Modelo de aplicação

Os aplicativos podem entrar nos próprios usuários ou delegar o login a um provedor de identidade. Este artigo descreve as etapas necessárias para registrar um aplicativo com a plataforma de identidade da Microsoft.

Registar uma aplicação

Para que um provedor de identidade saiba que um usuário tem acesso a um aplicativo específico, tanto o usuário quanto o aplicativo devem estar registrados no provedor de identidade. Ao registrar seu aplicativo com o Microsoft Entra ID, você está fornecendo uma configuração de identidade para seu aplicativo que permite que ele se integre à plataforma de identidade da Microsoft. Registrar o aplicativo também permite que você:

  • Personalize a identidade visual do seu aplicativo na caixa de diálogo de entrada. Essa marca é importante porque entrar é a primeira experiência que um usuário terá com seu aplicativo.
  • Decida se pretende permitir que os utilizadores iniciem sessão apenas se pertencerem à sua organização. Essa arquitetura é conhecida como um aplicativo de locatário único. Ou, você pode permitir que os usuários entrem usando qualquer conta corporativa ou de estudante, que é conhecida como um aplicativo multilocatário. Você também pode permitir contas pessoais da Microsoft ou uma conta social do LinkedIn, Google e assim por diante.
  • Solicitar permissões de escopo. Por exemplo, você pode solicitar o escopo "user.read", que concede permissão para ler o perfil do usuário conectado.
  • Defina escopos que definem o acesso à sua API da Web. Normalmente, quando um aplicativo deseja acessar sua API, ele precisará solicitar permissões para os escopos que você definir.
  • Partilhe um segredo com a plataforma de identidade da Microsoft que comprove a identidade da aplicação. O uso de um segredo é relevante no caso em que o aplicativo é um aplicativo cliente confidencial. Um aplicativo cliente confidencial é um aplicativo que pode conter credenciais com segurança, como um cliente da Web. Um servidor back-end confiável é necessário para armazenar as credenciais.

Depois que o aplicativo é registrado, ele recebe um identificador exclusivo que compartilha com a plataforma de identidade da Microsoft quando solicita tokens. Se o aplicativo for um aplicativo cliente confidencial, ele também compartilhará o segredo ou a chave pública, dependendo se certificados ou segredos foram usados.

A plataforma de identidade da Microsoft representa aplicativos usando um modelo que cumpre duas funções principais:

  • Identifique o aplicativo pelos protocolos de autenticação suportados.
  • Forneça todos os identificadores, URLs, segredos e informações relacionadas necessários para autenticação.

A plataforma de identidade da Microsoft:

  • Contém todos os dados necessários para dar suporte à autenticação em tempo de execução.
  • Contém todos os dados para decidir quais recursos um aplicativo pode precisar acessar e em que circunstâncias uma determinada solicitação deve ser atendida.
  • Fornece infraestrutura para implementar o provisionamento de aplicativos no locatário do desenvolvedor do aplicativo e para qualquer outro locatário do Microsoft Entra.
  • Lida com o consentimento do usuário durante o tempo de solicitação de token e facilita o provisionamento dinâmico de aplicativos entre locatários.

Consentimento é o processo em que um proprietário de recurso concede autorização para um aplicativo cliente acessar recursos protegidos, sob permissões específicas, em nome do proprietário do recurso. A plataforma de identidade da Microsoft permite:

  • Usuários e administradores concedem ou negam dinamicamente o consentimento para que o aplicativo acesse recursos em seu nome.
  • Os administradores decidem, em última análise, quais aplicativos têm permissão para fazer e quais usuários podem usar aplicativos específicos, e como os recursos de diretório são acessados.

Aplicativos multilocatários

Na plataforma de identidade da Microsoft, um objeto de aplicativo descreve um aplicativo. No momento da implantação, a plataforma de identidade da Microsoft usa o objeto de aplicativo como um esquema para criar uma entidade de serviço, que representa uma instância concreta de um aplicativo dentro de um diretório ou locatário. A entidade de serviço define o que o aplicativo pode realmente fazer em um diretório de destino específico, quem pode usá-lo, a quais recursos ele tem acesso e assim por diante. A plataforma de identidade da Microsoft cria uma entidade de serviço a partir de um objeto de aplicativo por meio de consentimento.

O diagrama a seguir mostra um fluxo simplificado de provisionamento da plataforma de identidade da Microsoft orientado pelo consentimento. Mostra dois inquilinos: A e B.

  • O locatário A é o proprietário do aplicativo.
  • O locatário B está instanciando o aplicativo por meio de uma entidade de serviço.

Diagrama que mostra um fluxo de provisionamento simplificado orientado pelo consentimento.

Neste fluxo de aprovisionamento:

  1. Um utilizador do inquilino B tenta iniciar sessão com a aplicação. O ponto de extremidade de autorização solicita um token para o aplicativo.
  2. As credenciais do usuário são adquiridas e verificadas para autenticação.
  3. O usuário é solicitado a fornecer consentimento para que o aplicativo obtenha acesso ao locatário B.
  4. A plataforma de identidade da Microsoft usa o objeto de aplicativo no locatário A como um modelo para criar uma entidade de serviço no locatário B.
  5. O usuário recebe o token solicitado.

Você pode repetir esse processo para mais locatários. O locatário A retém o esquema do aplicativo (objeto do aplicativo). Os usuários e administradores de todos os outros locatários nos quais o aplicativo recebe consentimento mantêm controle sobre o que o aplicativo tem permissão para fazer por meio do objeto principal de serviço correspondente em cada locatário. Para obter mais informações, consulte Objetos principais de aplicativo e serviço na plataforma de identidade da Microsoft.

Próximos passos

Para obter mais informações sobre autenticação e autorização na plataforma de identidade da Microsoft, consulte os seguintes artigos:

  • Para saber mais sobre os conceitos básicos de autenticação e autorização, consulte Autenticação versus autorização.
  • Para saber como os tokens de acesso, os tokens de atualização e os tokens de ID são usados na autenticação e autorização, consulte Tokens de segurança.
  • Para saber mais sobre o fluxo de início de sessão de aplicações Web, de ambiente de trabalho e móveis, consulte Fluxo de início de sessão de aplicações.
  • Para saber mais sobre a autorização adequada usando declarações de token, consulte Proteger aplicativos e APIs validando declarações

Para obter mais informações sobre o modelo de aplicativo, consulte os seguintes artigos:

  • Para obter mais informações sobre objetos de aplicativo e entidades de serviço na plataforma de identidade da Microsoft, consulte Como e por que os aplicativos são adicionados ao Microsoft Entra ID.
  • Para obter mais informações sobre aplicativos de locatário único e aplicativos multilocatário, consulte Locação na ID do Microsoft Entra.
  • Para obter mais informações sobre como o Microsoft Entra ID também fornece o Azure Ative Directory B2C para que as organizações possam entrar em usuários, geralmente clientes, usando identidades sociais como uma conta do Google, consulte a documentação do Azure Ative Directory B2C.