Glossário: Plataforma de identidade da Microsoft

Você vê estes termos quando usa nossa documentação, o centro de administração do Microsoft Entra, nossas bibliotecas de autenticação e a API do Microsoft Graph. Alguns termos são específicos da Microsoft, enquanto outros estão relacionados a protocolos como OAuth ou outras tecnologias que você usa com a plataforma de identidade da Microsoft.

Token de acesso

Um tipo de token de segurança emitido por um servidor de autorização e usado por um aplicativo cliente para acessar um servidor de recursos protegido. Normalmente, na forma de um JSON Web Token (JWT), o token incorpora a autorização concedida ao cliente pelo proprietário do recurso, para um nível de acesso solicitado. O token contém todas as declarações aplicáveis sobre o assunto, permitindo que o aplicativo cliente o use como uma forma de credencial ao acessar um determinado recurso. Isso também elimina a necessidade de o proprietário do recurso expor credenciais ao cliente.

Os tokens de acesso são válidos apenas por um curto período de tempo e não podem ser revogados. Um servidor de autorização também pode emitir um token de atualização quando o token de acesso é emitido. Os tokens de atualização geralmente são fornecidos apenas para aplicativos cliente confidenciais.

Os tokens de acesso às vezes são chamados de "User+App" ou "App-Only", dependendo das credenciais que estão sendo representadas. Por exemplo, quando um aplicativo cliente usa o:

  • Concessão de autorização de "código de autorização", o usuário final autentica primeiro como o proprietário do recurso, delegando autorização ao cliente para acessar o recurso. O cliente autentica posteriormente ao obter o token de acesso. Às vezes, o token pode ser referido mais especificamente como um token "User+App", pois representa tanto o usuário que autorizou o aplicativo cliente quanto o aplicativo.
  • Concessão de autorização de "Credenciais do cliente", o cliente fornece a única autenticação, funcionando sem a autenticação/autorização do proprietário do recurso, de modo que o token às vezes pode ser referido como um token "Somente aplicativo".

Consulte a referência de tokens de acesso para obter mais detalhes.

Ator

Outro termo para o aplicativo cliente. O ator é a parte que age em nome de um sujeito (proprietário do recurso).

ID da aplicação (cliente)

A ID do aplicativo, ou ID do cliente, é um valor que a plataforma de identidade da Microsoft atribui ao seu aplicativo quando você o registra no Microsoft Entra ID. O ID do aplicativo é um valor GUID que identifica exclusivamente o aplicativo e sua configuração dentro da plataforma de identidade. Você adiciona o ID do aplicativo ao código do seu aplicativo e as bibliotecas de autenticação incluem o valor em suas solicitações para a plataforma de identidade no tempo de execução do aplicativo. O ID do aplicativo (cliente) não é um segredo - não o use como senha ou outra credencial.

Manifesto de aplicação

Um manifesto de aplicativo é um recurso que produz uma representação JSON da configuração de identidade do aplicativo, usada como um mecanismo para atualizar suas entidades Application e ServicePrincipal associadas. Consulte Noções básicas sobre o manifesto do aplicativo Microsoft Entra para obter mais detalhes.

Objeto do aplicativo

Quando você registra/atualiza um aplicativo, um objeto de aplicativo e um objeto de entidade de serviço correspondente são criados/atualizados para esse locatário. O objeto de aplicativo define a configuração de identidade do aplicativo globalmente (em todos os locatários onde ele tem acesso), fornecendo um modelo do qual seus objetos principais de serviço correspondentes são derivados para uso local em tempo de execução (em um locatário específico).

Para obter mais informações, consulte Application and Service Principal Objects.

Registo de aplicação

Para permitir que um aplicativo se integre e delegue funções de Gerenciamento de Identidade e Acesso ao Microsoft Entra ID, ele deve ser registrado com um locatário do Microsoft Entra. Ao registrar seu aplicativo com o Microsoft Entra ID, você está fornecendo uma configuração de identidade para seu aplicativo, permitindo que ele se integre ao Microsoft Entra ID e use recursos como:

  • Gerenciamento robusto de logon único usando o gerenciamento de identidades Microsoft Entra e a implementação do protocolo OpenID Connect
  • Acesso intermediado a recursos protegidos por aplicativos cliente, via servidor de autorização OAuth 2.0
  • Estrutura de consentimento para gerenciar o acesso do cliente a recursos protegidos, com base na autorização do proprietário do recurso.

