Logon único (SSO) baseado em cabeçalho para aplicativos locais com proxy de aplicativo Microsoft Entra
O proxy de aplicativo Microsoft Entra oferece suporte nativo ao acesso de logon único (SSO) a aplicativos que usam cabeçalhos para autenticação. Estás a configurar os valores de cabeçalho necessários pela tua aplicação no Microsoft Entra ID. Os valores de cabeçalho são enviados para o aplicativo via proxy do aplicativo. Os benefícios de usar o suporte nativo para autenticação baseada em cabeçalho com proxy de aplicativo incluem:
Simplifique o acesso remoto aos seus aplicativos locais - O proxy de aplicativo simplifica sua arquitetura de acesso remoto existente. Você substitui o acesso de Rede Privada Virtual (VPN) a esses aplicativos. Você remove dependências em soluções de identidade locais para autenticação. Você simplifica a experiência para os usuários e eles não notam nada de diferente quando usam aplicativos corporativos. Os utilizadores podem trabalhar a partir de qualquer lugar e em qualquer dispositivo.
Nenhum software extra ou alterações em seus aplicativos - Você usa seus conectores de rede privada existentes. Não é necessário software extra.
Ampla lista de atributos e transformações disponíveis - Todos os valores de cabeçalho disponíveis são baseados em declarações padrão emitidas pela ID do Microsoft Entra. Todos os atributos e transformações disponíveis para configurando declarações para aplicativos SAML (Security Assertion Markup Language) ou OpenID Connect (OIDC) também estão disponíveis como valores de cabeçalho.
Pré-requisitos
Habilite o proxy de aplicativo e instale um conector que tenha acesso direto à rede para seus aplicativos. Para saber mais, consulte Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo.
Capacidades suportadas
A tabela lista os recursos comuns necessários para aplicativos de autenticação baseados em cabeçalho.
| Exigência | Descrição |
|---|---|
| SSO federado | No modo pré-autenticado, todos os aplicativos são protegidos com autenticação Microsoft Entra e os usuários têm logon único. |
| Acesso remoto | O proxy de aplicativo fornece acesso remoto ao aplicativo. Os usuários acessam o aplicativo da Internet em qualquer navegador da Web usando o URL (Uniform Resource Locator) externo. O proxy de aplicativo não se destina ao acesso corporativo geral. Para obter acesso corporativo geral, consulte Microsoft Entra Private Access. |
| Integração baseada em cabeçalho | O proxy de aplicativo lida com a integração de SSO com o Microsoft Entra ID e, em seguida, passa identidade ou outros dados de aplicativo como cabeçalhos HTTP para o aplicativo. |
| Autorização de candidatura | As políticas comuns são especificadas com base no aplicativo que está sendo acessado, na associação de grupo do usuário e em outras políticas. No Microsoft Entra ID, as políticas são implementadas usando Acesso Condicional. As políticas de autorização de aplicativos só se aplicam à solicitação de autenticação inicial. |
| Autenticação reforçada | As políticas são definidas para forçar a autenticação adicionada, por exemplo, para obter acesso a recursos confidenciais. |
| Autorização de grão fino | Fornece controle de acesso no nível de URL. As políticas adicionadas podem ser aplicadas com base no URL que está sendo acessado. A URL interna configurada para o aplicativo define o escopo do aplicativo ao qual a política é aplicada. A política configurada para o caminho mais granular está em vigor. |
Observação
Este artigo descreve a conexão entre aplicativos de autenticação baseada em cabeçalho e o Microsoft Entra ID usando proxy de aplicativo e é o padrão recomendado. Como alternativa, há um padrão de integração que usa o PingAccess com o ID do Microsoft Entra para habilitar a autenticação baseada em cabeçalho. Para obter mais informações, consulte Autenticação baseada em cabeçalho para logon único com proxy de aplicativo e PingAccess.
Como funciona
- O administrador personaliza os mapeamentos de atributos exigidos pelo aplicativo no centro de administração do Microsoft Entra.
- O proxy de aplicativo garante que um usuário seja autenticado usando o Microsoft Entra ID.
- O serviço de nuvem de proxy de aplicativo está ciente dos atributos necessários. Assim, o serviço busca as declarações correspondentes do token de ID recebido durante a autenticação. Em seguida, o serviço converte os valores nos cabeçalhos HTTP necessários como parte da solicitação para o conector.
- A solicitação é então passada para o conector, o qual é posteriormente passado para a aplicação de back-end.
- O aplicativo recebe os cabeçalhos e pode usá-los conforme necessário.
Publicar o aplicativo com proxy de aplicativo
Publique seu aplicativo de acordo com as instruções descritas em Publicar aplicativos com proxy de aplicativo.
- O valor da URL interna determina o escopo do aplicativo. Você configura o valor da URL interna no caminho raiz do aplicativo e todos os subcaminhos abaixo da raiz recebem o mesmo cabeçalho e a mesma configuração do aplicativo.
- Crie um novo aplicativo para definir uma configuração de cabeçalho ou atribuição de usuário diferente para um caminho mais granular do que o aplicativo que você configurou. No novo aplicativo, configure a URL interna com o caminho específico necessário e, em seguida, configure os cabeçalhos específicos necessários para essa URL. O proxy de aplicação alinha sempre as suas definições de configuração com o caminho mais granular definido para uma aplicação.
Selecione ID do Microsoft Entra como o método de pré-autenticação .
Atribua um usuário de teste navegando até Usuários e grupos e atribuindo os usuários e grupos apropriados.
Abra um navegador e navegue até a URL externa nas definições de proxy da aplicação.
Verifique se você pode se conectar ao aplicativo. Embora você possa se conectar, ainda não pode acessar o aplicativo, pois os cabeçalhos não estão configurados.
Configurar logon único
Antes de começar a usar o logon único para aplicativos baseados em cabeçalho, instale um conector de rede privada. O conector deve ser capaz de acessar os aplicativos de destino. Para saber mais, consulte Tutorial: Microsoft Entra application proxy.
- Depois que o seu aplicativo aparecer na lista de aplicativos empresariais, selecione-o e, em seguida, selecione Autenticação única.
- Defina o modo de logon único baseado em cabeçalho para .
- Em Configuração Básica, Microsoft Entra IDé selecionado como padrão.
- Selecione o lápis de edição, em Cabeçalhos, para configurar os cabeçalhos que serão enviados para a aplicação.
- Selecione Adicionar novo cabeçalho. Forneça um nome para o cabeçalho e selecione de atributos ou de transformação e selecione na lista suspensa qual cabeçalho seu aplicativo precisa.
- Para saber mais sobre a lista de atributos disponíveis, consulte Personalizações de reclamações - Atributos.
- Para saber mais sobre a lista de transformações disponíveis, consulte Personalizações de declarações - Transformações de declaração.
- Você pode adicionar um cabeçalho de grupo. Para saber mais sobre como configurar grupos como um valor, consulte: Configurar declarações de grupo para aplicativos.
- Selecione Salvar.
Testar seu aplicativo
A aplicação está agora em execução e disponível. Para testar o aplicativo:
- Limpe cabeçalhos armazenados anteriormente em cache abrindo um novo navegador ou uma janela privada do navegador.
- Navegue até o URL externo. Você pode encontrar essa configuração listada como URL Externa nas configurações de proxy do aplicativo.
- Inicie sessão com a conta de teste que atribuiu à aplicação.
- Confirme se você pode carregar e entrar no aplicativo usando SSO.
Considerações
- O proxy de aplicativo fornece acesso remoto a aplicativos locais ou em uma nuvem privada. O proxy de aplicativo não é recomendado para tráfego originado dentro da mesma rede que o aplicativo pretendido.
- O acesso a aplicações de autenticação baseada em cabeçalho deve ser restrito apenas ao tráfego proveniente do conector ou de outra solução de autenticação baseada em cabeçalho permitida. A restrição de acesso geralmente é executada usando um firewall ou restrição de IP no servidor de aplicativos.