Compartilhar via


Registre seu aplicativo no locatário externo

Aplica-se a: Círculo branco com um símbolo X cinza. Locatários da força de trabalho Círculo verde com um símbolo de marca de seleção branco. Locatários externos (saiba mais)

A ID externa do Microsoft Entra para clientes permite que sua organização gerencie as identidades dos clientes e controle com segurança o acesso aos aplicativos e APIs voltados para o público. Aplicativos em que seus clientes podem comprar seus produtos, assinar seus serviços ou acessar a conta e os dados deles. Seus clientes só precisam entrar em um dispositivo ou navegador da Web uma vez e ter acesso a todos os seus aplicativos cujas permissões você concedeu a eles.

Para permitir que seu aplicativo entre com a ID Externa, você precisa registrar seu aplicativo com a ID Externa. O registro do aplicativo estabelece uma relação de confiança entre o aplicativo e a ID Externa. Durante o registro do aplicativo, você especifica o URI de redirecionamento. O URI de redirecionamento é o ponto de extremidade para o qual os usuários são redirecionados pela ID Externa após a autenticação. O processo de registro do aplicativo gera uma ID de aplicativo, também conhecida como ID do cliente, que identifica o aplicativo de modo exclusivo.

A ID Externa oferece suporte à autenticação para várias arquiteturas de aplicativos modernos, por exemplo, aplicativo da Web ou aplicativo de página única. A interação de cada tipo de aplicativo com o locatário externo é diferente, portanto, especifique o tipo de aplicativo que deseja registrar.

Neste artigo, você aprenderá a registrar um aplicativo em seu locatário externo.

Pré-requisitos

Escolha seu tipo de aplicativo

Registrar seu aplicativo de página única

A ID Externa oferece suporte à autenticação para aplicativos de página única (SPAs).

As seguintes etapas mostram como registrar seu SPA no centro de administração do Microsoft Entra:

  1. Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.

  2. Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.

  3. Navegue até Identidade>Aplicativos>Registros do aplicativo.

  4. Selecione + Novo Registro.

  5. Na página Registrar um aplicativo que aparece, insira as informações de registro do aplicativo:

    1. Na seção Nome, insira um nome de aplicativo relevante para ser exibido aos usuários do aplicativo, por exemplo, ciam-client-app.

    2. Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.

    3. Em URI de Redirecionamento (opcional), selecione SPA (Aplicativo de página única) e, na caixa de texto da URL, insira http://localhost:3000/.

  6. Selecione Registrar.

  7. O painel Visão geral do aplicativo é exibido quando o registro for concluído. Registre a ID do Diretório (locatário) e a ID do aplicativo (cliente) a ser usada no código-fonte do aplicativo.

Sobre o URI de redirecionamento

O URI de redirecionamento é o ponto de extremidade para o qual o usuário é enviado pelo servidor de autorização (nesse caso, o Microsoft Entra ID) depois de concluir sua interação com o usuário e para o qual um token de acesso ou código de autorização é enviado após a autorização bem-sucedida.

Em um aplicativo de produção, normalmente é um ponto de extremidade de acesso público no qual o aplicativo está em execução, como https://contoso.com/auth-response.

Durante o desenvolvimento do aplicativo, é possível adicionar o ponto de extremidade no qual o aplicativo escuta localmente, como http://localhost:3000. Adicione e modifique URIs de redirecionamento nos aplicativos registrados a qualquer momento.

As restrições a seguir se aplicam a URLs de redirecionamento:

  • A URL de resposta deve começar com o esquema https, a menos que você use uma URL de redirecionamento de localhost.

  • A URL de resposta diferencia maiúsculas de minúsculas. As letras maiúsculas e minúsculas devem corresponder às letras maiúsculas e minúsculas do caminho da URL do aplicativo em execução. Por exemplo, se o aplicativo incluir como parte de seu caminho .../abc/response-oidc, não especifique .../ABC/response-oidc na URL de resposta. Como o navegador da Web trata os caminhos diferenciando maiúsculas de minúsculas, os cookies associados a .../abc/response-oidc podem ser excluídos se forem redirecionados para a URL de .../ABC/response-oidc com maiúsculas e minúsculas não correspondentes.