Consulte Integrando aplicativos com o Microsoft Entra ID para obter mais detalhes.

Autenticação

O ato de desafiar uma parte por credenciais legítimas, fornecendo a base para a criação de uma entidade de segurança a ser usada para controle de identidade e acesso. Durante uma concessão de autorização do OAuth 2.0, por exemplo, a parte autenticada está preenchendo a função de proprietário do recurso ou aplicativo cliente, dependendo da concessão usada.

Autorização

O ato de conceder a uma entidade de segurança autenticada permissão para fazer algo. Há dois casos de uso principais no modelo de programação do Microsoft Entra:

Código de autorização

Um valor de curta duração fornecido pelo ponto de extremidade de autorização para um aplicativo cliente durante o fluxo de concessão do código de autorização OAuth 2.0, uma das quatro concessões de autorização do OAuth 2.0. Também chamado de código de autenticação, o código de autorização é retornado ao aplicativo cliente em resposta à autenticação de um proprietário de recurso. O código de autenticação indica que o proprietário do recurso delegou autorização ao aplicativo cliente para acessar seus recursos. Como parte do fluxo, o código de autenticação é posteriormente resgatado por um token de acesso.

Ponto final de autorização

Um dos pontos de extremidade implementados pelo servidor de autorização, usado para interagir com o proprietário do recurso para fornecer uma concessão de autorização durante um fluxo de concessão de autorização OAuth 2.0. Dependendo do fluxo de concessão de autorização usado, a concessão real fornecida pode variar, incluindo um código de autorização ou token de segurança.

Consulte as seções de tipos de concessão de autorização e ponto de extremidade de autorização da especificação OAuth 2.0 e a especificação OpenIDConnect para obter mais detalhes.

Concessão de autorização

Uma credencial que representa a autorização do proprietário do recurso para acessar seus recursos protegidos, concedida a um aplicativo cliente. Um aplicativo cliente pode usar um dos quatro tipos de concessão definidos pelo OAuth 2.0 Authorization Framework para obter uma concessão, dependendo do tipo/requisitos do cliente: "concessão de código de autorização", "concessão de credenciais de cliente", "concessão implícita" e "concessão de credenciais de senha de proprietário de recurso". A credencial retornada ao cliente é um token de acesso ou um código de autorização (trocado posteriormente por um token de acesso), dependendo do tipo de concessão de autorização usado.

A concessão de credenciais de senha do proprietário do recurso não deve ser usada , exceto em cenários em que outros fluxos não podem ser usados. Se você estiver criando um SPA, use o fluxo de código de autorização com PKCE em vez de concessão implícita.

Servidor de autorização

Conforme definido pelo OAuth 2.0 Authorization Framework, o servidor responsável pela emissão de tokens de acesso para o cliente depois de autenticar com êxito o proprietário do recurso e obter sua autorização. Um aplicativo cliente interage com o servidor de autorização em tempo de execução por meio de seus pontos de extremidade de autorização e token, de acordo com as concessões de autorização definidas pelo OAuth 2.0.

No caso da integração de aplicativos da plataforma de identidade da Microsoft, a plataforma de identidade da Microsoft implementa a função de servidor de autorização para aplicativos Microsoft Entra e APIs de serviço da Microsoft, por exemplo , APIs do Microsoft Graph.

Afirmação

As declarações são pares nome/valores em um token de segurança que fornecem asserções feitas por uma entidade para outra. Essas entidades geralmente são o aplicativo cliente ou um proprietário de recurso que fornece asserções a um servidor de recursos. As declarações retransmitem fatos sobre o assunto do token, como a ID da entidade de segurança que foi autenticada pelo servidor de autorização. As declarações presentes em um token podem variar e depender de vários fatores, como o tipo de token, o tipo de credencial usada para autenticar o assunto, a configuração do aplicativo e outros.

