Autenticação baseada em cabeçalho para logon único com proxy de aplicativo e PingAccess
A Microsoft fez uma parceria com o PingAccess para fornecer mais aplicativos de acesso. O PingAccess fornece outra opção além do logon único baseado em cabeçalhointegrado.
O que é PingAccess para Microsoft Entra ID?
Com o PingAccess para Microsoft Entra ID, você fornece aos usuários acesso e logon único (SSO) aos aplicativos que usam cabeçalhos para autenticação. O proxy de aplicativo trata esses aplicativos como quaisquer outros, usando o Microsoft Entra ID para autenticar o acesso e, a seguir, passam o tráfego por meio do serviço do conector. O PingAccess fica na frente dos aplicativos e converte o token de acesso do Microsoft Entra ID em um cabeçalho. Em seguida, o aplicativo recebe a autenticação no formato que pode ser lido.
Os usuários não perceberão nada diferente quando entrarem para usar os aplicativos corporativos. Os aplicativos podem trabalhar de qualquer lugar e em qualquer dispositivo. Os conectores de rede privada direcionam o tráfego remoto para todos os aplicativos sem considerar o tipo de autenticação. Portanto, eles ainda vão balancear as cargas automaticamente.
Como posso obter acesso?
Você precisa de uma licença para PingAccess e Microsoft Entra ID. No entanto, as assinaturas do Microsoft Entra ID P1 ou P2 incluem uma licença básica do PingAccess que abrange até 20 aplicativos. Se você precisar publicar mais de 20 aplicativos com base em cabeçalho, poderá adquirir mais licenças do PingAccess.
Para obter mais informações, confira Edições do Microsoft Entra.
Publicar seu aplicativo no Microsoft Entra
Este artigo descreve as etapas para publicar um aplicativo pela primeira vez. O artigo fornece diretrizes para o proxy de aplicativo e o PingAccess.
Observação
Algumas das instruções estão no site do Ping Identity.
Instalar um conector de rede privada
O conector de rede privada é um serviço do Windows Server que direciona o tráfego de seus funcionários remotos para seus aplicativos publicados. Para obter instruções mais detalhadas sobre a instalação, confira o Tutorial: adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo no Microsoft Entra ID.
- Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais>Proxy de aplicativo.
- Escolha Baixar o serviço do conector.
- Siga as instruções de instalação.
O download do conector deve habilitar automaticamente o proxy de aplicativo para seu diretório. Se isso não acontecer, selecione Habilitar proxy de aplicativo.
Adicionar seu aplicativo ao Microsoft Entra ID com o proxy de aplicativo
Há duas etapas para adicionar seu aplicativo ao Microsoft Entra ID. Primeiro, você precisa publicar seu aplicativo com o proxy de aplicativo. Depois, colete informações sobre o aplicativo a ser usado durante as etapas do PingAccess.
Publicar seu aplicativo
Primeiro, publique seu aplicativo. Isso envolve:
- Como adicionar seu aplicativo local ao Microsoft Entra ID.
- Atribuir um usuário para testar o aplicativo e escolher o logon único baseado em cabeçalho.
- Configuração da URL de redirecionamento do aplicativo.
- Concessão de permissões para usuários e outros aplicativos usarem seu aplicativo local.
Para publicar seu próprio aplicativo local:
Entre no Centro de administração do Microsoft Entra como um Administrador de Aplicativo.
Navegue até Aplicativos empresariais>Novo aplicativo>Adicionar um aplicativo local. A página Adicionar seu próprio aplicativo local é exibida.
Preencha os campos obrigatórios com informações sobre seu novo aplicativo. Use as diretrizes para as configurações.
Observação
Para obter uma orientação mais detalhada dessa etapa, confira Adicionar um aplicativo local ao Microsoft Entra ID.
URL interno: normalmente, você fornece o URL que levará você até a página de login do aplicativo quando estiver na rede corporativa. Para esse cenário, o conector precisa tratar o proxy do PingAccess como a página inicial do aplicativo. Use este formato:
https://<host name of your PingAccess server>:<port>
. A porta é a 3000 por padrão, mas você pode configurá-la no PingAccess.Aviso
Para esse tipo de logon único, a URL interna deve usar
https
e nãohttp
. Além disso, nenhum dos dois aplicativos deve ter a mesma URL interna para que o proxy de aplicativo possa manter uma distinção entre eles.Método de pré-autenticação: escolha o Microsoft Entra ID.
