entra-app-registration

Visão geral

O que esta skill faz

A skill entra-app-registration oferece orientação passo a passo, focada em desenvolvedores, para configurar registros de aplicativos no Microsoft Entra ID (anteriormente Azure Active Directory). Ela orienta você em:

• Criar registros de aplicativo no Microsoft Entra ID
• Entender conceitos-chave de identidade (tenant, client ID, redirect URI, service principal)
• Escolher e configurar fluxos OAuth 2.0
• Adicionar e gerenciar permissões de API (delegated vs application)
• Configurar segredos ou certificados e service principals
• Integrar MSAL e Azure Identity SDKs em várias linguagens
• Solucionar erros comuns de autenticação e configuração

O conteúdo vem da pasta skills/entra-app-registration no repositório microsoft/azure-skills, incluindo guias dedicados como references/first-app-registration.md, references/oauth-flows.md, references/api-permissions.md e references/console-app-example.md.

Quem deve usar entra-app-registration

Use esta skill se você é:

• Um desenvolvedor de backend ou APIs protegendo uma web API ou serviço com Microsoft Entra ID
• Um desenvolvedor criando apps web, SPA, desktop ou console que precisam autenticar usuários ou chamar o Microsoft Graph ou APIs personalizadas
• Um profissional de DevOps ou de plataforma que precisa de padrões reproduzíveis para registro de apps e permissões
• Uma equipe que quer práticas recomendadas documentadas para autenticação no Entra ID e permissões de API

Ela é especialmente útil quando você está:

• Criando seu primeiro registro de aplicativo no Microsoft Entra
• Migrando de orientações legadas do Azure AD para a Microsoft identity platform
• Decidindo entre permissões delegated vs application
• Escolhendo um fluxo OAuth 2.0 adequado ao tipo do seu app
• Conectando o MSAL em um aplicativo de console ou backend

Quando esta skill não é adequada

A entra-app-registration é focada em identidade e registro de aplicativos, não em segurança geral do Azure ou gerenciamento de recursos.

Não use esta skill como referência principal se você precisa principalmente de:

• Controle de acesso baseado em função (RBAC) para recursos do Azure → use a skill azure-rbac
• Ciclo de vida de segredos no Key Vault e auditoria de expiração → use a skill azure-keyvault-expiration-audit
• Orientações amplas sobre postura de segurança de recursos do Azure ou políticas → use a skill azure-security

Você ainda pode combinar entra-app-registration com essas skills quando o cenário envolver identidade e autorização em nível de recurso.

Principais capacidades em resumo

Dentro da skill, você encontrará guias que ajudam a:

• Entender os blocos de construção de um registro de app (a partir de SKILL.md e references/first-app-registration.md)
• Configurar fluxos OAuth 2.0, incluindo authorization code e client credentials (references/oauth-flows.md)
• Planejar e atribuir permissões de API para Microsoft Graph e APIs personalizadas (references/api-permissions.md)
• Seguir as práticas recomendadas de autenticação do Azure, incluindo uso de managed identities e credenciais recomendadas (references/auth-best-practices.md)
• Usar Azure CLI para automatizar criação e atualização de registros de app (references/cli-commands.md)
• Implementar aplicativos de console baseados em MSAL em C#, Python e Node.js (references/console-app-example.md)
• Integrar com Azure Identity SDKs para .NET, Java, Python, Rust e TypeScript (references/sdk/*.md)
• Diagnosticar problemas de redirect URI, token e consentimento (references/troubleshooting.md)

Isso torna a entra-app-registration uma opção prática para trabalhos de controle de acesso, desenvolvimento de APIs e desenvolvimento backend que dependem do Microsoft Entra ID.

Como usar

Instalando a skill entra-app-registration

Para adicionar a skill entra-app-registration do repositório microsoft/azure-skills a um ambiente de agente compatível, execute:

npx skills add https://github.com/microsoft/azure-skills --skill entra-app-registration

Isso torna a documentação da skill (incluindo SKILL.md e a pasta references/) disponível para o seu agente, para que ele possa responder a perguntas detalhadas sobre registro de apps no Microsoft Entra, fluxos OAuth e permissões.

Se a sua plataforma oferecer uma interface visual para skills, você também pode:

1. Pesquisar por "entra-app-registration" no catálogo de skills.
2. Confirmar que a origem no GitHub é microsoft/azure-skills.
3. Clicar em Add ou Enable para anexar a skill ao seu workspace ou projeto.

Ordem de leitura recomendada

Após a instalação, abra a visualização de Files ou Sources desta skill e explore na seguinte ordem:

1. SKILL.md – Visão geral de alto nível, escopo da skill e orientações de quando usar ou não usar.
2. references/first-app-registration.md – Tutorial concreto, passo a passo, para criar seu primeiro registro de app do Microsoft Entra no portal do Azure.
3. references/oauth-flows.md – Explicações e diagramas dos fluxos OAuth 2.0 suportados pelo Microsoft Entra ID, com notas de implementação.
4. references/api-permissions.md – Como escolher e configurar permissões delegated vs application, formatos de escopo e permissões comuns do Graph.
5. references/auth-best-practices.md – Como escolher o tipo de credencial certo por ambiente (managed identity, certificados, DefaultAzureCredential para local etc.).
6. references/cli-commands.md – Comandos Azure CLI para criar e gerenciar registros de app em scripts ou pipelines de CI/CD.
7. references/console-app-example.md – Exemplos completos de aplicativos de console que autenticam com Microsoft Entra ID usando MSAL.
8. references/sdk/*.md – Guias de integração específicos por linguagem usando Azure Identity e SDKs relacionados.
9. references/troubleshooting.md – Consulte aqui quando encontrar erros AADSTS, problemas de consentimento ou incompatibilidades de redirect URI.

Essa sequência ajuda você a sair da teoria, passar pela configuração via portal e chegar a fluxos automatizados e integração em código.

Fluxos típicos que esta skill suporta

1. Registrando seu primeiro app no Microsoft Entra

Use quando você está começando com Entra ID ou criando um novo app:

• Siga references/first-app-registration.md para:
  • Abrir o portal do Azure e navegar até Microsoft Entra ID → App registrations
  • Criar um novo registro com os tipos de contas corretos
  • Configurar redirect URIs dependendo se você tem um app web, SPA ou cliente nativo
  • Definir opções de autenticação e configurações de plataforma
  • Adicionar as permissões de API necessárias (por exemplo, Microsoft Graph User.Read)
  • Criar credenciais de cliente (segredos ou certificados), quando necessário
  • Testar o fluxo de autenticação no seu aplicativo

A estrutura passo a passo da skill reduz erros comuns relacionados a redirect URIs, seleção de tenant e escolha do tipo de conta.

2. Escolhendo o fluxo OAuth 2.0 correto

Use quando você não tem certeza de qual fluxo de autenticação implementar para um novo app:

• Abra references/oauth-flows.md para comparar fluxos como:
  • Authorization code flow para apps web e serviços com segredos no servidor
  • Client credentials flow para apps daemon e serviços em segundo plano
  • Outros fluxos suportados, conforme ilustrado no guia
• Cada seção de fluxo descreve:
  • Uma sequência numerada das interações entre usuário, app, Microsoft Entra ID e APIs
  • Parâmetros importantes como client_id, tenant, redirect_uri e scope
  • Os casos de uso recomendados para aquele fluxo

Consultando esse guia, você consegue alinhar o tipo do seu app (web, SPA, daemon, console) com o fluxo OAuth adequado e implementá-lo com segurança.

3. Configurando permissões delegated vs application

Use quando seu app precisa chamar o Microsoft Graph ou uma API personalizada:

• Abra references/api-permissions.md para:
  • Entender delegated permissions (contexto de usuário) vs application permissions (contexto somente do app)
  • Decidir quando o consentimento do usuário é adequado vs quando é necessário consentimento de administrador
  • Aprender o formato de escopo, incluindo escopos do Graph como https://graph.microsoft.com/User.Read e escopos de APIs personalizadas como api://myapi-id/access_as_user
  • Ver como escopos .default funcionam para client credentials e cenários de migração
• Use essas orientações para:
  • Configurar permissões de API no registro do app
  • Solicitar os escopos corretos a partir do código do seu aplicativo
  • Evitar permissões excessivas e pedidos de consentimento de administrador desnecessários

4. Automatizando registro de apps com Azure CLI

Use quando você quer scriptar ou automatizar o registro de apps em vez de usar o portal:

• Abra references/cli-commands.md para:
  • Pré-requisitos de CLI (instalação do az e az login)
  • Comandos de exemplo para criar registros de app para:
    • Aplicativos web com redirect URIs
    • Single Page Applications (SPA) com redirect URIs de SPA
    • Apps de cliente público (desktop/mobile)
    • Apps multi-tenant com diferentes configurações de sign-in audience
  • Trechos de comando para atualizar redirect URIs e outras configurações

Esses exemplos podem ser adaptados em shell scripts ou pipelines de CI/CD para garantir configurações consistentes de registro de app em todos os ambientes.

5. Implementando MSAL em um app de console ou backend

Use quando você precisa de código funcionando para autenticar e obter tokens:

• Abra references/console-app-example.md para:
  • Criar um novo projeto de console (por exemplo, dotnet new console)
  • Instalar os pacotes MSAL (por exemplo, Microsoft.Identity.Client para .NET)
  • Usar programas de exemplo completos que:
    • Configuram ClientId, TenantId e Scopes
    • Criam uma instância de public client application
    • Adquirem tokens de forma interativa ou silenciosa a partir do cache
    • Tratam erros e exibem o resultado do token

Você pode copiar esses exemplos para o seu projeto e substituir os valores de placeholder pelos detalhes do seu registro de app.

6. Usando Azure Identity SDKs em várias linguagens

Use quando você quer usar as bibliotecas Azure Identity em vez de chamar o MSAL diretamente:

• Abra o arquivo da linguagem relevante em references/sdk/, por exemplo:
  • azure-identity-dotnet.md
  • azure-identity-java.md
  • azure-identity-py.md
  • azure-identity-rust.md
  • azure-identity-ts.md
• Esses guias se alinham com references/auth-best-practices.md e explicam como:
  • Usar DefaultAzureCredential para desenvolvimento local
  • Preferir ManagedIdentityCredential ou workload identity em produção
  • Configurar credenciais baseadas em ambiente quando apropriado

Isso ajuda a integrar registros de app com padrões modernos de autenticação dos Azure SDKs.

7. Solucionando problemas comuns de autenticação

Use quando você encontrar erros típicos do Microsoft Entra ID:

• Abra references/troubleshooting.md para diagnosticar problemas como:
  • Incompatibilidades de redirect URI (por exemplo, AADSTS50011)
  • Segredos de cliente inválidos ou expirados
  • Erros de permissão e consentimento ao chamar APIs
  • Problemas de validação de token e configuração
• O guia inclui:
  • Exemplos de mensagens de erro
  • Explicações de causa raiz
  • Ações concretas, incluindo passos no portal do Azure e comandos Azure CLI

Isso pode economizar tempo ao depurar falhas de autenticação e autorização em desenvolvimento ou produção.

Boas práticas e encaixe com outras skills

No arquivo references/auth-best-practices.md, a skill enfatiza:

• Uso de managed identities em conjunto com Azure RBAC para workloads de produção hospedados no Azure
• Uso de DefaultAzureCredential principalmente para desenvolvimento local, não para produção
• Escolha de credenciais específicas (como ManagedIdentityCredential, ClientCertificateCredential ou workload identity) por ambiente, visando previsibilidade e desempenho

Combine entra-app-registration com:

• azure-rbac quando você precisar autorizar acesso a recursos do Azure depois que a identidade estiver configurada
• azure-keyvault-expiration-audit quando você precisar gerenciar e auditar segredos para credenciais de cliente armazenadas no Key Vault
• azure-security para postura de segurança mais ampla, políticas e compliance

FAQ

Que problemas a entra-app-registration resolve?