Consulte a referência de token da plataforma de identidade da Microsoft para obter mais detalhes.

Aplicação cliente

Também conhecido como o "ator". Conforme definido pelo OAuth 2.0 Authorization Framework, um aplicativo que faz solicitações de recursos protegidos em nome do proprietário do recurso. Eles recebem permissões do proprietário do recurso na forma de escopos. O termo "cliente" não implica nenhuma característica particular de implementação de hardware (por exemplo, se o aplicativo é executado em um servidor, um desktop ou outros dispositivos).

Um aplicativo cliente solicita autorização de um proprietário de recurso para participar de um fluxo de concessão de autorização do OAuth 2.0 e pode acessar APIs/dados em nome do proprietário do recurso. A Estrutura de Autorização OAuth 2.0 define dois tipos de clientes, "confidenciais" e "públicos", com base na capacidade do cliente de manter a confidencialidade de suas credenciais. Os aplicativos podem implementar um cliente da Web (confidencial) que é executado em um servidor Web, um cliente nativo (público) instalado em um dispositivo ou um cliente baseado em agente do usuário (público) que é executado no navegador de um dispositivo.

O processo de um proprietário de recurso conceder autorização a um aplicativo cliente, para acessar recursos protegidos sob permissões específicas, em nome do proprietário do recurso. Dependendo das permissões solicitadas pelo cliente, será solicitado consentimento a um administrador ou usuário para permitir o acesso aos seus dados organizacionais/individuais, respectivamente. Observe que, em um cenário multilocatário, a entidade de serviço do aplicativo também é registrada no locatário do usuário que consente.

Consulte a estrutura de consentimento para obter mais informações.

Token de identificação

Um token de segurança OpenID Connect fornecido pelo ponto de extremidade de autorização de um servidor de autorização, que contém declarações referentes à autenticação de um proprietário de recurso de usuário final. Como um token de acesso, os tokens de ID também são representados como um JSON Web Token (JWT) assinado digitalmente. Ao contrário de um token de acesso, porém, as declarações de um token de ID não são usadas para fins relacionados ao acesso a recursos e, especificamente, ao controle de acesso.

Consulte a referência do token de ID para obter mais detalhes.

Identidades geridas

Elimine a necessidade de os desenvolvedores gerenciarem credenciais. As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra. Os aplicativos podem usar a identidade gerenciada para obter tokens de plataforma de identidade da Microsoft. Por exemplo, um aplicativo pode usar uma identidade gerenciada para acessar recursos como o Azure Key Vault, onde os desenvolvedores podem armazenar credenciais de maneira segura ou acessar contas de armazenamento. Para obter mais informações, consulte Visão geral de identidades gerenciadas.

Plataforma de identidade da Microsoft

A plataforma de identidade da Microsoft é uma evolução do serviço de identidade Microsoft Entra e da plataforma de desenvolvedores. Permite que os programadores compilem aplicações que iniciam sessão em todas as identidades da Microsoft, obtenham tokens para chamar o Microsoft Graph, outras APIs da Microsoft ou APIs compiladas pelos programadores. É uma plataforma completa que consiste em um serviço de autenticação, bibliotecas, registro e configuração de aplicativos, documentação completa do desenvolvedor, exemplos de código e outros conteúdos para desenvolvedores. A plataforma de identidade da Microsoft suporta protocolos padrão da indústria, tais como OAuth 2.0 e OpenID Connect.

Aplicativo multilocatário

Uma classe de aplicativo que permite a entrada e o consentimento de usuários provisionados em qualquer locatário do Microsoft Entra, incluindo locatários diferentes daquele em que o cliente está registrado. Os aplicativos cliente nativos são multilocatários por padrão, enquanto os aplicativos de cliente da Web e de recursos/API da Web têm a capacidade de selecionar entre um ou vários locatários. Por outro lado, um aplicativo Web registrado como locatário único só permitiria entradas de contas de usuário provisionadas no mesmo locatário em que o aplicativo está registrado.

