VENDAS: 1-800-867-1389

Adicionar, atualizar e remover um aplicativo

Atualizado: junho de 2015

Este tópico mostra como adicionar, atualizar ou remover um aplicativo no Active Directory do Azure (AD do Azure). Você aprenderá sobre os diferentes tipos de aplicativos que podem ser integrados ao AD do Azure, como configurar seus aplicativos para acessar outros recursos, como APIs da Web e muito mais. Para obter mais informações sobre propriedades de aplicativos, consulte Application Objects and Service Principal Objects.

Qualquer aplicativo que deseja usar os recursos do AD do Azure deve ser registrado primeiro em um diretório. Esse processo de registro envolve o fornecimento de detalhes do AD do Azure sobre seu aplicativo, como a URL de sua localização, a URL para enviar respostas depois que um usuário for autenticado, o URI que identifica o aplicativo e assim por diante.

Se estiver criando um aplicativo da Web que somente precise de logon para os usuários no AD do Azure, você pode simplesmente seguir as instruções abaixo. Se seu aplicativo precisar acessar uma API da Web, você estiver criando um aplicativo nativo que precisa acessar uma API da Web ou desejar tornar seu aplicativo multilocatário, você precisará continuar a ler a seção Atualizar um aplicativo para continuar a configuração de seu aplicativo.

Se desejar tornar seu aplicativo disponível para outras organizações, também precisará habilitar o acesso externo assim que o aplicativo tiver sido adicionado.

  1. Entre no Portal de Gerenciamento do Azure.

  2. Clique no ícone do Active Directory no menu à esquerda e, em seguida, clique no diretório desejado.

  3. No menu superior, clique em Aplicativos. Se nenhum aplicativo tiver sido adicionado ao seu diretório, essa página mostrará apenas o link Adicionar um aplicativo. Clique no link ou, como alternativa, é possível clicar no botão Adicionar na barra de comandos.

  4. Na página O que você deseja fazer?, clique no link para Adicionar um aplicativo que minha organização está desenvolvendo.

  5. Na página Conte-nos sobre seu aplicativo, será necessário especificar um nome para seu aplicativo, assim como indicar o tipo de aplicativo que você está registrando com o AD do Azure. É possível escolher entre um Aplicativo Web e/ou API da Web (padrão) ou aplicativo cliente nativo que representa um aplicativo que é instalado em um dispositivo, como um telefone ou computador.

    Quando terminar, clique no ícone de seta no canto inferior direito da página.

  6. Na página Propriedades do aplicativo, forneça a URL de Logon e o URI da ID do Aplicativo para seu aplicativo Web (ou apenas o URI de Redirecionamento para um aplicativo cliente nativo) e clique na caixa de seleção no canto inferior direito da página.

  7. Seu aplicativo foi adicionado e você será levado para a página de início rápido de seu aplicativo. Dependendo se seu aplicativo é um aplicativo Web ou aplicativo nativo, você verá diferentes opções sobre como adicionar recursos adicionais ao seu aplicativo. Quando seu aplicativo tiver sido adicionado, você poderá começar a atualizar seu aplicativo para permitir que os usuários entrem, acessem as APIs da Web em outros aplicativos ou configurem aplicativos multilocatário (o que permite que outras organizações acessem o seu aplicativo).

    noteObservação
    Por padrão, o registro do aplicativo recém-criado é configurado para permitir que os usuários do seu diretório entrem no seu aplicativo.

Quando seu aplicativo tiver sido registrado com o AD do Azure, precisará ser atualizado para fornecer acesso às APIs da Web, para ser disponibilizados em outras organizações e muito mais. Esta seção descreve como configurar ainda mais seu aplicativo. Para obter mais informações sobre a maneira como funciona a autenticação no AD do Azure, consulte Authentication Scenarios for Azure AD.

Antes de atualizar seu aplicativo, há alguns conceitos importantes a compreender sobre a estrutura de consentimento no AD do Azure.

A nova estrutura de consentimento do AD do Azure facilita o desenvolvimento de aplicativos Web e nativos que precisam acessar as APIs da Web protegidas pelo AD do Azure. Essas APIs da Web incluem a Graph API, o Office 365 e outros serviços da Microsoft, além de suas próprias APIs da Web. A estrutura se baseia em um usuário ou administrador dar consentimento a um aplicativo para ser registrado no seu diretório, que pode envolver o acesso a dados do diretório. Por exemplo, se um aplicativo Web precisar chamar a API da Web do Office 365 para ler as informações de calendário sobre o usuário, esse usuário deverá dar consentimento ao aplicativo. Depois de dar o consentimento, o aplicativo Web poderá chamar a API da Web do Office 365 em nome do usuário e usar as informações de calendário, conforme necessário.