A entra-app-registration resolve questões práticas de configuração e setup que surgem quando você começa a trabalhar com registros de aplicativo no Microsoft Entra ID. Ela oferece orientação estruturada sobre como:

• Criar um registro de app corretamente no portal ou via CLI
• Escolher tipos de conta e fluxos OAuth adequados ao seu app
• Configurar redirect URIs, segredos, certificados e service principals
• Adicionar as permissões e escopos de API corretos para Microsoft Graph ou APIs personalizadas
• Integrar MSAL e Azure Identity em aplicativos reais
• Solucionar códigos de erro comuns e configurações incorretas

Como instalo a skill entra-app-registration?

Você instala a skill a partir do repositório microsoft/azure-skills. Em um ambiente compatível, execute:

npx skills add https://github.com/microsoft/azure-skills --skill entra-app-registration

Após a instalação, os arquivos da skill (incluindo SKILL.md e o diretório references/) ficam disponíveis para o seu agente, permitindo que ele responda a perguntas sobre registro de apps e autenticação no Microsoft Entra.

Quais arquivos devo ver primeiro depois de instalar?

Comece por:

• SKILL.md – para entender o escopo geral e as orientações
• references/first-app-registration.md – para um passo a passo de configuração pelo portal
• references/oauth-flows.md – para entender o fluxo OAuth 2.0 correto para o seu cenário
• references/api-permissions.md – para escolher e configurar permissões de API

Depois, conforme a necessidade, siga para references/cli-commands.md para automação, references/console-app-example.md para código de exemplo e references/troubleshooting.md para resolução de erros.

Esta skill ajuda com Azure RBAC ou funções de recurso?

Somente de forma indireta. A entra-app-registration é focada em identidade de aplicativo, fluxos OAuth e permissões de API. Ela não cobre em profundidade atribuições de função de recursos do Azure ou configuração de RBAC. Para isso, use em conjunto a skill azure-rbac.

Posso usar entra-app-registration com nuvens que não são da Microsoft?

A skill é especificamente sobre Microsoft Entra ID e a Microsoft identity platform. Embora os conceitos de OAuth 2.0 sejam gerais, os passos de configuração, comandos e exemplos são direcionados ao Azure e a tenants do Microsoft Entra ID.

Há código em várias linguagens?

Sim. O arquivo references/console-app-example.md traz exemplos de apps de console em C#, Python e Node.js usando MSAL. Além disso, a pasta references/sdk/ contém documentos específicos de linguagem para as bibliotecas Azure Identity em .NET, Java, Python, Rust e TypeScript.

Qual é a relação desta skill com o uso do Azure Key Vault?

A entra-app-registration aborda práticas recomendadas de autenticação e pode mencionar armazenamento seguro de segredos, mas não cobre todo o ciclo de vida de segredos no Key Vault. Para auditoria de expiração e gerenciamento detalhado de segredos no Key Vault, use a skill azure-keyvault-expiration-audit em conjunto com esta.

E se eu já tiver registros de app, mas estiverem mal configurados?

Você pode usar references/troubleshooting.md para diagnosticar erros e, em seguida:

• Comparar as configurações atuais do registro de app com os padrões em references/first-app-registration.md e references/oauth-flows.md
• Corrigir redirect URIs, permissões e segredos conforme orientado
• Validar o seu código usando os exemplos de references/console-app-example.md e os documentos de SDK

A skill é útil tanto para cenários novos (greenfield) quanto para corrigir configurações existentes.

Onde consigo ver todos os documentos disponíveis nesta skill?

Abra a aba Files ou Sources da skill entra-app-registration no seu ambiente. Lá você pode explorar:

• SKILL.md
• A pasta references/ com guias por tópico (permissões de API, fluxos OAuth, comandos CLI, exemplos de console, troubleshooting)
• A subpasta references/sdk/ com exemplos de Azure Identity específicos por linguagem

Explorar essa árvore oferece uma visão completa de todas as orientações incluídas na skill.