Consulte Como entrar em qualquer usuário do Microsoft Entra usando o padrão de aplicativo multilocatário para obter mais detalhes.

Cliente nativo

Um tipo de aplicativo cliente que é instalado nativamente em um dispositivo. Como todo o código é executado em um dispositivo, ele é considerado um cliente "público" devido à sua incapacidade de armazenar credenciais de forma privada/confidencial. Consulte Tipos e perfis de cliente OAuth 2.0 para obter mais detalhes.

Permissões

Um aplicativo cliente obtém acesso a um servidor de recursos declarando solicitações de permissão. Estão disponíveis dois tipos:

Eles também aparecem durante o processo de consentimento , dando ao administrador ou proprietário do recurso a oportunidade de conceder/negar ao cliente acesso aos recursos em seu locatário.

As solicitações de permissão são configuradas na página de permissões da API para um aplicativo, selecionando as desejadas "Permissões delegadas" e "Permissões de aplicativo" (esta última requer associação à função de Administrador Global). Como um cliente público não pode manter credenciais com segurança, ele só pode solicitar permissões delegadas, enquanto um cliente confidencial tem a capacidade de solicitar permissões delegadas e de aplicativo. O objeto de aplicativo do cliente armazena as permissões declaradas em sua propriedade requiredResourceAccess.

Atualizar token

Um tipo de token de segurança emitido por um servidor de autorização. Antes de um token de acesso expirar, um aplicativo cliente inclui seu token de atualização associado quando solicita um novo token de acesso do servidor de autorização. Os tokens de atualização são normalmente formatados como um JSON Web Token (JWT).

Ao contrário dos tokens de acesso, os tokens de atualização podem ser revogados. Um servidor de autorização nega qualquer solicitação de um aplicativo cliente que inclua um token de atualização que tenha sido revogado. Quando o servidor de autorização nega uma solicitação que inclui um token de atualização revogado, o aplicativo cliente perde a permissão para acessar o servidor de recursos em nome do proprietário do recurso.

Consulte os tokens de atualização para obter mais detalhes.

Proprietário do recurso

Conforme definido pelo OAuth 2.0 Authorization Framework, uma entidade capaz de conceder acesso a um recurso protegido. Quando o proprietário do recurso é uma pessoa, ele é chamado de usuário final. Por exemplo, quando um aplicativo cliente deseja acessar a caixa de correio de um usuário por meio da API do Microsoft Graph, ele requer permissão do proprietário do recurso da caixa de correio. O "proprietário do recurso" também é às vezes chamado de sujeito.

Cada token de segurança representa um proprietário de recurso. O proprietário do recurso é o que a declaração do assunto, a declaração de ID do objeto e os dados pessoais no token representam. Os proprietários de recursos são a parte que concede permissões delegadas a um aplicativo cliente, na forma de escopos. Os proprietários de recursos também são os destinatários de funções que indicam permissões expandidas dentro de um locatário ou em um aplicativo.

Servidor de recursos

Conforme definido pelo OAuth 2.0 Authorization Framework, um servidor que hospeda recursos protegidos, capaz de aceitar e responder a solicitações de recursos protegidos por aplicativos cliente que apresentam um token de acesso. Também conhecido como servidor de recursos protegidos ou aplicativo de recurso.

Um servidor de recursos expõe APIs e impõe acesso a seus recursos protegidos por meio de escopos e funções, usando o OAuth 2.0 Authorization Framework. Os exemplos incluem a API do Microsoft Graph, que fornece acesso aos dados do locatário do Microsoft Entra, e as APIs do Microsoft 365, que fornecem acesso a dados como email e calendário.

Assim como um aplicativo cliente, a configuração de identidade do aplicativo de recurso é estabelecida por meio do registro em um locatário do Microsoft Entra, fornecendo o aplicativo e o objeto principal do serviço. Algumas APIs fornecidas pela Microsoft, como a API do Microsoft Graph, têm entidades de serviço pré-registradas disponibilizadas em todos os locatários durante o provisionamento.

