¿Le resultó útil esta página?
Sus comentarios sobre este contenido son muy importantes. Háganos saber su opinión.
¿Tiene comentarios adicionales?
Caracteres restantes: 1500
Exportar (0) Imprimir
Expandir todo

Objetos de entidad de servicio y aplicación

Actualizado: junio de 2015

En esta sección se analiza la relación entre los objetos Application y ServicePrincipal.

Objetos principales de servicio y aplicación

El diagrama anterior describe la relación entre un objeto Application y otro ServicePrincipal, en el contexto de una aplicación de ejemplo denominada HR app. Existen tres inquilinos: Adatum, que desarrolla la aplicación, y Contoso y Fabrikam, que consumen la aplicación HR app.

Al registrar una aplicación en el Portal de administración de Azure, se crean dos objetos en el inquilino de directorio:

  • Objeto Application: representa una definición de la aplicación. Puede encontrar una descripción detallada de sus propiedades más adelante, en la sección Objeto Application.

  • Objeto ServicePrincipal: representa una instancia de la aplicación en el inquilino de directorio. Puede aplicar directivas a los objetos ServicePrincipal y asignarles permisos que permitan a la aplicación leer los datos de directorio del inquilino. Siempre que realice cambios en el objeto Application, estos se aplicarán también al objeto ServicePrincipal asociado en el inquilino.

    noteNota
    Si la aplicación está configurada para acceso externo, los cambios que se realicen en el objeto Application no se reflejarán en el objeto ServicePrincipal del inquilino consumidor hasta que este quite el acceso y lo conceda de nuevo.

En el diagrama anterior, el paso 1 describe el proceso de creación de los objetos Application y ServicePrincipal.

En el paso 2, cuando un administrador de la compañía concede acceso, se crea un objeto ServicePrincipal en el inquilino de Azure AD de la compañía y se asigna el nivel de acceso a directorios que concede este administrador.

En el paso 3, cada inquilino consumidor de una aplicación (por ejemplo, Contoso y Fabrikam) dispone de su propio objeto ServicePrincipal, que representa la instancia de la aplicación. En este ejemplo, cada uno tiene un objeto ServicePrincipal que representa la aplicación HR app.

La tabla siguiente contiene todas las propiedades de los objetos Application e incluye información detallada relevante para los desarrolladores. Estas propiedades se aplican a las aplicaciones web, las API web y las aplicaciones de cliente nativo que se registran con Azure AD.

 

Área Propiedad Descripción

General

Nombre

Nombre para mostrar de la aplicación. Propiedad necesaria del Asistente para agregar aplicaciones.

de la compañía

Un logotipo de la aplicación que representa la aplicación o la compañía. Este logotipo permite a los usuarios externos asociar con mayor facilidad la solicitud de concesión de acceso a la aplicación. Cuando cargue un logotipo, asegúrese de cumplir las especificaciones del Asistente para cargar logotipo. Si no proporciona un logotipo, se mostrará un logotipo predeterminado.

Acceso externo

Determina si se permite a los usuarios de organizaciones externas conceder el inicio de sesión único a la aplicación y acceder a los datos desde el directorio de sus organizaciones. Este control solo afecta a la capacidad de conceder acceso. No cambia la configuración de acceso establecida con anterioridad. Los administradores de la compañía son los únicos que pueden conceder acceso.

Inicio de sesión único

URI de id. de aplicación

Un Identificador lógico único para la aplicación. Propiedad necesaria del Asistente para agregar aplicaciones.

App ID URI es un identificador lógico y no es necesario resolver en una dirección de Internet. Lo presenta la aplicación al enviar una solicitud de inicio de sesión único a Azure AD. Azure AD identifica la aplicación y envía la respuesta de inicio de sesión (un token de SAML) a la propiedad Reply URL que se ha proporcionado durante el registro de la aplicación. Al realizar una solicitud de inicio de sesión, use el valor de App ID URI para establecer las propiedades wtrealm (para WS-Federation) o Issuer (para SAML-P).