A estrutura de consentimento se baseia no OAuth 2.0 e seus diversos fluxos, como as credenciais do cliente e a concessão do código de autorização, usando clientes públicos ou confidenciais. Usando o OAuth 2.0, o AD do Azure torna possível aproveitar muitos tipos diferentes de aplicativos cliente, como um telefone, tablet, servidor ou aplicativo Web, e obter acesso aos recursos necessários.

Para obter mais informações sobre a estrutura de consentimento, consulte OAuth 2.0 no Azure AD, Authentication Scenarios for Azure AD e o tópico do Office 365 Autenticação e autorização usando a estrutura comum de consentimento.

As etapas a seguir mostram como a experiência de consentimento funciona para o desenvolvedor do aplicativo e o usuário.

  1. Na página de configuração do aplicativo, no Portal de Gerenciamento do Azure, defina as permissões exigidas pelo seu aplicativo usando os menus suspensos no controle Permissões para outros aplicativos.



    Permissões para outros aplicativos

  2. Considere a possibilidade de as permissões do aplicativo terem sido atualizadas, o aplicativo estar em executado e um usuário estar prestes a usá-lo pela primeira vez. Se o aplicativo ainda não tiver adquirido um token de acesso ou atualização, ele precisará ir para o ponto de extremidade de autorização do AD do Azure para obter um código de autorização que pode ser usado para adquirir um novo token de acesso e atualização.

  3. Se o usuário ainda não estiver autenticado, ser-lhe-á solicitado para entrar no AD do Azure.



    Usuário ou administrador entram no AD do Azure

  4. Depois que o usuário faz logon, o AD do Azure determinará se é necessário mostrar uma página de consentimento ao usuário. Essa decisão depende se o usuário (ou o administrador de sua organização) já concedeu a permissão do aplicativo. Se o consentimento ainda não tiver sido concedido, o AD do Azure solicitará o consentimento do usuário e exibirá as permissões necessárias para o seu funcionamento. O conjunto de permissões que é exibido na caixa de diálogo de consentimento é o mesmo que foi selecionado no controle Permissões para outros aplicativos no Portal de Gerenciamento do Azure.



    Experiência de consentimento do usuário

  5. Depois que o usuário concede permissão, um código de autorização é retornado ao seu aplicativo, que pode ser resgatado para adquirir um token de acesso e um token de atualização. Para obter mais informações sobre este fluxo, consulte a seção Web Application to Web API no tópico Authentication Scenarios for Azure AD.

Usando a estrutura de consentimento descrita acima, será possível configurar seu aplicativo para solicitar permissões para acessar os dados expostos pelas APIs da Web em seu diretório. Por padrão, todos os aplicativos podem escolher permissões da API do Active Directory do Azure (Graph API) e da API de Gerenciamento de Serviços do Azure, com a permissão “Habilitar logon e ler perfis dos usuários” do AD do Azure já selecionada por padrão. Se o diretório também tiver uma assinatura para o Office 365, as APIs da Web e as permissões do SharePoint e do Exchange Online também estarão disponíveis para seleção. É possível selecionar entre dois tipos de permissões nos menus suspensos ao lado da API da Web desejada:

  • Permissões do Aplicativo: seu aplicativo precisa acessar a API da Web diretamente (sem nenhum contexto de usuário). Esse tipo de permissão requer o consentimento do administrador e também não está disponível para aplicativos cliente nativos.

  • Permissões de Delegação: seu aplicativo precisa acessar a API da Web como o usuário conectado, mas com acesso limitado pela permissão selecionada. Esse tipo de permissão pode ser concedido por um usuário, a menos que a permissão esteja configurada para exigir consentimento do administrador.

  1. Entre no Portal de Gerenciamento do Azure.

  2. Clique no ícone do Active Directory no menu à esquerda e, em seguida, clique no diretório desejado.

  3. No menu superior, clique em Aplicativos e, em seguida, clique no aplicativo que deseja configurar. A página de início rápido será exibida com o logon único e outras informações de configuração.