Funções

Assim como os escopos, as funções do aplicativo fornecem uma maneira de um servidor de recursos controlar o acesso aos seus recursos protegidos. Ao contrário dos escopos, as funções representam privilégios que o assunto recebeu além da linha de base - é por isso que ler seu próprio e-mail é um escopo, enquanto ser um administrador de e-mail que pode ler o e-mail de todos é uma função.

As funções de aplicativo podem oferecer suporte a dois tipos de atribuição: a atribuição de "usuário" implementa o controle de acesso baseado em função para usuários/grupos que exigem acesso ao recurso, enquanto a atribuição de "aplicativo" implementa o mesmo para aplicativos cliente que exigem acesso. Uma função de aplicativo pode ser definida como atribuível pelo usuário, sign-assignabnle ou ambos.

As funções são cadeias de caracteres definidas por recursos (por exemplo, "Expense approver", "Read-only", "Directory.ReadWrite.All"), gerenciadas por meio do manifesto do aplicativo do recurso e armazenadas na propriedade appRoles do recurso. Os usuários podem ser atribuídos a funções atribuíveis de "usuário" e as permissões de aplicativo cliente podem ser configuradas para solicitar funções atribuíveis de "aplicativo".

Para obter uma discussão detalhada das funções de aplicativo expostas pela API do Microsoft Graph, consulte Escopos de permissão da API do Graph. Para obter um exemplo de implementação passo a passo, consulte Adicionar ou remover atribuições de função do Azure.

Âmbitos

Assim como as funções, os escopos fornecem uma maneira de um servidor de recursos controlar o acesso aos seus recursos protegidos. Os escopos são usados para implementar o controle de acesso baseado em escopo, para um aplicativo cliente que recebeu acesso delegado ao recurso por seu proprietário.

Os escopos são cadeias de caracteres definidas por recursos (por exemplo, "Mail.Read", "Directory.ReadWrite.All"), gerenciadas por meio do manifesto do aplicativo do recurso e armazenadas na propriedade oauth2Permissions do recurso. As permissões delegadas do aplicativo cliente podem ser configuradas para acessar um escopo.

Uma convenção de nomenclatura de práticas recomendadas é usar um formato "resource.operation.constraint". Para obter uma discussão detalhada dos escopos expostos pela API do Microsoft Graph, consulte Escopos de permissão da API do Graph. Para escopos expostos pelos serviços do Microsoft 365, consulte Referência de permissões da API do Microsoft 365.

Token de segurança

Um documento assinado contendo declarações, como um token OAuth 2.0 ou uma asserção SAML 2.0. Para uma concessão de autorização OAuth 2.0, um token de acesso (OAuth2), um token de atualização e um token de ID são tipos de tokens de segurança, todos implementados como um JSON Web Token (JWT).

Objeto principal do serviço

Quando você registra/atualiza um aplicativo, um objeto de aplicativo e um objeto de entidade de serviço correspondente são criados/atualizados para esse locatário. O objeto de aplicativo define a configuração de identidade do aplicativo globalmente (em todos os locatários em que o aplicativo associado recebeu acesso) e é o modelo do qual seus objetos principais de serviço correspondentes são derivados para uso local em tempo de execução (em um locatário específico).

Para obter mais informações, consulte Application and Service Principal Objects.

Iniciar sessão

O processo de um aplicativo cliente que inicia a autenticação do usuário final e captura do estado relacionado para solicitar um token de segurança e definir o escopo da sessão do aplicativo para esse estado. O estado pode incluir artefatos como informações de perfil de usuário e informações derivadas de declarações de token.

A função de entrada de um aplicativo é normalmente usada para implementar o logon único (SSO). Também pode ser precedido por uma função de "inscrição", como o ponto de entrada para um usuário final obter acesso a um aplicativo (após o primeiro login). A função de inscrição é usada para coletar e persistir o estado adicional específico do usuário e pode exigir o consentimento do usuário.

