Compartilhar via

Autenticação baseada em cabeçalho para logon único com proxy de aplicativo e PingAccess

A Microsoft fez uma parceria com o PingAccess para fornecer mais aplicativos de acesso. O PingAccess fornece outra opção além do logon único baseado em cabeçalho integrado.

O que é PingAccess para Microsoft Entra ID?

Com o PingAccess para Microsoft Entra ID, você fornece aos usuários acesso e logon único (SSO) aos aplicativos que usam cabeçalhos para autenticação. O proxy de aplicativo trata esses aplicativos como quaisquer outros, usando o Microsoft Entra ID para autenticar o acesso e, a seguir, passando o tráfego por meio do serviço do conector. O PingAccess fica na frente dos aplicativos e converte o token de acesso do Microsoft Entra ID em um cabeçalho. Em seguida, o aplicativo recebe a autenticação no formato que pode ser lido.

Os usuários não perceberão nada diferente quando entrarem para usar os aplicativos corporativos. Os aplicativos podem trabalhar de qualquer lugar e em qualquer dispositivo. Os conectores de rede privada direcionam o tráfego remoto para todos os aplicativos sem considerar o tipo de autenticação. Portanto, eles ainda vão balancear as cargas automaticamente.

Como posso obter acesso?

Você precisa de uma licença para PingAccess e Microsoft Entra ID. No entanto, as assinaturas do Microsoft Entra ID P1 ou P2 incluem uma licença básica do PingAccess que abrange até 20 aplicativos. Se você precisar publicar mais de 20 aplicativos com base em cabeçalho, poderá adquirir mais licenças do PingAccess.

Para obter mais informações, consulte as edições do Microsoft Entra.

Publicar seu aplicativo no Microsoft Entra

Este artigo descreve as etapas para publicar um aplicativo pela primeira vez. O artigo fornece diretrizes para o proxy de aplicativo e o PingAccess.

Observação

Algumas das instruções estão no site do Ping Identity.

Instalar um conector de rede privada

O conector de rede privada é um serviço do Windows Server que direciona o tráfego de seus funcionários remotos para seus aplicativos publicados. Para obter instruções de instalação mais detalhadas, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo na ID do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
  2. Navegue até o Entra ID>Aplicativos empresariais>Proxy de aplicativos.
  3. Selecione Baixar o serviço do conector.
  4. Siga as instruções de instalação.

Baixar o conector deve habilitar automaticamente o proxy de aplicativo para seu diretório, mas, caso contrário, você poderá selecionar Habilitar proxy de aplicativo.

Adicionar seu aplicativo ao Microsoft Entra ID com o proxy de aplicativo

Há duas etapas para adicionar seu aplicativo ao Microsoft Entra ID. Primeiro, você precisa publicar seu aplicativo com o proxy de aplicativo. Depois, colete informações sobre o aplicativo a ser usado durante as etapas do PingAccess.

Publicar seu aplicativo

Primeiro, publique seu aplicativo. Isso envolve:

  • Como adicionar seu aplicativo local ao Microsoft Entra ID.
  • Atribuir um usuário para testar o aplicativo e escolher o logon único baseado em cabeçalho.
  • Configuração da URL de redirecionamento do aplicativo.
  • Concessão de permissões para usuários e outros aplicativos usarem seu aplicativo local.

Para publicar seu próprio aplicativo local:

  1. Entre no Centro de administração do Microsoft Entra como administrador de aplicativos.

  2. Navegue até aplicativos Empresariais>Novo aplicativo>Adicionar um aplicativo local. A página Adicionar seu próprio aplicativo local é exibida.

    Adicionar seu próprio aplicativo local

  3. Preencha os campos obrigatórios com informações sobre seu novo aplicativo. Use as diretrizes para as configurações.

    Observação

    Para obter um passo a passo mais detalhado desta etapa, consulte Adicionar um aplicativo local à ID do Microsoft Entra.

    1. URL interna: normalmente, você fornece a URL que o leva para a página de entrada do aplicativo quando você está na rede corporativa. Para esse cenário, o conector precisa tratar o proxy do PingAccess como a página inicial do aplicativo. Use este formato: https://<host name of your PingAccess server>:<port>. A porta é a 3000 por padrão, mas você pode configurá-la no PingAccess.

      Aviso

      Para esse tipo de logon único, a URL interna deve usar https e não http. Além disso, nenhum dos dois aplicativos deve ter a mesma URL interna para que o proxy de aplicativo possa manter uma distinção entre eles.

