Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O proxy de aplicativo do Microsoft Entra dá suporte nativo ao acesso de SSO (logon único) a aplicativos que usam cabeçalhos para autenticação. Você configura os valores de cabeçalho exigidos pelo aplicativo na ID do Microsoft Entra. Os valores de cabeçalho são enviados para o aplicativo por meio do proxy de aplicativo. Os benefícios de usar o suporte nativo para autenticação baseada em cabeçalho com proxy de aplicativo incluem:
Simplificar o acesso remoto aos aplicativos locais – o proxy de aplicativo simplifica sua arquitetura de acesso remoto existente. Você substitui o acesso de VPN (Rede Virtual Privada) a esses aplicativos. Você remove dependências de soluções de identidade locais para autenticação. Você simplifica a experiência para os usuários e eles não notam nada diferente quando eles usam aplicativos corporativos. Os usuários podem trabalhar de qualquer lugar em qualquer dispositivo.
Nenhum software adicional ou alterações em seus aplicativos – você usa seus conectores de rede privada existentes. Nenhum software extra é necessário.
Lista abrangente de atributos e transformações disponíveis – Todos os valores de cabeçalho disponíveis são baseados em declarações padrão emitidas pelo Microsoft Entra ID. Todos os atributos e transformações disponíveis para configurar declarações para aplicativos SAML (Security Assertion Markup Language) ou OpenID Connect (OIDC) também estão disponíveis como valores de cabeçalho.
Pré-requisitos
Habilite o proxy de aplicativo e instale um conector que tenha acesso direto à rede aos seus aplicativos. Para saber mais, confira Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo.
Capacidades suportadas
A tabela lista os recursos comuns necessários para aplicativos de autenticação baseados em cabeçalho.
| Requisito | Descrição |
|---|---|
| SSO federado | No modo pré-autenticado, todos os aplicativos são protegidos com a autenticação do Microsoft Entra e os usuários têm logon único. |
| Acesso remoto | O proxy de aplicativo fornece acesso remoto ao aplicativo. Os usuários acessam o aplicativo da Internet em qualquer navegador da Web usando a URL (Uniform Resource Locator) externa. O proxy de aplicativo não se destina ao acesso corporativo geral. Para obter acesso corporativo geral, consulte o Microsoft Entra Private Access. |
| Integração baseada em cabeçalho | O proxy de aplicativo manipula a integração do SSO com a ID do Microsoft Entra e, em seguida, passa a identidade ou outros dados do aplicativo como cabeçalhos HTTP para o aplicativo. |
| Autorização de aplicativo | As políticas comuns são especificadas com base no aplicativo que está sendo acessado, na associação de grupo do usuário e em outras políticas. No Microsoft Entra ID, as políticas são implementadas usando o Acesso condicional. As políticas de autorização de aplicativo se aplicam somente à solicitação de autenticação inicial. |
| Autenticação de step-up | As políticas são definidas para forçar a autenticação adicional, por exemplo, a obter acesso a recursos confidenciais. |
| Autorização refinada | Fornece controle de acesso no nível da URL. Políticas adicionadas podem ser impostas com base na URL que está sendo acessada. A URL interna configurada para o aplicativo define o escopo do aplicativo ao qual a política é aplicada. A política configurada para o caminho mais granular é imposta. |
Observação
Este artigo descreve a conexão entre aplicações de autenticação baseadas em cabeçalho e o Microsoft Entra ID usando um proxy de aplicativo e é o padrão recomendado. Como alternativa, há um padrão de integração que usa PingAccess com a ID do Microsoft Entra para habilitar a autenticação baseada em cabeçalho. Para obter mais informações, consulte Autenticação Baseada em Cabeçalho para Autenticação Única com Proxy de Aplicativo e PingAccess.
Como funciona
- O Administrador personaliza os mapeamentos de atributo exigidos pelo aplicativo no centro de administração do Microsoft Entra.
- O proxy de aplicativo garante que um usuário seja autenticado usando a ID do Microsoft Entra.
- O serviço de nuvem proxy de aplicativo está ciente dos atributos necessários. Portanto, o serviço busca as declarações correspondentes do token de ID recebido durante a autenticação. Em seguida, o serviço converte os valores nos cabeçalhos HTTP necessários como parte da solicitação para o conector.
- Em seguida, a solicitação é passada para o conector, que então a transfere para o aplicativo backend.
- O aplicativo recebe os cabeçalhos e pode usá-los conforme necessário.
Publicar o aplicativo com o proxy de aplicativo
Publique seu aplicativo de acordo com as instruções descritas em Publicar aplicativos com proxy de aplicativo.
- O valor da URL interna determina o escopo do aplicativo. Você configura o valor da URL interna no caminho raiz do aplicativo e todos os sub-caminhos abaixo da raiz recebem a mesma configuração de cabeçalho e aplicativo.
- Crie um novo aplicativo para definir uma configuração de cabeçalho ou atribuição de usuário diferente para um caminho mais granular do que o aplicativo configurado. No novo aplicativo, configure a URL interna com o caminho específico que você precisa e configure os cabeçalhos específicos necessários para a URL. O proxy de aplicativo sempre alinha-se às suas configurações para o caminho mais específico definido para um aplicativo.
Selecione Microsoft Entra ID como o método de pré-autenticação.
Atribua um usuário de teste navegando para Usuários e grupos e atribuindo os usuários e grupos apropriados.
Abra um navegador e navegue até a URL Externa das configurações do proxy do aplicativo.
Verifique se você pode se conectar ao aplicativo. Embora você possa se conectar, ainda não é possível acessar o aplicativo já que os cabeçalhos não estão configurados.
Configurar a autenticação única
Antes de começar a usar o logon único para aplicativos baseados em cabeçalho, instale um conector de rede privado. O conector deve ser capaz de acessar os aplicativos de destino. Para saber mais, confira Tutorial: Proxy de aplicativo do Microsoft Entra.
- Depois que o aplicativo aparecer na lista de aplicativos empresariais, selecione e clique em Logon único.
- Defina o modo de logon único como Baseado em cabeçalho.
- Na Configuração Básica, a ID do Microsoft Entra é selecionada como o padrão.
- Selecione o lápis de edição, em Cabeçalhos, para configurar cabeçalhos a serem enviados para o aplicativo.
- Selecione Adicionar novo cabeçalho. Forneça um nome para o cabeçalho e selecione Atributo ou Transformação e selecione na lista suspensa qual cabeçalho seu aplicativo precisa.
- Para saber mais sobre a lista de atributos disponíveis, confira Personalizações de Declarações – Atributos.
- Para saber mais sobre a lista de transformações disponíveis, confira Personalizações de Declarações – Transformações de Declaração.
- Você pode adicionar um cabeçalho de grupo. Para saber mais sobre como configurar grupos como um valor, confira: Configurar declarações de grupo para aplicativos.
- Clique em Salvar.
Testar seu aplicativo
O aplicativo agora está em execução e disponível. Para testar o aplicativo:
- Limpe os cabeçalhos armazenados em cache anteriormente abrindo uma nova janela do navegador ou do navegador privado.
- Navegue até a URL externa. Você pode encontrar essa configuração listada como URL Externa nas configurações de proxy de aplicativo.
- Entre com a conta de teste que você atribuiu ao aplicativo.
- Confirme se você pode carregar e entrar no aplicativo usando o SSO.
Considerações
- O proxy de aplicativo fornece acesso remoto a aplicativos locais ou em uma nuvem privada. O proxy de aplicativo não é recomendado para o tráfego originário dentro da mesma rede que o aplicativo pretendido.
- O acesso a aplicativos de autenticação baseada em cabeçalho deve ser restrito somente ao tráfego do conector ou à outra solução de autenticação baseada em cabeçalho permitida. A restrição de acesso é normalmente executada usando um firewall ou restrição de IP no servidor de aplicativos.