Acceso remoto a aplicaciones locales a través del proxy de aplicaciones Microsoft Entra
El proxy de aplicación Microsoft Entra proporciona acceso remoto seguro a aplicaciones web locales. Después de un inicio de sesión único en Microsoft Entra ID, los usuarios pueden acceder tanto a las aplicaciones en la nube como a las locales mediante una dirección URL externa o un portal de aplicaciones interno. Por ejemplo, Application Proxy puede proporcionar acceso remoto e inicio de sesión único para Escritorio remoto, SharePoint, Teams, Tableau, Qlik y aplicaciones de línea de negocio (LOB).
Microsoft Entra proxy de aplicación es:
Fácil de usar. Los usuarios pueden acceder a sus aplicaciones locales del mismo modo que acceden a Microsoft 365 y otras aplicaciones SaaS integradas con Microsoft Entra ID. No es necesario cambiar o actualizar las aplicaciones para trabajar con el Proxy de aplicación.
Seguro. Las aplicaciones locales pueden usar controles de autorización y análisis de seguridad de Azure. Por ejemplo, las aplicaciones locales pueden usar acceso condicional y verificación en dos pasos. Application Proxy no necesita que abra conexiones entrantes a través del firewall.
Rentable. Las soluciones locales normalmente requieren la configuración y el mantenimiento de redes perimetrales, servidores perimetrales u otras infraestructuras complejas. Application Proxy se ejecuta en la nube, lo que hace que sea fácil de usar. Para usar Application Proxy, no es necesario cambiar la infraestructura de red ni instalar dispositivos adicionales en el entorno local.
¿Qué es Application Proxy?
Application Proxy es una característica de Microsoft Entra ID que permite a los usuarios acceder a aplicaciones web locales desde un cliente remoto. Application Proxy incluye el servicio Application Proxy que se ejecuta en la nube y el conector Application Proxy que se ejecuta en un servidor local. Microsoft Entra ID, el servicio Application Proxy y el conector Application Proxy funcionan juntos para pasar de forma segura el token de inicio de sesión del usuario desde Microsoft Entra ID a la aplicación web.
Application Proxy funciona con:
- Aplicaciones web que usan la autenticación integrada de Windows para la autenticación.
- Aplicaciones web que usan el acceso basado en formularios o basado en encabezados.
- API web que desea exponer a aplicaciones sofisticadas de diferentes dispositivos
- Aplicaciones que se hospedan detrás de una puerta de enlace de escritorio remoto.
- Aplicaciones cliente enriquecidas que se integran con la biblioteca de autenticación de Microsoft (MSAL).
Application Proxy admite el inicio de sesión único. Para más información sobre los métodos admitidos, consulte Elección de un método de inicio de sesión único.
Application Proxy se recomienda para dar a los usuarios remotos acceso a recursos internos. Application Proxy reemplaza la necesidad de una VPN o proxy inverso. No está pensado para los usuarios internos de la red corporativa. Estos usuarios que usan innecesariamente Application Proxy pueden presentar problemas de rendimiento inesperados y no deseados.
¿Cómo funciona Application Proxy?
El siguiente diagrama se muestra cómo Microsoft Entra ID y Application Proxy funcionan juntos para proporcionar un inicio de sesión único en las aplicaciones locales.
- Una vez que el usuario acceda a la aplicación a través de un punto de conexión, se le dirigirá a la página de inicio de sesión de Microsoft Entra.
- Después de un inicio de sesión correcto, Microsoft Entra envía un token al dispositivo cliente del usuario.
- El cliente envía el token al servicio Application Proxy, que recupera el nombre principal de usuario (UPN) y el nombre de entidad de seguridad (SPN) del token. A continuación, Application Proxy envía la solicitud al conector Application Proxy.
- Si se ha configurado el inicio de sesión único, el conector realiza cualquier autenticación adicional necesaria en nombre del usuario.
- El conector envía la solicitud a la aplicación local.
- La respuesta se envía al usuario través del conector y el servicio Application Proxy.
Nota:
Como la mayoría de los agentes híbridos de Microsoft Entra, el conector Application Proxy no necesita que abra conexiones entrantes a través del firewall. El tráfico de usuario en el paso 3 finaliza en el servicio Application Proxy (en Microsoft Entra ID). El conector Application Proxy (local) es responsable del resto de la comunicación.
| Componente | Descripción |
|---|---|
| Punto de conexión | El punto de conexión es una dirección URL o un portal de usuario final. Los usuarios pueden acceder a aplicaciones fuera de la red mediante el acceso a una dirección URL externa. Los usuarios dentro de la red pueden acceder a la aplicación a través de una dirección URL o un portal del usuario final. Cuando los usuarios usan uno de estos puntos de conexión, se autentican en Microsoft Entra ID y, luego, se enrutan a través del conector a la aplicación local. |
| Microsoft Entra ID | Microsoft Entra ID realiza la autenticación mediante el directorio de inquilino almacenado en la nube. |
| Servicio Application Proxy | Este servicio se ejecuta en la nube como parte de Microsoft Entra ID. Lo que hace es pasar el token de inicio de sesión del usuario al conector Application Proxy. Application Proxy reenvía los encabezados accesibles en la solicitud a la dirección IP del cliente y los establece según su protocolo en esta dirección. Si la solicitud entrante al proxy ya tiene ese encabezado, la dirección IP del cliente se agrega al final de la lista separada por comas que es el valor del encabezado. |
| Conector Application Proxy | El conector es un agente ligero que se ejecuta en un servidor de Windows dentro de la red. El conector administra la comunicación entre el servicio Application Proxy en la nube y la aplicación local. El conector solo usa conexiones salientes, por lo que no es necesario abrir ningún puerto de entrada ni colocar nada en la red perimetral. Los conectores no tienen estado y extraen la información de la nube según sea necesario. Para más información sobre los conectores, por ejemplo cómo se equilibra la carga y cómo se autentican, vea Descripción de los conectores del Proxy de aplicación de Microsoft Entra. |
| Active Directory (AD) | Active Directory se ejecuta en el entorno local para realizar la autenticación de las cuentas de dominio. Cuando se configura el inicio de sesión único, el conector se comunica con AD para realizar cualquier autenticación adicional necesaria. |
| Aplicación local | Por último, el usuario puede acceder a una aplicación local. |
Pasos siguientes
Para empezar a usar Application Proxy, consulte Tutorial: Adición de una aplicación local para el acceso remoto mediante Application Proxy.