entra-app-registration

Descripción general

Qué hace esta skill

La skill entra-app-registration proporciona una guía paso a paso, orientada a desarrolladores, para configurar los registros de aplicaciones de Microsoft Entra ID (antes Azure Active Directory). Te acompaña a través de:

• Crear registros de aplicaciones en Microsoft Entra ID
• Entender conceptos clave de identidad (tenant, client ID, redirect URI, service principal)
• Elegir y configurar flujos OAuth 2.0
• Agregar y administrar permisos de API (delegados vs de aplicación)
• Configurar secretos o certificados y service principals
• Integrar MSAL y Azure Identity SDKs en varios lenguajes
• Solucionar errores frecuentes de autenticación y configuración

El contenido procede de la carpeta skills/entra-app-registration del repositorio microsoft/azure-skills, incluyendo guías específicas como references/first-app-registration.md, references/oauth-flows.md, references/api-permissions.md y references/console-app-example.md.

Para quién es entra-app-registration

Usa esta skill si eres:

• Un desarrollador backend o de APIs que protege una API web o servicio con Microsoft Entra ID
• Un desarrollador que crea aplicaciones web, SPA, de escritorio o de consola que deben iniciar sesión a usuarios o llamar a Microsoft Graph o APIs personalizadas
• Un ingeniero de DevOps o de plataforma que necesita patrones repetibles para registro de aplicaciones y permisos
• Un equipo que quiere tener documentadas las mejores prácticas para autenticación en Entra ID y permisos de API

Es especialmente útil cuando estás:

• Creando tu primer registro de aplicación en Microsoft Entra
• Migrando desde la guía heredada de Azure AD a la plataforma de identidad de Microsoft
• Decidiendo entre permisos delegados o de aplicación
• Eligiendo un flujo OAuth 2.0 según el tipo de aplicación
• Conectando MSAL en una aplicación de consola o backend

Cuándo esta skill no es la más adecuada

entra-app-registration se centra en identidad y registro de aplicaciones, no en seguridad general de Azure ni en la administración de recursos.

No uses esta skill como referencia principal si lo que más necesitas es:

• Control de acceso basado en roles de Azure para recursos de Azure → usa la skill azure-rbac
• Ciclo de vida y auditoría de expiración de secretos en Key Vault → usa la skill azure-keyvault-expiration-audit
• Recomendaciones de postura de seguridad o políticas más amplias para recursos de Azure → usa la skill azure-security

Aun así, puedes combinar entra-app-registration con esas skills cuando tu escenario cubra tanto identidad como autorización a nivel de recursos.

Capacidades clave de un vistazo

Dentro de la skill encontrarás guías que te ayudan a:

• Entender los bloques básicos del registro de aplicaciones (a partir de SKILL.md y references/first-app-registration.md)
• Configurar flujos OAuth 2.0, incluyendo authorization code y client credentials (references/oauth-flows.md)
• Planear y asignar permisos de API para Microsoft Graph y APIs personalizadas (references/api-permissions.md)
• Seguir las mejores prácticas de autenticación de Azure, incluyendo el uso de managed identities y credenciales recomendadas (references/auth-best-practices.md)
• Usar Azure CLI para automatizar la creación y actualización de registros de aplicaciones (references/cli-commands.md)
• Implementar aplicaciones de consola basadas en MSAL en C#, Python y Node.js (references/console-app-example.md)
• Integrar Azure Identity SDKs para .NET, Java, Python, Rust y TypeScript (references/sdk/*.md)
• Diagnosticar problemas con redirect URI, tokens y consentimientos (references/troubleshooting.md)

Esto convierte a entra-app-registration en una opción práctica para trabajos de control de acceso, desarrollo de APIs y desarrollo backend que dependan de Microsoft Entra ID.

Cómo usarla

Cómo instalar la skill entra-app-registration

Para agregar la skill entra-app-registration desde el repositorio microsoft/azure-skills a un entorno de agente compatible, ejecuta:

npx skills add https://github.com/microsoft/azure-skills --skill entra-app-registration

Esto pone la documentación de la skill (incluyendo SKILL.md y la carpeta references/) a disposición de tu agente, de modo que pueda responder preguntas detalladas sobre registro de aplicaciones en Microsoft Entra, flujos OAuth y permisos.

Si tu plataforma ofrece una interfaz gráfica para skills, también puedes:

1. Buscar "entra-app-registration" en el catálogo de skills.
2. Confirmar que la fuente de GitHub es microsoft/azure-skills.
3. Hacer clic en Add o Enable para adjuntarla a tu espacio de trabajo o proyecto.

Orden de lectura recomendado

Después de la instalación, abre la vista de Archivos o Fuentes para esta skill y explora en este orden:

1. SKILL.md – Visión general, qué cubre la skill y cuándo usarla o no usarla.
2. references/first-app-registration.md – Un tutorial concreto, paso a paso, para crear tu primer registro de aplicación de Microsoft Entra en el portal de Azure.
3. references/oauth-flows.md – Explicaciones y diagramas de los flujos OAuth 2.0 que admite Microsoft Entra ID, con notas de implementación.
4. references/api-permissions.md – Cómo elegir y configurar permisos delegados vs de aplicación, formatos de scope y permisos habituales de Graph.
5. references/auth-best-practices.md – Cómo elegir el tipo de credencial adecuado por entorno (managed identity, certificados, DefaultAzureCredential para local, etc.).
6. references/cli-commands.md – Comandos de Azure CLI para crear y administrar registros de aplicaciones desde scripts o CI/CD.
7. references/console-app-example.md – Ejemplos completos de aplicaciones de consola que se autentican con Microsoft Entra ID usando MSAL.
8. references/sdk/*.md – Guías de integración específicas por lenguaje usando Azure Identity y SDKs relacionados.
9. references/troubleshooting.md – Consulta aquí cuando veas errores AADSTS, problemas de consentimiento o discrepancias en redirect URI.

Esta secuencia te ayuda a avanzar desde la comprensión conceptual, pasando por la configuración en el portal, hasta flujos automatizados e integración a nivel de código.

Flujos de trabajo típicos que soporta esta skill

1. Registrar tu primera aplicación de Microsoft Entra

Úsalo cuando estés empezando con Entra ID o creando una nueva aplicación:

• Sigue references/first-app-registration.md para:
  • Abrir el portal de Azure y navegar a Microsoft Entra ID → App registrations
  • Crear un nuevo registro con los tipos de cuenta compatibles correctos
  • Configurar redirect URIs según se trate de una aplicación web, SPA o cliente nativo
  • Definir opciones de autenticación y configuraciones de plataforma
  • Agregar los permisos de API necesarios (por ejemplo, Microsoft Graph User.Read)
  • Crear credenciales de cliente (secretos o certificados) cuando sea necesario
  • Probar el flujo de autenticación en tu aplicación

La estructura paso a paso de la skill reduce los errores habituales relacionados con redirect URIs, selección de tenant y elección de tipos de cuenta.

2. Elegir el flujo OAuth 2.0 adecuado

Úsalo cuando no tengas claro qué flujo de autenticación implementar para una nueva aplicación:

• Abre references/oauth-flows.md para comparar flujos como:
  • Authorization code flow para aplicaciones web y servicios con secretos del lado servidor
  • Client credentials flow para aplicaciones daemon y servicios en segundo plano
  • Otros flujos admitidos tal como se ilustran en la guía
• Cada sección de flujo describe:
  • Una secuencia numerada de interacciones entre usuario, app, Microsoft Entra ID y APIs
  • Parámetros importantes como client_id, tenant, redirect_uri y scope
  • Los casos de uso recomendados para ese flujo

Consultando esta guía podrás alinear tu tipo de aplicación (web, SPA, daemon, consola) con el flujo OAuth adecuado e implementarlo de forma segura.

3. Configurar permisos delegados vs de aplicación

Úsalo cuando tu aplicación deba llamar a Microsoft Graph o a una API personalizada:

• Abre references/api-permissions.md para:
  • Entender las delegated permissions (contexto de usuario) frente a las application permissions (contexto solo de la app)
  • Decidir cuándo es apropiado el consentimiento del usuario y cuándo se requiere consentimiento de administrador
  • Conocer el formato de los scopes, incluyendo scopes de Graph como https://graph.microsoft.com/User.Read y scopes de APIs personalizadas como api://myapi-id/access_as_user
  • Ver cómo funcionan los scopes .default para client credentials y escenarios de migración
• Usa estas indicaciones para:
  • Configurar los permisos de API en el registro de la aplicación
  • Solicitar los scopes correctos desde el código de tu aplicación
  • Evitar permisos excesivos y solicitudes de consentimiento de administrador innecesarias

4. Automatizar el registro de aplicaciones con Azure CLI

Úsalo cuando quieras scriptar o automatizar el registro de aplicaciones en lugar de usar el portal:

• Abre references/cli-commands.md para ver:
  • Requisitos previos de CLI (instalación de az y az login)
  • Comandos de ejemplo para crear registros de aplicaciones para:
    • Aplicaciones web con redirect URIs
    • Single Page Applications (SPA) con redirect URIs para SPA
    • Aplicaciones cliente públicas (escritorio/móvil)
    • Aplicaciones multi-tenant con diferentes configuraciones de audiencia de inicio de sesión
  • Fragmentos de comandos para actualizar redirect URIs y otras configuraciones

Estos ejemplos se pueden adaptar a scripts de shell o pipelines de CI/CD para garantizar configuraciones coherentes de registros de aplicaciones en todos los entornos.

5. Implementar MSAL en una aplicación de consola o backend

Úsalo cuando necesites código funcional para autenticar y obtener tokens:

• Abre references/console-app-example.md para:
  • Crear un nuevo proyecto de consola (por ejemplo, dotnet new console)
  • Instalar los paquetes de MSAL (por ejemplo, Microsoft.Identity.Client para .NET)
  • Usar programas de ejemplo completos que:
    • Configuran ClientId, TenantId y Scopes
    • Construyen una instancia de aplicación cliente pública
    • Adquieren tokens de forma interactiva o silenciosa desde la caché
    • Gestionan errores e imprimen los resultados de los tokens

Puedes copiar estos ejemplos en tu propio proyecto y sustituir los valores de ejemplo por los datos de tu registro de aplicación.

6. Usar Azure Identity SDKs en varios lenguajes

Úsalo cuando quieras utilizar las bibliotecas Azure Identity en lugar de llamar directamente a MSAL:

• Abre el archivo correspondiente a tu lenguaje en references/sdk/, por ejemplo:
  • azure-identity-dotnet.md
  • azure-identity-java.md
  • azure-identity-py.md
  • azure-identity-rust.md
  • azure-identity-ts.md
• Estas guías se alinean con references/auth-best-practices.md y explican cómo:
  • Usar DefaultAzureCredential para desarrollo local
  • Priorizar ManagedIdentityCredential o workload identity en producción
  • Configurar credenciales basadas en entorno cuando sea adecuado

Esto te ayuda a integrar los registros de aplicación con los patrones modernos de autenticación de los SDKs de Azure.

7. Solucionar problemas comunes de autenticación

Úsalo cuando encuentres errores típicos de Microsoft Entra ID:

• Abre references/troubleshooting.md para diagnosticar problemas como:
  • Incompatibilidades de redirect URI (por ejemplo, AADSTS50011)
  • Secretos de cliente no válidos o expirados
  • Errores de permisos y consentimiento al llamar a APIs
  • Problemas de validación de tokens y configuración
• La guía incluye:
  • Ejemplos de mensajes de error
  • Explicaciones de la causa raíz
  • Acciones concretas, incluyendo pasos en el portal de Azure y comandos de Azure CLI

Esto puede ahorrarte tiempo al depurar fallos de autenticación y autorización en desarrollo o producción.

Mejores prácticas y encaje con otras skills

En references/auth-best-practices.md, la skill enfatiza:

• Usar managed identities junto con Azure RBAC para cargas de trabajo de producción alojadas en Azure
• Usar DefaultAzureCredential principalmente para desarrollo local, no para producción
• Elegir credenciales específicas (como ManagedIdentityCredential, ClientCertificateCredential o workload identity) según el entorno, para lograr previsibilidad y buen rendimiento

Combina entra-app-registration con:

• azure-rbac cuando necesites autorizar el acceso a recursos de Azure una vez que tu identidad esté configurada
• azure-keyvault-expiration-audit cuando necesites administrar y auditar secretos de credenciales de cliente almacenados en Key Vault
• azure-security para una postura de seguridad, políticas y cumplimiento más amplios

Preguntas frecuentes (FAQ)

¿Qué problemas resuelve entra-app-registration?

entra-app-registration resuelve los problemas prácticos de configuración inicial que surgen al trabajar por primera vez con registros de aplicaciones en Microsoft Entra ID. Ofrece una guía estructurada sobre cómo:

• Crear correctamente un registro de aplicación en el portal o vía CLI
• Elegir tipos de cuenta y flujos OAuth adecuados para tu aplicación
• Configurar redirect URIs, secretos, certificados y service principals
• Agregar los permisos y scopes de API correctos para Microsoft Graph o APIs personalizadas
• Integrar MSAL y Azure Identity en aplicaciones reales
• Solucionar códigos de error y configuraciones incorrectas habituales

¿Cómo instalo la skill entra-app-registration?

Instalas la skill desde el repositorio microsoft/azure-skills. En un entorno compatible, ejecuta:

npx skills add https://github.com/microsoft/azure-skills --skill entra-app-registration

Tras la instalación, los archivos de la skill (incluyendo SKILL.md y el directorio references/) quedan disponibles para tu agente, permitiéndole responder preguntas sobre registro de aplicaciones y autenticación en Microsoft Entra.

¿Qué archivos debería revisar primero después de instalarla?

Empieza por:

• SKILL.md – para entender el alcance general y las recomendaciones
• references/first-app-registration.md – para una configuración paso a paso basada en el portal
• references/oauth-flows.md – para entender el flujo OAuth 2.0 correcto para tu escenario
• references/api-permissions.md – para elegir y configurar permisos de API

Luego, según tus necesidades, continúa con references/cli-commands.md para automatización, references/console-app-example.md para código de ejemplo y references/troubleshooting.md para resolver errores.

¿Esta skill ayuda con Azure RBAC o roles de recursos?

Solo de forma indirecta. entra-app-registration se centra en identidad de aplicaciones, flujos OAuth y permisos de API. No cubre en profundidad las asignaciones de roles de recursos de Azure ni la configuración de RBAC. Para eso, deberías complementarla con la skill azure-rbac.

¿Puedo usar entra-app-registration con nubes que no sean de Microsoft?

La skill está específicamente orientada a Microsoft Entra ID y a la plataforma de identidad de Microsoft. Aunque los conceptos de OAuth 2.0 son generales, los pasos de configuración, comandos y ejemplos están diseñados para tenants de Azure y Microsoft Entra ID.

¿Incluye código para varios lenguajes?

Sí. references/console-app-example.md proporciona ejemplos de aplicaciones de consola en C#, Python y Node.js usando MSAL. Además, la carpeta references/sdk/ contiene documentos específicos por lenguaje para las bibliotecas Azure Identity en .NET, Java, Python, Rust y TypeScript.

¿Cómo se relaciona esta skill con el uso de Azure Key Vault?

entra-app-registration trata sobre buenas prácticas de autenticación y puede mencionar el almacenamiento seguro de secretos, pero no cubre de forma completa el ciclo de vida de secretos en Key Vault. Para auditar expiraciones y gestionar secretos de Key Vault en profundidad, utiliza la skill azure-keyvault-expiration-audit junto con esta.

¿Qué pasa si ya tengo registros de aplicaciones pero están mal configurados?

Puedes usar references/troubleshooting.md para diagnosticar errores y luego:

• Comparar la configuración actual de tu registro de aplicación con los patrones de references/first-app-registration.md y references/oauth-flows.md
• Corregir redirect URIs, permisos y secretos según la guía
• Validar tu código frente a los ejemplos de references/console-app-example.md y los documentos de los SDK

La skill es útil tanto para configuraciones nuevas como para corregir registros de aplicaciones existentes.

¿Dónde puedo ver todos los documentos disponibles en esta skill?

Abre la pestaña de Archivos o Fuentes de la skill entra-app-registration en tu entorno. Podrás explorar:

• SKILL.md
• La carpeta references/ con guías específicas por tema (permisos de API, flujos OAuth, comandos de CLI, ejemplos de consola, troubleshooting)
• La subcarpeta references/sdk/ con ejemplos de Azure Identity específicos por lenguaje

Explorar esta estructura te ofrece una visión completa de todas las guías incluidas en la skill.