    2. Método de pré-autenticação: escolha ID do Microsoft Entra.

    3. Traduzir URL em Cabeçalhos: Escolha Não.

    Observação

    Para o primeiro aplicativo, use a porta 3000 para iniciar e voltar para atualizar essa configuração se você alterar a configuração do PingAccess. Para aplicativos subsequentes, a porta precisa corresponder ao Ouvinte configurado no PingAccess.

  4. Selecione Adicionar. A página de visão geral do novo aplicativo é exibida.

Agora, atribua um usuário para teste de aplicativo e escolha logon único baseado em cabeçalho:

  1. Na barra lateral do aplicativo, selecione Usuários e grupos>Adicionar usuários>e grupos (<Número> Selecionado). Uma lista de usuários e grupos é exibida para sua escolha.

    Mostra a lista de usuários e grupos

  2. Selecione um usuário para teste de aplicativo e selecione Selecionar. Verifique se a conta de teste tem acesso ao aplicativo local.

  3. Selecione Atribuir.

  4. Na barra lateral do aplicativo, selecione Logon único>Baseado em cabeçalho.

    Dica

    Instale o PingAccess na primeira vez que você usar o logon único baseado em cabeçalho. Para garantir que sua assinatura do Microsoft Entra esteja automaticamente associada à instalação do PingAccess, use o link na página de logon único para baixar o PingAccess. Você pode abrir o site de download agora ou voltar a esta página mais tarde.

    Mostra a tela de logon baseada em cabeçalho e o PingAccess

  5. Selecione Salvar.

Em seguida, verifique se a URL de redirecionamento está definida para a URL externa:

  1. Navegue até Entra ID>Registros de aplicativos e selecione seu aplicativo.
  2. Selecione o link ao lado de URIs de Redirecionamento. O link mostra a quantidade de URIs (Uniform Resource Identifiers) de redirecionamento para clientes web e públicos. A página <nome do aplicativo> – Autenticação é exibida.
  3. Verifique se a URL externa atribuída ao aplicativo anteriormente está na lista URIs de redirecionamento. Se não estiver, adicione a URL externa agora, usando um tipo de URI de redirecionamento de Web e selecione Salvar.

Além da URL externa, um ponto de extremidade de autorização do Microsoft Entra ID na URL externa deve ser adicionado à lista de URIs de redirecionamento.

https://*.msappproxy.net/pa/oidc/cb https://*.msappproxy.net/

Por fim, configure o aplicativo local para que os usuários tenham acesso read e outros aplicativos tenham acesso read/write:

  1. Na barra lateral Registros de Aplicativos para seu aplicativo, selecione Permissões de API>Adicionar uma permissão>Microsoft APIs>Microsoft Graph. A página solicitar permissões de API para o Microsoft Graph é exibida, que contém as permissões para o Microsoft Graph.

    Mostra a página de permissões da API de Solicitação

  2. Selecione Permissões delegadas>Usuário>User.Read.

  3. Selecione Permissões do aplicativo>Aplicativo>Application.ReadWrite.All.

  4. Selecione Adicionar permissões.

  5. Na página de permissões de API, selecione Conceder consentimento do administrador para <o nome> do diretório.

Coletar informações sobre as etapas do PingAccess

Colete três GUIDs (Identificadores Globalmente Exclusivos). Use os GUIDs para configurar seu aplicativo com o PingAccess.

Nome do campo do Microsoft Entra Nome do campo do PingAccess Formato de dados
ID do aplicativo (cliente) ID do cliente GUID
ID do Diretório (locatário) Emissor GUID
PingAccess key Segredo do cliente Cadeia de caracteres aleatória

Para coletar essas informações:

  1. Navegue até Entra ID>Registros de aplicativos e selecione seu aplicativo.

  2. Ao lado do valor da ID do aplicativo (cliente), selecione o ícone Copiar para área de transferência. Em seguida, copie e salve-o. Você especifica esse valor posteriormente como a ID do cliente do PingAccess.

  3. Em seguida, no valor da ID do diretório (locatário), também selecione Copiar para a área de transferência, copie e salve. Você especifica esse valor posteriormente como emissor de PingAccess.

  4. Na barra lateral dos registros de aplicativo para seu aplicativo, selecione Certificados e segredos>Novo segredo do cliente. A página Adicionar um segredo do cliente é exibida.