Terminar sessão

O processo de desautenticação de um usuário final, desanexando o estado do usuário associado à sessão do aplicativo cliente durante o login

Assunto

Também conhecido como proprietário do recurso.

Inquilino

Uma instância de um diretório do Microsoft Entra é chamada de locatário do Microsoft Entra. Ele fornece vários recursos, incluindo:

  • Um serviço de registo para aplicações integradas
  • autenticação de contas de utilizador e aplicações registadas
  • Pontos de extremidade REST necessários para suportar vários protocolos, incluindo OAuth 2.0 e SAML, incluindo o ponto de extremidade de autorização, o ponto de extremidade de token e o ponto de extremidade "comum" usado por aplicativos multilocatário.

Os locatários do Microsoft Entra são criados/associados às assinaturas do Azure e do Microsoft 365 durante a inscrição, fornecendo recursos de Gerenciamento de Identidade e Acesso para a assinatura. Os administradores de subscrição do Azure também podem criar inquilinos adicionais do Microsoft Entra. Consulte Como obter um locatário do Microsoft Entra para obter detalhes sobre as várias maneiras de obter acesso a um locatário. Consulte Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra para obter detalhes sobre a relação entre assinaturas e um locatário do Microsoft Entra e para obter instruções sobre como associar ou adicionar uma assinatura a um locatário do Microsoft Entra.

Ponto de extremidade de token

Um dos pontos de extremidade implementados pelo servidor de autorização para suportar concessões de autorização OAuth 2.0. Dependendo da concessão, ele pode ser usado para adquirir um token de acesso (e token de "atualização" relacionado) para um cliente, ou token de ID quando usado com o protocolo OpenID Connect.

Cliente baseado em agente do usuário

Um tipo de aplicativo cliente que baixa código de um servidor Web e é executado dentro de um agente do usuário (por exemplo, um navegador da Web), como um aplicativo de página única (SPA). Como todo o código é executado em um dispositivo, ele é considerado um cliente "público" devido à sua incapacidade de armazenar credenciais de forma privada/confidencial. Para obter mais informações, consulte Tipos e perfis de cliente OAuth 2.0.

Entidade de utilizador

Semelhante à maneira como um objeto principal de serviço é usado para representar uma instância de aplicativo, um objeto principal de usuário é outro tipo de entidade de segurança, que representa um usuário. O tipo de recurso do Microsoft Graph User define o esquema para um objeto de usuário, incluindo propriedades relacionadas ao usuário, como nome e sobrenome, nome principal do usuário, associação à função de diretório e assim por diante. Isso fornece a configuração de identidade do usuário para o Microsoft Entra ID para estabelecer uma entidade de usuário em tempo de execução. A entidade de usuário é usada para representar um usuário autenticado para logon único, gravação de delegação de consentimento , tomada de decisões de controle de acesso e assim por diante.

Cliente Web

Um tipo de aplicativo cliente que executa todo o código em um servidor web, funcionando como um cliente confidencial porque pode armazenar com segurança suas credenciais no servidor. Para obter mais informações, consulte Tipos e perfis de cliente OAuth 2.0.

Identidade da carga de trabalho

Uma identidade usada por uma carga de trabalho de software, como um aplicativo, serviço, script ou contêiner para autenticar e acessar outros serviços e recursos. No Microsoft Entra ID, as identidades de carga de trabalho são aplicativos, entidades de serviço e identidades gerenciadas. Para obter mais informações, consulte Visão geral da identidade da carga de trabalho.

Federação de identidades de carga de trabalho

Permite que você acesse com segurança recursos protegidos do Microsoft Entra a partir de aplicativos e serviços externos sem a necessidade de gerenciar segredos (para cenários suportados). Para obter mais informações, consulte Federação de identidades de carga de trabalho.

Próximos passos

Muitos dos termos deste glossário estão relacionados com os protocolos OAuth 2.0 e OpenID Connect. Embora você não precise saber como os protocolos funcionam "on the wire" para usar a plataforma de identidade, conhecer algumas noções básicas de protocolo pode ajudá-lo a criar e depurar autenticação e autorização mais facilmente em seus aplicativos: