Explorar as entidades de serviço

  • 3 minutos

Para delegar funções de Gerenciamento de Identidade e Acesso ao Microsoft Entra ID, um aplicativo deve ser registrado com um locatário do Microsoft Entra. Ao registrar seu aplicativo com o ID do Microsoft Entra, você está criando uma configuração de identidade para seu aplicativo que permite que ele se integre ao ID do Microsoft Entra. Ao registrar um aplicativo no portal do Azure, você escolhe se ele é de:

  • Locatário único: acessível somente em seu locatário
  • Multilocatário: acessível em outros locatários

Se você registrar um aplicativo no portal, um objeto de aplicativo (a instância globalmente exclusiva do aplicativo), bem como um objeto de entidade de serviço, serão criados automaticamente em seu locatário inicial. Tem também uma ID globalmente exclusiva para o seu aplicativo (a ID do aplicativo ou do cliente). No portal, você pode adicionar segredos ou certificados e escopos para fazer seu aplicativo funcionar, além de personalizar a identidade visual dele na caixa de diálogo de conexão, entre outras ações.

Observação

Você também pode criar objetos da entidade de serviço em um locatário usando o Azure PowerShell, a CLI do Azure, o Microsoft Graph e outras ferramentas.

Objeto de aplicativo

Um aplicativo do Microsoft Entra tem escopo para seu único objeto de aplicativo. O objeto do aplicativo reside no locatário do Microsoft Entra, onde o aplicativo foi registrado (conhecido como locatário "inicial" do aplicativo). Um objeto de aplicativo é usado como um modelo ou blueprint para criar um ou mais objetos de entidade de serviço. Uma entidade de serviço é criada em todos os locatários em que o aplicativo é usado. Assim como uma classe na programação orientada a objetos, o objeto do aplicativo conta com algumas propriedades estáticas que são aplicadas a todas as entidades de serviço criadas (ou instâncias de aplicativo).

O objeto de aplicativo descreve três aspectos de um aplicativo:

  • Como o serviço pode emitir tokens para acessar o aplicativo.
  • Recursos que o aplicativo pode precisar acessar.
  • As ações que o aplicativo pode executar.

A Entidade de aplicativo do Microsoft Graph define o esquema para as propriedades de um objeto de aplicativo.

Objeto de entidade de serviço

Para acessar recursos protegidos por um locatário do Microsoft Entra, a entidade que está solicitando acesso deve ser representada por uma entidade de segurança. Isso é verdadeiro para usuários (entidade de usuário) e aplicativos (entidade de serviço).

A entidade de segurança define a diretiva de acesso e as permissões para o usuário/aplicativo no locatário do Microsoft Entra. Isso habilita recursos principais como a autenticação do usuário/aplicativo durante a entrada, bem como a autorização durante o acesso aos recursos.

Há três tipos de entidades de serviço:

  • Aplicativo – este tipo de entidade de serviço é a representação local, ou a instância do aplicativo, de um objeto de aplicativo global em um locatário ou diretório. Uma entidade de serviço é criada em cada locatário em que o aplicativo é usado e faz referência ao objeto de aplicativo globalmente exclusivo. O objeto da entidade de serviço define o que o aplicativo pode realmente fazer no locatário específico, quem pode acessar o aplicativo e quais recursos ele pode acessar.

  • Identidade gerenciada – Esse tipo de entidade de serviço é usado para representar uma identidade gerenciada. As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra. Quando uma identidade gerenciada é habilitada, uma entidade de serviço que representa essa identidade gerenciada é criada em seu locatário. As entidades de serviço que representam identidades gerenciadas podem receber acesso e permissões, mas não podem ser atualizadas ou modificadas diretamente.

  • Herdado – Esse tipo de entidade de serviço representa um aplicativo herdado, que é um aplicativo criado antes dos Registros de aplicativo serem introduzidos ou criados por meio de experiências herdadas. Uma entidade de serviço herdada pode ter:

    • credenciais
    • nomes da entidades de serviço
    • URLs de resposta
    • e outras propriedades que um usuário autorizado pode editar, mas não tem um registro de aplicativo associado.

Relação entre objetos de aplicativo e entidades de serviço

O objeto do aplicativo é a representação global do seu aplicativo a ser usada em todos os locatários e a entidade de serviço é a representação local a ser usada em um locatário específico. O objeto de aplicativo serve como o modelo do qual as propriedades comuns e padrão são derivadas para uso na criação de objetos de entidade de serviço correspondentes.

Um objeto de aplicativo tem:

  • Uma relação um para um com o aplicativo de software, e
  • Um relacionamento de um para muitos com seus objetos de entidade de serviço correspondentes.

Uma entidade de serviço deve ser criada em cada locatário em que o aplicativo é usado para estabelecer uma identidade para entrada e/ou acesso aos recursos que estão sendo protegidos pelo locatário. Um aplicativo de locatário único tem apenas uma entidade de serviço (em seu locatário inicial), criado e com consentimento para uso durante o registro do aplicativo. Um aplicativo multilocatário também tem uma entidade de serviço criada em cada locatário em que um usuário desse locatário consentiu com seu uso.