  4. Expanda a seção Acessar APIs da Web em outros aplicativos do início rápido e clique no link Configurar agora na seção Selecionar permissões. A página de propriedades do aplicativo será exibida.

  5. Role para baixo até a seção Permissões para outros aplicativos. A primeira coluna permite que você selecione os aplicativos disponíveis em seu diretório que expõem uma API da Web. Depois de selecionados, você pode selecionar as permissões do aplicativo e de delegação que a API da Web expõe.

  6. Depois de selecionadas, clique no botão Salvar na barra de comandos.

    noteObservação
    Clicar no botão Salvar também define automaticamente as permissões para o seu aplicativo em seu diretório com base nas Permissões para outros aplicativos que você configurou. Você pode exibir essas permissões do aplicativo examinando a guia Propriedades do aplicativo.

É possível desenvolver uma API da Web e torná-la disponível para outras organizações, expondo os escopos das permissões a outros desenvolvedores do aplicativo. As APIs da Web configuradas corretamente são disponibilizadas como as outras APIs da Web da Microsoft, incluindo a Graph API e as APIs do Office 365. Sua API da Web é disponibilizada por meio da configuração de um manifesto do aplicativo, que é um arquivo JSON que representa a configuração da identidade do seu aplicativo. É possível expor os escopos das permissões navegando até seu aplicativo no Portal de Gerenciamento do Azure e clicando no botão Manifesto do aplicativo na barra de comandos.

  1. Entre no Portal de Gerenciamento do Azure.

  2. Clique no ícone do Active Directory no menu à esquerda e, em seguida, clique no diretório desejado.

  3. No menu superior, clique em Aplicativos e, em seguida, clique no aplicativo que deseja configurar. A página de início rápido será exibida com o logon único e outras informações de configuração.

  4. Clique no botão Gerenciar manifesto na barra de comandos e selecione Baixar manifesto.

  5. Abra o arquivo de manifesto do aplicativo JSON e substitua o nó “oauth2Permissions” pelo seguinte trecho JSON. Esse trecho é um exemplo de como expor um escopo de permissões conhecido como representação do usuário. Certifique-se de que altera o texto e os valores para seu aplicativo:

    "oauth2Permissions": [
        {
          "adminConsentDescription": "Allow the application full access to the Todo List service on behalf of the signed-in user",
          "adminConsentDisplayName": "Have full access to the Todo List service",
          "id": "b69ee3c9-c40d-4f2a-ac80-961cd1534e40",
          "isEnabled": true,
          “origin”: “Application”
          "type": "User",
          "userConsentDescription": "Allow the application full access to the todo service on your behalf",
          "userConsentDisplayName": "Have full access to the todo service",
          "value": "user_impersonation"
        }
      ],
    

    O valor id deve ser um novo GUID gerado que você cria usando uma ferramenta de geração de GUID ou programaticamente. Representa um identificador exclusivo para a permissão que é exposta pela API da Web. Depois de o cliente estar configurado corretamente para solicitar acesso à sua API da Web e chamar a API da Web, ele apresentará um token OAuth 2.0 JWT que tem a declaração de escopo (scp) definida como o valor acima, que nesse caso é user_impersonation.

    noteObservação
    É possível expor escopos de permissões adicionais posteriormente conforme necessário. Considere a possibilidade de sua API da Web poder expor várias permissões associadas a uma variedade de funções. Agora você pode controlar o acesso à API da Web usando a declaração de escopo (scp) do token OAuth 2.0 JWT recebido.

  6. Salve o arquivo JSON atualizado e carregue-o clicando no botão Gerenciar manifesto na barra de comandos, selecionando Carregar manifesto, navegando até o arquivo de manifesto atualizado e, em seguida, selecionando-o. Depois de carregado, a API da Web estará configurada para ser usada por outros aplicativos em seu diretório.

  1. No menu superior, clique em Aplicativos, selecione o aplicativo para o qual deseja configurar o acesso à API da Web e, em seguida, clique em Configurar.

  2. Role para baixo até a seção Permissões para outros aplicativos. Clique no menu suspenso Selecionar aplicativo, você poderá selecionar a API da Web para qual expôs uma permissão. No menu suspenso Permissões de delegação, selecione a nova permissão.

    As permissões da Lista de Tarefas Pendentes são exibidas

A tabela a seguir lista os possíveis valores para a parte oauth2Permissions do arquivo JSON de manifesto do aplicativo.

 

Elemento Descrição

adminConsentDescription

A descrição da ajuda quando passa o mouse sobre a caixa de diálogo de consentimento do administrador e na página de propriedades do aplicativo consentido.

adminConsentDisplayName

O nome amigável da permissão mostrada nos menus suspensos dos escopos das permissões do aplicativo e/ou de delegação e aos administradores durante o consentimento e na página de propriedades do aplicativo.

id

Representa um identificador exclusivo interno do escopo de permissões. Ele deve ser exclusivo entre todas as permissões do aplicativo e também deve ser um GUID.

isEnabled

Ao criar ou atualizar uma permissão OAuth2, sempre defina isso como true. Se desejar excluir uma permissão, primeiro deve definir esse valor como false e carregar o manifesto. Em seguida, você pode remover a permissão em um carregamento de manifesto subsequente.

origem

Reservado para uso futuro. Sempre definida como “aplicativo”.

type

Pode ser um dos seguintes valores:

  • “User”: deve ter consentimento dos usuários finais

  • “Admin”: deve ter consentimento do administrador da empresa

userConsentDescription

A descrição da ajuda quando passa o mouse sobre a caixa de diálogo de consentimento do usuário.

userConsentDisplayName

O nome amigável da permissão mostrada aos usuários finais durante o consentimento e na página de propriedades do aplicativo no Painel de Acesso do Aplicativo.

value

Esse valor é colocado na declaração scp do token de acesso OAuth 2.0 se essa permissão específica tiver consentimento do usuário. A API da Web pode usar esse valor para definir o escopo do nível de acesso que o aplicativo tem ao representar o usuário. Ela não deve conter espaços em branco e deve ser exclusiva entre todas as permissões no aplicativo.

Esta seção descreve como atualizar seu aplicativo para acessar a Graph API, que é chamada de “Active Directory do Azure” na lista de Permissões para outros aplicativos. Está disponível por padrão para todos os aplicativos que são registrados com o AD do Azure. É possível selecionar as seguintes permissões com a Graph API:

 

Nome da permissão Descrição Tipo

Habilitar logon e ler perfis dos usuários

Permitir que os usuários entrem no aplicativo com suas contas institucionais e permite que o aplicativo leia os perfis dos usuários conectados, como o endereço de email e as informações de contato.

Somente permissão de delegação. Pode ter consentimento dos usuários.

Acessar o diretório da sua organização

Permite que o aplicativo acesse o diretório da sua organização em nome do usuário conectado.

Somente permissão de delegação. Pode ter consentimento dos usuários em um cliente nativo e somente de um administrador em aplicativos Web.

Ler dados do diretório

Permite que o aplicativo leia os dados no diretório da sua organização, como usuários, grupos e aplicativos.

Permissão do aplicativo e de delegação. Deve ter consentimento do administrador.

Ler e gravar dados do diretório

Permite que o aplicativo leia e grave os dados no diretório da sua organização, como usuários e grupos.

Permissão do aplicativo e de delegação. Deve ter consentimento do administrador.

Para os usuários existentes do Portal de Gerenciamento do Azure, definir as permissões do aplicativo Ler dados do diretório e Ler e gravar dados do diretório por meio do novo controle Permissões para outros aplicativos é equivalente ao anterior assistente Gerenciar acesso. Para ver os escopos de permissões expostos pelo Office 365, consulte o tópico Autenticação e autorização usando a estrutura comum de consentimento.

noteObservação
Devido a uma limitação atual, os aplicativos cliente nativos só podem chamar a Graph API do AD do Azure se usarem a permissão “Acessar o diretório da sua organização”. Essa restrição não se aplica a aplicativos Web.

Ao adicionar um aplicativo ao AD do Azure, poderá desejar que seu aplicativo seja acessado somente por usuários em sua organização. Como alternativa, poderá desejar que seu aplicativo seja acessado por usuários em organizações externas. Esses dois tipos de aplicativos são chamados aplicativos de locatário único e multilocatário. É possível modificar a configuração de um aplicativo de locatário único para torná-lo em um aplicativo multilocatário. Consulte a seção abaixo.

É importante observar as diferenças entre um aplicativo de locatário único e multilocatário. Um aplicativo de locatário único destina-se à utilização em uma única organização. Em geral, são aplicativos de linha de negócios (LoB) escritos por um desenvolvedor empresarial. Um aplicativo de locatário único só precisa ser acessado pelos usuários em um diretório e, como resultado, ele só precisa ser provisionado em um diretório. Um aplicativo multilocatário destina-se a ser usado em muitas organizações. Em geral, são aplicativos de software como serviço (SaaS) escritos por um fornecedor independente de software (ISV). Aplicativos de multilocatários precisam ser provisionados em cada diretório onde serão usados, o que exige o consentimento do usuário ou do administrador para que sejam registrados.

Se estiver escrevendo um aplicativo para disponibilizar a seus clientes ou parceiros fora da sua organização, você precisará atualizar a definição do aplicativo no Portal de Gerenciamento do Azure.

noteObservação
Ao habilitar o acesso externo, você deve certificar-se de que o URI da ID do Aplicativo pertence a um domínio verificado. Além disso, a URL de Retorno deve começar com https://. Para obter mais informações, consulte Application Objects and Service Principal Objects.

  1. Entre no Portal de Gerenciamento do Azure.

  2. Clique no ícone do Active Directory no menu à esquerda e, em seguida, clique no diretório desejado.

  3. No menu superior, clique em Aplicativos e, em seguida, clique no aplicativo que deseja configurar. A página de início rápido será exibida com o logon único e outras informações de configuração.

  4. Expanda a seção Configurar aplicativo multilocatário do início rápido e clique no link Configurar agora na seção Habilitar acesso. A página de propriedades do aplicativo será exibida.

  5. Clique no botão Sim ao lado de O aplicativo é multilocatário e, em seguida, clique no botão Salvar na barra de comandos.

Depois de fazer a alteração acima, os usuários e administradores de outras organizações poderão conceder o acesso ao seu aplicativo para seus diretórios e outros dados.

Para conceder acesso usando a estrutura de consentimento, o aplicativo cliente deve solicitar autorização usando OAuth 2.0. Exemplos de código estão disponíveis para mostrar como um aplicativo Web, aplicativo nativo ou aplicativo para servidores/daemon solicita os códigos de autorização e os tokens de acesso para chamar as APIs da Web.

Seu aplicativo Web pode oferecer um processo de inscrição aos usuários. Se oferecer um processo de inscrição, espera-se que o usuário clique em uma inscrição (ou botão de entrada) que redirecionará o navegador para o ponto de extremidade de autorização do OAuth2.0 do AD do Azure ou para um ponto de extremidade userinfo do OpenID Connect. Esses pontos de extremidade permitem que o aplicativo obtenha informações sobre o novo usuário inspecionando o id_token.

Como alternativa, seu aplicativo Web também pode oferecer um processo para permitir aos administradores “inscreverem-se em minha empresa”. Esse processo também redireciona o usuário para o ponto de extremidade de autorização do OAuth 2.0 do AD do Azure. Nesse caso, você também pode passar um parâmetro prompt=admin_consent para disparar o processo de consentimento do administrador, onde o administrador concederá consentimento em nome da organização. Após o consentimento bem-sucedido, a resposta irá conter admin_consent=true. Quando resgatar um token de acesso, você também receberá um id_token que fornecerá informações sobre a organização e o administrador que se inscreveu para seu aplicativo.

Esta seção descreve o processo de consentimento herdado antes de 12 de março de 2014. Esse processo ainda é suportado e é descrito abaixo. Antes da nova funcionalidade, você só podia conceder as seguintes permissões:

  • Logon de usuários de sua organização

  • Logon de usuários e leitura dos dados do diretório da sua organização (como o aplicativo apenas)

  • Logon de usuários e leitura e gravação dos dados do diretório da sua organização (como o aplicativo apenas)

Você pode seguir as etapas em Developing Multi-Tenant Web Applications with Azure AD para conceder acesso a novos aplicativos registrados no AD do Azure. É importante observar que a nova estrutura de consentimento permite aplicativos muito mais poderosos e também permite os usuários concedam consentimento a esses aplicativos e não apenas administradores.

Para que os usuários externos se inscrevam para o seu aplicativo usando suas contas institucionais, você precisará atualizar o aplicativo para mostrar um botão que vincula à página no AD do Azure que permite conceder acesso. As diretrizes de identidade visual para esse botão de inscrição são discutidas no tópico Branding Guidelines for Integrated Apps. Depois que o usuário concede ou nega acesso, a página Permitir acesso do AD do Azure redirecionará o navegador para seu aplicativo com uma resposta. Para obter mais informações sobre as propriedades do aplicativo, consulte Application Object.

A página Permitir acesso é criada pelo AD do Azure e você encontrará um link para ele na página de configuração do aplicativo no Portal de Gerenciamento. Para acessar a página de configuração, clique no link Aplicativos no menu superior do seu locatário do AD do Azure, clique no aplicativo que deseja configurar e, em seguida, clique em Configurar no menu superior da página de início rápido.

O link para o seu aplicativo terá esta aparência: http://account.activedirectory.windowsazure.com/Consent.aspx?ClientID=058eb9b2-4f49-4850-9b78-469e3176e247&RequestedPermissions=DirectoryReaders&ConsentReturnURL= https%3A%2F%2Fadatum.com%2FExpenseReport.aspx%3FContextId%3D123456. A tabela seguinte descreve as partes do link:

 

Parâmetro Descrição

ClientId

Obrigatória. A ID de Cliente obtida como parte da adição de seu aplicativo.

RequestedPermissions

Opcional. O nível de acesso que seu aplicativo está solicitando, que será exibido ao usuário concedendo o acesso ao seu aplicativo. Se não for especificado, o nível de acesso solicitado padrão será o logon único apenas. As outras opções são DirectoryReaders e DirectoryWriters. Consulte Application Access Levels para obter mais detalhes sobre esses níveis de acesso.

ConsentReturnUrl

Opcional. A URL que deseja que seja retornada pela resposta de permissão de acesso. Esse valor deve ser codificado de URL e deve estar no mesmo domínio que a Reply URL configurada em sua definição do aplicativo. Se não fornecido, a resposta de permissão de acesso será redirecionada para a Reply URL configurada.

Especificar uma ConsentReturnUrl separada da Reply URL permitirá que seu aplicativo implemente lógica separada para processar a resposta em uma URL diferente da Reply URL (que normalmente processa tokens SAML do logon). Você também poderá especificar parâmetros adicionais na URL codificada ConsentReturnURL; eles serão passados como parâmetros de cadeia de caracteres de consulta para seu aplicativo após o redirecionamento. Esse mecanismo pode ser usado para manter informações adicionais ou vincular a solicitação do aplicativo para uma permissão de acesso à resposta do AD do Azure.

Quando um aplicativo redireciona o link de permissão de acesso, as imagens a seguir demonstram a experiência do usuário.

Se o usuário não estiver conectado, ele será solicitado a fazê-lo:

Entrar no AD do Azure

Quando o usuário for autenticado, o AD do Azure redirecionará o usuário para página Permitir acesso:

Conceder acesso

noteObservação
Somente o administrador da empresa da organização externa pode permitir acesso ao seu aplicativo. Se o usuário não for um administrador da empresa, ele terá a opção de enviar mensagens para seus administradores da empresa para solicitar que esse aplicativo tenha acesso.

Depois que o cliente tem autorização de acesso para seu aplicativo clicando em Permitir acesso ou se ele tiver o acesso negado clicando em Cancelar, o AD do Azure envia uma resposta para ConsentReturnUrl ou para sua Reply URL configurada. Essa resposta contém os parâmetros a seguir:

 

Parâmetro Descrição

TenantId

a ID exclusiva da organização no AD do Azure que concedeu acesso a seu aplicativo. Esse parâmetro só poderá ser especificado se o cliente receber acesso.

Consent:

o valor será definido como Concedido se tiver sido concedido acesso ao aplicativo ou como Negado se a solicitação tiver sido rejeitada.

Os parâmetros adicionais serão retornados ao aplicativo se tiverem sido especificados como parte da URL codificada ConsentReturnUrl. A seguir está um exemplo de resposta a uma solicitação de permissão de acesso que indica que o aplicativo foi autorizado e inclui uma ContextID que foi fornecido na solicitação de permissão de acesso: https://adatum.com/ExpenseReport.aspx?ContextID=123456&Consent=Granted&TenantId=f03dcba3-d693-47ad-9983-011650e64134

noteObservação
A resposta de permissão de acesso não conterá nenhum token de segurança para o usuário; o aplicativo deve conectar o usuário separadamente.

