões expandidas em um locatário ou em um aplicativo.
Servidor de recursos
Conforme definido pela Estrutura de Autorização OAuth 2.0, um servidor que hospeda recursos protegidos, capaz de aceitar e responder a solicitações de recursos protegidos feitas por aplicativos cliente que apresentam um token de acesso. Também conhecido como um servidor de recursos protegidos ou aplicativo de recurso.
Um servidor de recursos expõe APIs e impõe o acesso a seus recursos protegidos por meio de escopos e funções, usando a Estrutura de Autorização OAuth 2.0. Os exemplos incluem a API do Microsoft Graph, que fornece acesso aos dados do locatário do Microsoft Entra, e as APIs do Microsoft 365, que fornecem acesso a dados como email e calendário.
Assim como um aplicativo cliente, a configuração de identidade do aplicativo de recurso é estabelecida via registro em um locatário do Microsoft Entra, fornecendo o objeto de entidade de serviço e de aplicativo. Algumas APIs fornecidas pela Microsoft, como a API do Microsoft Graph, têm entidades de serviço previamente registradas disponibilizadas em todos os locatários durante o provisionamento.
Funções
Assim como os escopos, funções de aplicativo fornecem uma maneira para que um servidor de recursos governe o acesso a seus recursos protegidos. Ao contrário dos escopos, as funções representam privilégios que o assunto recebeu além da linha de base. É por isso que ler seu próprio email é um escopo, enquanto ser um administrador de email que pode ler o email de todos é uma função.
As funções de aplicativo podem oferecer suporte a dois tipos de atribuição: a atribuição de "usuário" implementa o controle de acesso baseado em função para usuários/grupos que requerem acesso ao recurso, enquanto a atribuição de "aplicativo" implementa o mesmo para aplicativos cliente que requerem acesso. Uma função de aplicativo pode ser definida como atribuível ao usuário, app-assignabnle ou ambos.
As funções são cadeias de caracteres definidas por recurso (por exemplo, "Aprovador de despesas", "Somente leitura", "Directory.ReadWrite.All"), gerenciadas por meio do manifesto do aplicativo do recurso e armazenadas na propriedade appRoles do recurso. Os usuários podem receber funções atribuíveis pelo "usuário", e as permissões de aplicativo do cliente podem ser configuradas para solicitar funções atribuíveis pelo "aplicativo".
Para ver uma discussão detalhada sobre as funções de aplicativo expostas pela API do Microsoft Graph, confira Escopos de permissão da API do Graph. Para ver um exemplo passo a passo de implementação, confira Adicionar ou remover atribuições de função do Azure.
Escopos
Assim como as funções, os escopos fornecem uma maneira para que um servidor de recursos governe o acesso a seus recursos protegidos. Os escopos são usados para implementar o controle de acesso baseado em escopo em um aplicativo cliente que recebeu acesso delegado ao recurso de seu proprietário.
Os escopos são cadeias de caracteres definidas por recurso (por exemplo "Mail.Read", "Directory.ReadWrite.All"), gerenciadas por meio do manifesto do aplicativo do recurso e armazenadas na propriedade oauth2Permissions do recurso. As permissões delegadas do aplicativo cliente podem ser configuradas para acessar um escopo.
Uma prática recomendada para a convenção de nomenclatura é usar um formato "resource.operation.constraint". Para obter uma discussão detalhada sobre os escopos expostos pela API do Microsoft Graph, confira Escopos de permissão da API do Graph. Para escopos expostos pelos serviços do Microsoft 365, confira Referência de permissões da API do Microsoft 365.
Token de segurança
Um documento assinado que contém declarações, como um token OAuth 2.0 ou uma declaração SAML 2.0. Para uma concessão de autorização do OAuth 2.0, um token de acesso (OAuth2), um token de atualização e um token de ID são tipos de tokens de segurança implementados como um JWT (Token Web JSON).
Objeto de entidade de serviço
Quando você registra/atualiza um aplicativo, um objeto de aplicativo e um objeto de entidade de serviço correspondente são criados/atualizados para esse locatário. O objeto de aplicativo define a configuração de identidade do aplicativo globalmente (em todos os locatários em que o aplicativo associado recebeu acesso) e é o modelo do qual seus objetos de entidade de serviço correspondentes são derivados para uso localmente em tempo de execução (em um locatário específico).
Para obter mais informações, consulte Objetos de entidade de serviço e aplicativo.
Conexão
O processo de um aplicativo cliente iniciar a autenticação do usuário final e capturar o estado relacionado, para solicitar um token de segurança e obter o escopo da sessão do aplicativo para esse estado. O estado pode incluir artefatos, como informações de perfil de usuário, e informações derivadas de declarações de token.
