- Área de tecnologia principal: Security | Identity & Access
- Áreas de tecnologia adicionais: Microsoft Azure | Application PaaS
- Dados do autor: https://linktr.ee/edupopov
Importante: As figuras abaixo foram anonimizadas.
O App Registration é, basicamente, a identidade da aplicação dentro do Microsoft Entra ID. É ele que permite que um sistema “se apresente” para a Microsoft dizendo quem é, de onde vem e o que pode acessar. Sem esse registro, a aplicação fica como um visitante sem credencial tentando entrar em um ambiente corporativo — simplesmente não passa da porta. Com o App Registration, a aplicação ganha um Client ID, permissões bem definidas e uma forma segura de autenticação, seja com usuário ou de forma automática, sem interação humana.
Em um portal de Power BI Embedded de um parceiro, por exemplo, o App Registration é peça-chave que autoriza o portal a se comunicar com o Power BI Service e renderizar relatórios e dashboards embutidos na aplicação, sem precisar que o usuário final tenha uma conta Power BI.
Nesse cenário, o App Registration funciona como uma “conta de serviço”, autenticando o backend do portal e garantindo que apenas os dados corretos sejam exibidos, respeitando as regras de segurança e acesso definidas.
Como exemplo tangível, imagine um ambiente com o PowerBI Embedded. Essa estrutura pode ser orquestrada por um portal de serviços criado em formato de um plano de serviço de aplicativos (o protal que faz a governança dos dashs). Imagine que você montou a infra do Power BI Embedded e criou um portal para fazer a governança e agora precisa definir as permissões desse portal dentro da empresa.
Para saber mais sobre o PowerBI Embedded, segue a documentação oficial:
- Ref1: https://learn.microsoft.com/pt-br/power-bi/developer/embedded/
- Ref2: https://learn.microsoft.com/pt-br/rest/api/power-bi-embedded/
Sendo mais direto, para que server o App Registration?
Olhando para o mundo real, o App Registration é necessário sempre que uma aplicação precisa se autenticar de forma controlada no Entra ID e acessar serviços como Microsoft Graph, Power BI, SharePoint ou APIs próprias, sem depender apenas da sessão direta do usuário. Em vez de confiar só no login tradicional, você registra o aplicativo para que ele tenha uma identidade própria, com permissões bem definidas e previsíveis. Isso é muito comum em portais, APIs, automações, integrações com parceiros e cenários como Power BI Embedded, onde quem consome o relatório não é, necessariamente, um usuário com conta no Power BI.
Um exemplo clássico de necessidade do App Registration aparece quando o usuário possui muitos grupos no Entra ID. Se a aplicação não estiver bem configurada, esses grupos são enviados automaticamente no token ou no cookie de autenticação, que pode ficar grande demais e causar falhas de login, erros de autenticação ou comportamento instável no navegador. Ao usar um App Registration, é possível controlar exatamente quais grupos ou roles serão enviados no token, reduzir o tamanho do cookie e melhorar desempenho, segurança e estabilidade da aplicação — especialmente em portais corporativos ou de parceiros que precisam escalar com confiabilidade.
Vamos melhorar o cenário, entenda que tudo isso (o potal que você criou) roda hospedado em um Azure App Service no formato de serviço de aplicativo, utilizando um SKU Standard (S1), que permite o escalonamento vertical conforme a demanda do portal cresce. A figura abaixo mostra o portal onde registramos o App dentro da organização.
À medida que mais usuários acessam os relatórios embedded, o App Service ganha mais CPU e memória com o upgrade de SKU, enquanto o App Registration continua sendo o ponto central da segurança, garantindo que a aplicação escale com desempenho, mas sem abrir mão do controle e da confiabilidade no acesso ao Power BI Embedded.
Visão geral da tela (lado esquerdo)
No caminho Página inicial > Registros de aplicativo > PowerBIEmbedded > Configuração do token, estamos configurando as chamadas Declarações opcionais. Essas declarações são informações extras que podem ser adicionadas ao token, como grupos, funções (roles) e outros atributos do usuário ou da aplicação. No contexto de Power BI Embedded, isso é muito útil para controle de acesso baseado em grupos ou roles, permitindo filtrar ou restringir dados conforme o perfil do consumidor do relatório.
Edição da declaração de grupos (painel da direita)
No painel “Editar a declaração de grupos”, você define quais grupos serão enviados dentro do token. A opção marcada “Grupos atribuídos ao aplicativo” é uma boa prática para ambientes corporativos e portais de parceiros, pois garante que apenas os grupos explicitamente associados ao App Registration sejam incluídos no token. Isso evita problemas de estouro de limite de grupos no token, melhora a segurança e reduz o tamanho do payload — algo essencial em aplicações web e APIs.
Formato dos grupos nos tokens (ID, Acesso e SAML)
Na parte “Personalizar as propriedades de token por tipo”, você escolhe como os grupos serão representados em cada tipo de token:
- ID do Grupo está selecionado, o que é o formato mais comum e recomendado para integrações com backend e Power BI Embedded.
- A opção “Emitir grupos como declarações de função” transforma os grupos em roles, facilitando o controle de autorização no código da aplicação.
- Essas configurações são aplicadas de forma consistente para ID Token, Access Token e SAML, garantindo que o portal consiga validar permissões corretamente, independentemente do fluxo de autenticação.
Contexto prático no Power BI Embedded
No seu cenário, esse App Registration está ligado a um portal de parceiro hospedado em um Azure App Service (SKU Standard S1, com escala vertical). Quando o portal gera o token para consumir o Power BI Embedded, o Entra ID inclui no token apenas os grupos relevantes, permitindo que o backend:
- Decida quais relatórios ou dashboards podem ser exibidos
- Aplique Row-Level Security (RLS) ou lógicas de autorização
- Mantenha performance e segurança mesmo com aumento de carga vertical no App Service
Em resumo, essa tela é onde você “ensina” o Entra ID quais informações de identidade e autorização o portal precisa carregar dentro do token para funcionar corretamente com o Power BI Embedded.