Converter URL em Cabeçalhos: Escolha Não.
Observação
Se este for seu primeiro aplicativo, use a porta 3000 para iniciar e retorne para atualizar essa configuração se alterar a configuração de PingAccess. Para os aplicativos subsequentes, a porta precisará corresponder ao Ouvinte que você configurou no PingAccess.
Selecione Adicionar. A página de visão geral do novo aplicativo é exibida.
Agora, atribua um usuário para teste de aplicativo e escolha logon único baseado em cabeçalho:
Na barra lateral do aplicativo, selecione Usuários e grupos>Adicionar usuário>Usuários e grupos do usuário (<Número> Selecionado). Uma lista de usuários e grupos é exibida para sua escolha.
Selecione um usuário para teste de aplicativo e selecione Selecionar. Verifique se essa conta de teste tem acesso ao aplicativo local.
Selecione Atribuir.
Na barra lateral do aplicativo, selecione Logon único>com base em cabeçalho.
Dica
Se esta for a primeira vez que você usa o logon único com base em cabeçalhos, será necessário instalar o PingAccess. Para garantir que a sua assinatura do Microsoft Entra esteja automaticamente associada à instalação do PingAccess, use o link nesta página de logon único para baixar o PingAccess. Você pode abrir o site de download agora ou voltar a esta página mais tarde.
Selecione Salvar.
Em seguida, verifique se a URL de redirecionamento está definida para a URL externa:
- Navegue até Identidade>Aplicativos>Registros de aplicativo e selecione seu aplicativo.
- Selecione o link ao lado de URIs de Redirecionamento. O link mostra a quantidade de URIs (Uniform Resource Identifiers) de redirecionamento para clientes web e públicos. A página< Nome do aplicativo > – Autenticação é exibida.
- Verifique se a URL externa que você atribuiu ao seu aplicativo anteriormente está na lista de URIs de redirecionamento. Se não estiver, adicione a URL externa agora, usando um tipo de URI de redirecionamento de Web e selecione Salvar.
Além do URL externo, um ponto de extremidade de autorização do Microsoft Entra ID no URL externo deve ser adicionado à lista de URIs de Redirecionamento.
https://*.msappproxy.net/pa/oidc/cb
https://*.msappproxy.net/
Por fim, configure o aplicativo local para que os usuários tenham acesso read
e outros aplicativos tenham acesso read/write
:
Na barra lateral de Registros de aplicativo do seu aplicativo, selecione Permissões de API>Adicionar uma permissão>APIs da Microsoft>Microsoft Graph. A página Solicitar permissões de API para o Microsoft Graph é exibida, contendo as permissões para o Microsoft Graph.
Selecione Permissões delegadas>Usuário>User.Read.
Selecione Permissões do aplicativo>Aplicativo>Application.ReadWrite.All.
Selecione Adicionar Permissões.
No painel Permissões de API, selecione Fornecer o consentimento do administrador para o < nome do seu diretório>.
Coletar informações sobre as etapas do PingAccess
Colete três GUIDs (Identificadores Globalmente Exclusivos). Use os GUIDs para configurar seu aplicativo com o PingAccess.
Nome do campo do Microsoft Entra | Nome do campo do PingAccess | Formato de dados |
---|---|---|
ID do aplicativo (cliente) | ID do Cliente | GUID |
ID do diretório (locatário) | Emissor | GUID |
PingAccess key |
Segredo do Cliente | Cadeia de caracteres aleatória |
Para coletar essas informações:
Navegue até Identidade>Aplicativos>Registros de aplicativo e selecione seu aplicativo.
Ao lado do valor da ID do aplicativo (cliente) , selecione o ícone Copiar para área de transferência. Em seguida, copie e salve-o. Você especifica esse valor posteriormente como a ID do cliente do PingAccess.
Em seguida, no valor da ID do diretório (locatário) , também selecione Copiar para a área de transferência, copie e salve. Você especifica esse valor posteriormente como emissor de PingAccess.
Na barra lateral dos Registros de aplicativo para seu aplicativo, selecione Certificados e segredos>Novo segredo do cliente. O painel Adicionar um segredo do cliente será exibido.