El URI de id. de aplicación debe tener un valor único de Azure AD en la organización.

noteNota
Cuando se habilita una aplicación para usuarios externos, el valor de la propiedad App ID URI de esta aplicación debe ser la dirección de uno de los dominios comprobados del directorio. Por lo tanto, no puede ser un URN. Esta medida de seguridad impide a otras organizaciones especificar (y usar) propiedades únicas que pertenecen a una organización. Si no ha comprobado ningún dominio personal o personalizado, durante el desarrollo puede cambiar la propiedad App ID URI a una ubicación del dominio inicial de la organización y actualizar la aplicación para que use este valor nuevo. El dominio inicial es el dominio de tercer nivel que se crea durante el inicio de sesión (por ejemplo, contoso.onmicrosoft.com).

Dirección URL de la aplicación

La dirección de una página web donde los usuarios pueden iniciar sesión y usar la aplicación. Propiedad necesaria del Asistente para agregar aplicaciones.

noteNota
El valor que se establece para esta propiedad en el Asistente para agregar aplicaciones también se establece como valor de la propiedad URL de respuesta.

URL de respuesta

La dirección física de la aplicación. Azure AD envía un token con la respuesta de inicio de sesión único a esta dirección. Durante el primer registro en el Asistente para agregar aplicaciones, el valor especificado para la propiedad App URL también se establece como el valor de la propiedad Reply URL. Al realizar una solicitud de inicio de sesión, use el valor de Reply URL para establecer las propiedades wreply (para WS-Federation) o AssertionConsumerServiceURL (para SAML-P).

noteNota
Al habilitar una aplicación para usuarios externos, la propiedad Reply URL debe ser una dirección https://.

URL de metadatos de federación

(Opcional). Representa la URL física del documento de metadatos de federación para la aplicación. Se precisa para el cierre de sesión de SAML-P. Azure AD descarga el documento de metadatos que se hospeda en este extremo y lo usa para detectar la parte pública del certificado con el que se comprueba la firma de las solicitudes de cierre de sesión y la URL de cierre de sesión de la aplicación. Esta propiedad no puede configurarse la primera vez que se agrega la aplicación. Debe realizarse posteriormente.

noteNota
Si precisa el cierre de sesión de SAML-P, pero no dispone de un extremo de metadatos de federación para la aplicación, póngase en contacto con asistencia al cliente para ver otras opciones.

Llamar a la API Graph o a las API web

Id. de cliente

El identificador único para la aplicación. Use este identificador en llamadas a la API Graph o a otras API web registradas con Azure AD. Azure AD genera automáticamente este valor durante el registro de la aplicación y no se puede cambiar.

Para habilitar el acceso (de lectura o escritura) de la aplicación al directorio a través de la API Graph, necesita un identificador de cliente y una clave (que en OAuth 2.0 se denomina secreto de cliente). La aplicación los usa para solicitar un token de acceso del extremo de token de OAuth 2.0 de Azure AD. Para ver todos los extremos de Azure AD, en la barra de comandos, haga clic en Ver extremos. Cuando se obtienen o establecen (se cambian) datos de directorio con la API Graph, la aplicación usa este token de acceso en el encabezado de autorización de la solicitud a la API Graph.

Claves

Si la aplicación lee o escribe datos en Azure AD (por ejemplo, los datos que se encuentran disponibles a través de la API Graph), necesita una clave. Cuando se solicita un token de acceso para llamar a la API Graph, la aplicación proporciona un identificador de cliente y una clave. Con estos elementos, el extremo de token autentica la aplicación antes de emitir el token de acceso. Puede crear varias claves para los distintos escenarios de sustitución de clave. Y también puede eliminar las claves comprometidas, que expiran o ya no se encuentran en uso.

Administrar acceso

Elija uno de los tres niveles de acceso diferentes: inicio de sesión único (SSO), SSO y leer datos de directorio, o SSO y leer o escribir datos de directorio. También puede quitar el acceso. Para obtener más información sobre el acceso a directorios, vea Application Access Levels.

noteNota
Los cambios que realice en el nivel de acceso a directorios de la aplicación solo se aplicarán a su directorio. No se aplicarán a los clientes a los que haya concedido acceso a la aplicación.

Clientes nativos

URI de redirección

El URI al que Azure AD redirigirá al agente de usuario en respuesta a una solicitud de autorización de OAuth 2.0. El valor no debe ser un extremo físico, aunque sí un URI válido.

Mostrar:
© 2015 Microsoft