A função de entrada de um aplicativo normalmente é usada para implementar o SSO (logon único). Ela também pode ser precedida por uma função de "inscrição", como o ponto de entrada para um usuário final obter acesso a um aplicativo (após a primeira entrada). A função de inscrição é usada para coletar e persistir o estado adicional específico do usuário e pode exigir o consentimento do usuário.
Sair
O processo de cancelamento de autenticação de um usuário final, desanexando o estado do usuário associado à sessão do aplicativo cliente durante a entrada
Assunto
Também conhecido como o proprietário do recurso.
Locatário
Uma instância de um diretório Microsoft Entra é conhecida como um locatário do Microsoft Entra. Ele fornece vários recursos, incluindo:
- um serviço de registro para aplicativos integrados
- autenticação de contas de usuário e aplicativos registrados
- Pontos de extremidade REST necessários para dar suporte a vários protocolos, incluindo OAuth 2.0 e SAML, bem como o ponto de extremidade de autorização, o ponto de extremidade de token e o ponto de extremidade "comum" usado por aplicativos multilocatários.
Locatários do Microsoft Entra são criados/associados com assinaturas do Azure e o Microsoft 365 durante a inscrição, fornecendo recursos de Gerenciamento de Identidades e Acesso para a assinatura. Os administradores de assinaturas do Azure também podem criar locatários adicionais do Microsoft Entra. Veja Como obter um locatário do Microsoft Entra para saber mais sobre as várias maneiras de obter acesso a um locatário. Confira Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra para obter detalhes sobre a relação entre assinaturas e locatários do Microsoft Entra e obter instruções sobre como associar ou adicionar uma assinatura a um locatário do Microsoft Entra.
Ponto de extremidade de token
Um dos pontos de extremidade implementados pelo servidor de autorização para dar suporte a concessões de autorização OAuth 2.0. Dependendo da concessão, ele pode ser usado para adquirir um token de acesso (e um token de "atualização" relacionado) para um cliente ou um token de ID quando usado com o protocolo OpenID Connect.
Cliente com base em agente de usuário
Um tipo de aplicativo cliente que baixa código de um servidor Web e é executado em um agente de usuário (por exemplo, um navegador da Web), como um SPA (aplicativo de página única). Como todo o código é executado em um dispositivo, ele é considerado um cliente "público" devido à incapacidade dele de armazenar credenciais de maneira particular/confidencial. Para obter mais informações, confira Perfis e tipos de cliente OAuth 2.0.
Entidade de usuário
Da mesma forma como um objeto de entidade de serviço é usado para representar uma instância de aplicativo, um objeto de entidade de usuário é outro tipo de entidade de segurança, que representa um usuário. O User
tipo de recurso do Microsoft Graph define o esquema de um objeto de usuário, incluindo propriedades relacionadas ao usuário, como nome e sobrenome, nome da entidade de usuário, associação de função de diretório etc. Isso fornece a configuração de identidade do usuário para que o Microsoft Entra ID estabeleça uma entidade de usuário em tempo de execução. A entidade de usuário é usada para representar um usuário autenticado para Logon Único, gravando a delegação de consentimento, tomando decisões de controle de acesso etc.
Cliente Web
Um tipo de aplicativo cliente que executa todo o código em um servidor Web, funcionando como um cliente confidencial, pois pode armazenar com segurança as credenciais dele no servidor. Para obter mais informações, confira Perfis e tipos de cliente OAuth 2.0.
Identidade de carga de trabalho
Uma identidade usada por uma carga de trabalho de software (como um aplicativo, um serviço, um script ou um contêiner) para autenticar e acessar outros serviços e recursos. No Microsoft Entra ID, as identidades de carga de trabalho são aplicativos, entidades de serviço e identidades gerenciadas. Para obter mais informações, confira visão geral da identidade gerenciada.
Federação de identidade de carga de trabalho
Permite que você acesse com segurança recursos protegidos do Microsoft Entra de aplicativos e serviços externos sem a necessidade de gerenciar segredos (para cenários com suporte). Para obter mais informações, confira federação de identidade de carga de trabalho.
Próximas etapas
Muitos dos termos neste glossário estão relacionados aos protocolos OAuth 2.0 e OpenID Connect. Embora você não precise saber como os protocolos funcionam "on the wire" para usar a plataforma de identidade, conhecer alguns conceitos básicos do protocolo pode ajudar você a criar e depurar a autenticação e a autorização em seus aplicativos com mais facilidade: