Registar uma aplicação no seu inquilino externo

Aplica-se a:Círculo branco com um símbolo X cinzento. Locatários da força deCírculo verde com um símbolo de marca de verificação branco. trabalho Locatários externos (saiba mais)

O Microsoft Entra External ID permite que sua organização gerencie as identidades dos clientes e controle com segurança o acesso às suas APIs e aplicativos voltados para o público. Aplicações onde os seus clientes podem comprar os seus produtos, subscrever os seus serviços ou aceder à respetiva conta e dados. Seus clientes só precisam entrar em um dispositivo ou navegador da Web uma vez e ter acesso a todos os seus aplicativos que você lhes concedeu permissões.

Para permitir que seu aplicativo entre com ID Externa, você precisa registrar seu aplicativo com ID Externa. O registro do aplicativo estabelece uma relação de confiança entre o aplicativo e a ID externa. Durante o registro do aplicativo, você especifica o URI de redirecionamento. O URI de redirecionamento é o ponto de extremidade para o qual os usuários são redirecionados pela ID externa depois de se autenticarem. O processo de registro do aplicativo gera uma ID do aplicativo, também conhecida como ID do cliente, que identifica exclusivamente seu aplicativo.

A ID externa suporta autenticação para várias arquiteturas de aplicativos modernos, por exemplo, aplicativo Web ou aplicativo de página única. A interação de cada tipo de aplicativo com o locatário externo é diferente, portanto, você deve especificar o tipo de aplicativo que deseja registrar.

Neste artigo, você aprenderá a registrar um aplicativo em seu locatário externo.

Pré-requisitos

Escolha o tipo de aplicativo

Registe a sua aplicação de página única

A ID externa suporta autenticação para aplicativos de página única (SPAs).

As etapas a seguir mostram como registrar seu SPA no centro de administração do Microsoft Entra:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.

  2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.

  3. Navegue até Registros do aplicativo Identity>Applications>.

  4. Selecione + Novo registo.

  5. Na página Registar uma candidatura apresentada, introduza as informações de registo da sua candidatura:

    1. Na seção Nome, insira um nome de aplicativo significativo que seja exibido para os usuários do aplicativo, por exemplo, ciam-client-app.

    2. Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.

    3. Em Redirecionar URI (opcional), selecione Aplicativo de página única (SPA) e, na caixa URL, digite http://localhost:3000/.

  6. Selecione Registar.

  7. O painel Visão geral do aplicativo é exibido quando o registro é concluído. Registre o ID do diretório (locatário) e o ID do aplicativo (cliente) a serem usados no código-fonte do aplicativo.

Sobre o URI de redirecionamento

O URI de redirecionamento é o ponto de extremidade para o qual o usuário é enviado pelo servidor de autorização (neste caso, Microsoft Entra ID) depois de concluir sua interação com o usuário e para o qual um token de acesso ou código de autorização é enviado após a autorização bem-sucedida.

Em um aplicativo de produção, normalmente é um ponto de extremidade acessível publicamente onde seu aplicativo está sendo executado, como https://contoso.com/auth-response.

Durante o desenvolvimento do aplicativo, você pode adicionar o ponto de extremidade onde seu aplicativo escuta localmente, como http://localhost:3000. Você pode adicionar e modificar URIs de redirecionamento em seus aplicativos registrados a qualquer momento.

As seguintes restrições se aplicam aos URIs de redirecionamento:

  • A URL de resposta deve começar com o esquema https, a menos que você use uma URL de redirecionamento localhost.

  • O URL de resposta diferencia maiúsculas de minúsculas. Seu caso deve corresponder ao caso do caminho da URL do seu aplicativo em execução. Por exemplo, se o seu aplicativo incluir como parte de seu caminho .../abc/response-oidc, não especifique .../ABC/response-oidc na URL de resposta. Como o navegador da Web trata os caminhos como diferenciadores de maiúsculas e minúsculas, os cookies associados podem .../abc/response-oidc ser excluídos se redirecionados para o URL incompatível com maiúsculas e minúsculas .../ABC/response-oidc .

  • O URL de resposta deve incluir ou excluir a barra à direita conforme o seu aplicativo espera. Por exemplo, https://contoso.com/auth-response e https://contoso.com/auth-response/ podem ser tratados como URLs não correspondentes em seu aplicativo.

Depois de registrar seu aplicativo, ele recebe a permissão User.Read . No entanto, como o locatário é um locatário externo, os próprios usuários do cliente não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:

  1. Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.

  2. Em Gerenciar, selecione Permissões de API.

    1. Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
    2. Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status da permissão.

Conceder permissões de API (opcional):

Se o SPA precisar chamar uma API, você deverá conceder permissões à API do SPA para que ele possa chamar a API. Você também deve registrar a API da Web que você precisa chamar.

Para conceder permissões de API ao seu aplicativo cliente (ciam-client-app), siga estas etapas:

  1. Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.

  2. Em Gerenciar, selecione Permissões de API.

  3. Em Permissões configuradas, selecione Adicionar uma permissão.

  4. Selecione a guia APIs que minha organização usa .

  5. Na lista de APIs, selecione a API, como ciam-ToDoList-api.

  6. Selecione a opção Permissões delegadas.

  7. Na lista de permissões, selecione ToDoList.Read, ToDoList.ReadWrite (use a caixa de pesquisa, se necessário).

  8. Selecione o botão Adicionar permissões . Neste ponto, você atribuiu as permissões corretamente. No entanto, como o locatário é locatário de um cliente, os próprios usuários consumidores não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:

    1. Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.

    2. Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambos os escopos.

  9. Na lista Permissões configuradas, selecione as permissões ToDoList.Read e ToDoList.ReadWrite, uma de cada vez, e copie o URI completo da permissão para uso posterior. O URI de permissão total é semelhante a api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.

Se você quiser saber como expor as permissões adicionando um link, vá para a seção API da Web.

Testar o fluxo do usuário (opcional)

Para testar um fluxo de usuário com esse registro de aplicativo, habilite o fluxo de concessão implícito para autenticação.

Importante

O fluxo implícito deve ser usado apenas para fins de teste e não para autenticar usuários em seus aplicativos de produção. Depois de terminar o teste, recomendamos removê-lo.

Para habilitar o fluxo implícito, siga estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.
  2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
  3. Navegue até Registros do aplicativo Identity>Applications>.
  4. Selecione o registro do aplicativo que você criou.
  5. Em Gerir, selecione Autenticação.
  6. Em Concessão implícita e fluxos híbridos, marque a caixa de seleção Tokens de ID (usados para fluxos implícitos e híbridos).
  7. Selecione Guardar.

Localizar o ID do aplicativo (cliente)

Depois de registrar um novo aplicativo, você pode encontrar a ID do aplicativo (cliente) na visão geral no centro de administração do Microsoft Entra.

  1. Na página Registros de aplicativos, selecione a guia Todos os aplicativos ou Aplicativos próprios.

  2. Selecione o aplicativo para abrir sua página Visão geral .

  3. Em Essentials , você encontra todos os detalhes do aplicativo, incluindo a ID do aplicativo (cliente).

    Captura de ecrã a mostrar o ID da aplicação (cliente).

Próximos passos