Em Descrição, digite
PingAccess key
.Em Expirar, escolha como configurar a chave PingAccess: Em 1 ano, Em 2 anosou Nunca.
Selecione Adicionar. A chave PingAccess aparece na tabela de segredos do cliente, com uma cadeia de caracteres aleatória que é preenchida por preenchimento automático no campo VALUE.
Ao lado do campo VALUE da chave PingAccess, selecione o ícone Copiar para área de transferência. Em seguida, copie e salve-o. Você especifica esse valor posteriormente como o segredo do cliente do PingAccess.
Atualize o acceptMappedClaims
campo:
- Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.
- Escolha o nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa o proxy de aplicativo. Se for necessário alterar diretórios, escolha Mudar diretório e escolha um diretório que usa o proxy de aplicativo.
- Navegue até Identidade>Aplicativos>Registros de aplicativo e selecione seu aplicativo.
- Na barra lateral da página Registros de aplicativo para seu aplicativo, selecione Manifesto. O código JSON do manifesto para o registro do seu aplicativo é exibido.
- Procure o campo
acceptMappedClaims
e altere o valor paraTrue
. - Selecione Salvar.
Uso de declarações opcionais (opcional)
As declarações opcionais permitem que você adicione declarações padrão que não são normalmente incluídas e que todos os usuários e locatários têm. Você pode configurar declarações opcionais para o aplicativo modificando o manifesto do aplicativo. Para saber mais, confira o artigo Como entender o manifesto do aplicativo do Microsoft Entra.
Exemplo para incluir o endereço de email no access_token que o PingAccess consume:
"optionalClaims": {
"idToken": [],
"accessToken": [
{
"name": "email",
"source": null,
"essential": false,
"additionalProperties": []
}
],
"saml2Token": []
},
Uso da política de mapeamento de declarações (opcional)
O mapeamento de declarações permite migrar aplicativos locais antigos para a nuvem adicionando mais declarações personalizadas que dão suporte aos seus ADFS (Serviços de Federação do Active Directory) ou objetos de usuário. Para obter mais informações, veja Personalização de declarações.
Para usar uma declaração personalizada e incluir mais campos em seu aplicativo. Criou uma política de mapeamento de declarações personalizada e a atribuiu ao aplicativo.
Observação
Para usar uma declaração personalizada, você também deve ter uma política personalizada definida e atribuída ao aplicativo. A política deve incluir todos os atributos personalizados necessários.
Você pode fazer a definição de política e a atribuição por meio do PowerShell ou Microsoft Graph. Se você estiver fazendo isso no PowerShell, precisará primeiro usar New-AzureADPolicy
e, em seguida, atribuí-lo para o aplicativo com Add-AzureADServicePrincipalPolicy
. Para obter mais informações, consulte Atribuição de política de mapeamento de declarações.
Exemplo:
$pol = New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"employeeid","JwtClaimType":"employeeid"}]}}') -DisplayName "AdditionalClaims" -Type "ClaimsMappingPolicy"
Add-AzureADServicePrincipalPolicy -Id "<<The object Id of the Enterprise Application you published in the previous step, which requires this claim>>" -RefObjectId $pol.Id
Habilitar PingAccess para usar declarações personalizadas
Habilitar o PingAccess para usar declarações personalizadas é opcional, mas será necessário se você espera que o aplicativo consuma mais declarações.
Ao configurar o PingAccess na etapa a seguir, a sessão da Web que você criará (Configurações->Acesso->Sessões da Web) deverá ter o Perfil de Solicitação desmarcado e Atualizar os Atributos de Usuário definido como Não.
Baixar o PingAccess e configurar seu aplicativo
As etapas detalhadas para a parte do PingAccess deste cenário continuam na documentação de Identidade de Ping.
Para criar uma conexão do OpenID Connect (OIDC) do Microsoft Entra ID, você configura um provedor de token com o valor de ID de Diretório (locatário) que você copiou do centro de administração do Microsoft Entra. Crie uma sessão da Web no PingAccess. Use os valores Application (client) ID
e PingAccess key
. Em seguida, configure o mapeamento de identidade e crie um host virtual, site e aplicativo.
Teste seu aplicativo
O aplicativo está em execução. Para testá-lo, abra um navegador e navegue até a URL externa que você criou quando publicou o aplicativo no Microsoft Entra. Entre com a conta de teste que você atribuiu ao aplicativo.