  • A URL de resposta deve incluir ou excluir a barra à direita conforme o aplicativo espera. Por exemplo, https://contoso.com/auth-response e https://contoso.com/auth-response/ podem ser tratados como URLs incompatíveis em seu aplicativo.

Depois de registrar seu aplicativo, ele recebe a permissão User.Read . No entanto, como o locatário é um locatário externo, os próprios usuários do cliente não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:

  1. Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-client-app) para abrir sua página Visão geral.

  2. Em Gerenciar, selecione Permissões de API.

    1. Selecione Dar consentimento de administrador para <nome do seu locatário> e selecione Sim.
    2. Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status da permissão.

Conceder permissões de API (opcional):

Se o SPA precisar chamar uma API, você deverá conceder permissões de API ao SPA para que ele possa chamar a API. Você também deve registrar a API Web que precisa chamar.

Para conceder permissões de API ao aplicativo cliente (ciam-client-app), siga estas etapas:

  1. Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-client-app) para abrir sua página Visão geral.

  2. Em Gerenciar, selecione Permissões de API.

  3. Em Permissões Configuradas, selecione Adicionar uma permissão.

  4. Selecione a guia APIs que a minha organização usa.

  5. Na lista de APIs, selecione a API como ciam-ToDoList-api.

  6. Selecione a opção Permissões delegadas.

  7. Na lista de permissões, selecione ToDoList.Read, ToDoList.ReadWrite (use a caixa de pesquisa, se necessário).

  8. Selecione o botão Adicionar permissões. Neste ponto, você atribuiu as permissões corretamente. No entanto, como o locatário é um locatário do cliente, os próprios usuários consumidores não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:

    1. Selecione Dar consentimento de administrador para <nome do seu locatário> e selecione Sim.

    2. Selecione Atualizar e verifique se Concedido para <nome do seu locatário> aparece em Status para ambos os escopos.

  9. Na lista Permissões configuradas, selecione as permissões ToDoList.Read e ToDoList.ReadWrite, uma de cada vez, e copie o URI completo da permissão para uso posterior. O URI de permissão completa é semelhante a api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.

Se você quiser saber como expor as permissões adicionando um link, vá para a seção API Web .

Testar o fluxo do usuário (opcional)

Para testar um fluxo de usuário com esse registro de aplicativo, habilite o fluxo de concessão implícito para autenticação.

Importante

O fluxo implícito deve ser usado apenas para fins de teste e não para autenticar usuários em seus aplicativos de produção. Depois de concluir o teste, recomendamos removê-lo.

Para habilitar o fluxo implícito, siga estas etapas:

  1. Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
  2. Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
  3. Navegue até Identidade>Aplicativos>Registros de aplicativo.
  4. Selecione o registro do aplicativo que você criou.
  5. Em Gerenciar, selecione Autenticação.
  6. Na seção Concessão implícita e fluxos híbridos, selecione a caixa de seleção Tokens de ID (usados para fluxos implícitos e híbridos).
  7. Selecione Salvar.

Localizar a ID do aplicativo (cliente)

Depois de registrar um novo aplicativo, você pode encontrar a ID do aplicativo (cliente) na visão geral no centro de administração do Microsoft Entra.

  1. Na página Registros de aplicativo, selecione a guia Todos os aplicativos ou a guiaAplicativos próprios.

  2. Selecione o aplicativo para abrir a página de Visão Geral.

  3. Em Noções Básicas, você encontra todos os detalhes do aplicativo, incluindo a ID do aplicativo (cliente).

    Captura de tela mostrando a ID do aplicativo (cliente).

Próximas etapas