    Mostra a página Adicionar um segredo do cliente

  5. Em Descrição, digite PingAccess key.

  6. Em Expira, escolha como definir a chave PingAccess: em 1 ano, em 2 anos ou nunca.

  7. Selecione Adicionar. A chave PingAccess aparece na tabela de segredos do cliente, com uma sequência aleatória que preenche automaticamente o campo VALOR.

  8. Ao lado do campo VALOR da chave PingAccess, selecione o ícone Copiar para área de transferência e copie-o e salve-o. Você especifica esse valor posteriormente como o segredo do cliente do PingAccess.

Atualize o acceptMappedClaims campo:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
  2. Escolha o nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa o proxy de aplicativo. Se você precisar alterar diretórios, selecione Alternar diretório e escolha um diretório que use o proxy de aplicativo.
  3. Navegue até Entra ID>Registros de aplicativos e selecione seu aplicativo.
  4. Na barra lateral da página Registros de Aplicativos para o seu aplicativo, selecione Manifest. O código JSON do manifesto para o registro do seu aplicativo é exibido.
  5. Procure o campo acceptMappedClaims e altere o valor para True.
  6. Selecione Salvar.

Uso de declarações opcionais (opcional)

As declarações opcionais permitem que você adicione declarações padrão que não são normalmente incluídas e que todos os usuários e locatários têm. Você pode configurar declarações opcionais para o aplicativo modificando o manifesto do aplicativo. Para obter mais informações, consulte o artigo Noções básicas sobre o manifesto do aplicativo Microsoft Entra.

Exemplo para incluir o endereço de email no access_token que o PingAccess consume:

    "optionalClaims": {
        "idToken": [],
        "accessToken": [
            {
                "name": "email",
                "source": null,
                "essential": false,
                "additionalProperties": []
            }
        ],
        "saml2Token": []
    },

Uso da política de mapeamento de declarações (opcional)

O mapeamento de declarações permite migrar aplicativos locais antigos para a nuvem adicionando mais declarações personalizadas que dão suporte aos seus Serviços de Federação do Active Directory (AD FS) ou objetos de usuário. Para obter mais informações, consulte Personalização de Declarações.

Para usar uma declaração personalizada e incluir mais campos em seu aplicativo. Criou uma política de mapeamento de declarações personalizada e a atribuiu ao aplicativo.

Observação

Para usar uma declaração personalizada, você também deve ter uma política personalizada definida e atribuída ao aplicativo. A política deve incluir todos os atributos personalizados necessários.

Você pode fazer a definição de política e a atribuição por meio do PowerShell ou Microsoft Graph. Se você estiver executando esses comandos no PowerShell, primeiro você precisará usar New-AzureADPolicy e depois atribuí-lo ao aplicativo com Add-AzureADServicePrincipalPolicy. Para obter mais informações, consulte Atribuição de política de mapeamento de declarações.

Exemplo:

$pol = New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"employeeid","JwtClaimType":"employeeid"}]}}') -DisplayName "AdditionalClaims" -Type "ClaimsMappingPolicy"

Add-AzureADServicePrincipalPolicy -Id "<<The object Id of the Enterprise Application you published in the previous step, which requires this claim>>" -RefObjectId $pol.Id

Habilitar PingAccess para usar declarações personalizadas

Habilitar o PingAccess para usar declarações personalizadas é opcional, mas será necessário se você espera que o aplicativo consuma mais declarações.

Quando você configura o PingAccess na etapa a seguir, a Sessão da Web que você cria (Configurações-Acesso-Sessões Web) deve ter o > desmarcado e > definido como Não.

Baixar o PingAccess e configurar seu aplicativo

As etapas detalhadas para a parte do PingAccess deste cenário continuam na documentação de Identidade de Ping.

Para criar uma conexão do OpenID Connect (OIDC) do Microsoft Entra ID, você configura um provedor de token com o valor da ID de Diretório (locatário) que você copiou do centro de administração do Microsoft Entra. Crie uma sessão da Web no PingAccess. Use os valores Application (client) ID e PingAccess key. Em seguida, configure o mapeamento de identidade e crie um host virtual, site e aplicativo.

Teste seu aplicativo

O aplicativo está em execução. Para testá-lo, abra um navegador e navegue até a URL externa que você criou quando publicou o aplicativo no Microsoft Entra. Entre com a conta de teste que você atribuiu ao aplicativo.

Próximas etapas

  • Last updated on