Este é um exemplo de resposta a uma solicitação de permissão de acesso negado: https://adatum.com/ExpenseReport.aspx?ContextID=123456&Consent=Denied

Durante o tempo de vida do seu aplicativo, talvez seja necessário alterar as chaves que você usa quando chama o AD do Azure para adquirir um token de acesso para chamar a Graph API. Em geral, a alteração das chaves se encaixa em duas categorias: substituição de emergência onde sua chave foi comprometida ou substituição quando a chave atual está prestes a expirar. O procedimento a seguir deve ser seguido para fornecer ao seu aplicativo acesso ininterrupto enquanto atualiza as chaves (principalmente para o segundo caso).

  1. No Portal de Gerenciamento do Azure, clique no seu locatário de diretório, clique em Aplicativos no menu superior e,em seguida, clique no aplicativo que deseja configurar. A página de início rápido será exibida com o logon único e outras informações de configuração.

  2. Clique em Configurar no menu principal para ver uma lista de propriedades do aplicativo. Você verá uma lista de suas chaves.

  3. Em Chaves, clique no menu suspenso que diz Selecionar duração escolha 1 ou 2 anos e, em seguida, clique em Salvar na barra de comandos. Isso gera uma nova chave de senha para seu aplicativo. Copie essa nova chave de senha. Neste ponto, tanto a chave existente como a chave nova podem ser usadas por seu aplicativo para obter um token de acesso do AD do Azure.

  4. Volte ao seu aplicativo e atualize a configuração para começar a usar a nova chave de senha. Consulte Using the Graph API to Query Azure AD para obter um exemplo de onde essa atualização deve ocorrer.

  5. Você deve agora implementar essa alteração em seu ambiente de produção: verifique-a primeiro no nó de um serviço, antes de implantá-la em tudo.

  6. Quando a atualização for concluída em sua implantação de produção, você pode para voltar ao Portal de Gerenciamento do Azure e remover a chave antiga.

Depois de habilitar o acesso de usuários externos ao seu aplicativo, você pode continuar a fazer alterações às propriedades do aplicativo no Portal de Gerenciamento do Azure. No entanto, os clientes que receberam acesso ao seu aplicativo before das alterações efetuadas ao aplicativo não verão essas alterações refletidas quando exibirem os detalhes sobre seu aplicativo no Portal de Gerenciamento de aplicativo. Depois que o aplicativo é disponibilizado aos clientes, você precisa ter muito cuidado ao fazer determinadas alterações. Por exemplo, se atualizar o App ID URI, os clientes existentes que tinham acesso antes dessa alteração não poderão fazer logon no seu aplicativo usando suas contas da empresa ou escola.

Se fizer uma alteração a RequestedPermissions para solicitar um maior nível de acesso, os clientes existentes usando a funcionalidade do aplicativo que utiliza agora novas chamadas de API usando esse nível maior acesso podem obter uma resposta de acesso negado da Graph API. Seu aplicativo deve lidar com esses casos. Peça ao cliente para conceder acesso ao seu aplicativo com um nível de maior de acesso.

Esta seção descreve como remover um aplicativo de seu diretório para aplicativos de locatário único e multilocatário.

  1. Entre no Portal de Gerenciamento do Azure.

  2. Clique no ícone do Active Directory no menu à esquerda e, em seguida, clique no diretório desejado.

  3. No menu superior, clique em Aplicativos e, em seguida, clique no aplicativo que deseja configurar. A página de início rápido será exibida com o logon único e outras informações de configuração.

  4. Clique no botão Excluir na barra de comandos.

  5. Clique em Sim na mensagem de confirmação.

  1. Entre no Portal de Gerenciamento do Azure.

  2. Clique no ícone do Active Directory no menu à esquerda e, em seguida, clique no diretório desejado.

  3. No menu superior, clique em Aplicativos e, em seguida, clique no aplicativo que deseja configurar. A página de início rápido será exibida com o logon único e outras informações de configuração.

  4. NA seção O aplicativo é multilocatário, clique em Não. Isso converte o aplicativo em um locatário único, mas o aplicativo ainda permanecerá em uma organização cujo consentimento já foi dado.

  5. Clique no botão Excluir na barra de comandos.

  6. Clique em Sim na mensagem de confirmação.

Para um administrador da empresa remover o acesso de um aplicativo ao seu diretório (depois de ter sido concedido o consentimento), o administrador da empresa deve ter uma assinatura do Azure para remover o acesso por meio do Portal de Gerenciamento do Azure. Como alternativa, o administrador da empresa pode usar os Cmdlets do PowerShell do AD do Azure para remover o acesso.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft