Agregar una aplicación local para el acceso remoto a través del proxy de aplicación en Microsoft Entra ID
Microsoft Entra ID tiene un servicio de proxy de aplicación que permite a los usuarios tener acceso a aplicaciones locales mediante el inicio de sesión con su cuenta de Microsoft Entra. Para más información sobre el proxy de aplicación, consulte ¿Qué es el proxy de aplicación?. En este tutorial se prepara el entorno para su uso con el proxy de aplicación. Una vez que el entorno esté preparado, use el centro de administración de Microsoft Entra para agregar una aplicación local a su inquilino.
En este tutorial, hizo lo siguiente:
- Instale y compruebe el conector en el servidor de Windows y regístrelo con el proxy de aplicaciones.
- Agregue una aplicación local al inquilino de Microsoft Entra.
- Compruebe que un usuario de prueba puede iniciar sesión en la aplicación mediante una cuenta de Microsoft Entra.
Requisitos previos
Para agregar una aplicación local a Microsoft Entra ID, necesita lo siguiente:
- Una suscripción a Microsoft Entra ID P1 o P2.
- Una cuenta de administrador de aplicaciones.
- Un conjunto sincronizado de identidades de usuario con un directorio local. También las puede crear directamente en los inquilinos de Microsoft Entra. El servicio Sincronización de identidades permite que Microsoft Entra ID autentique previamente a los usuarios antes de concederles acceso a las aplicaciones publicadas del proxy de aplicación. También proporciona la información de identificador de usuario necesaria para realizar el inicio de sesión único (SSO).
- Para comprender la administración de aplicaciones en Microsoft Entra, consulte Ver aplicaciones empresariales en Microsoft Entra.
- Para comprender el inicio de sesión único (SSO), consulte Descripción del inicio de sesión único.
Instalación y comprobación del conector de red privada de Microsoft Entra
El proxy de aplicación usa el mismo conector que Microsoft Entra Private Access. El conector se denomina conector de red privada de Microsoft Entra. Para obtener información sobre cómo instalar y comprobar un conector, consulte Configuración de conectores.
Observaciones generales
Los registros DNS públicos para los puntos de conexión de proxy de aplicación de Microsoft Entra son registros CNAME encadenados que apuntan a un registro A. La configuración de los registros de esta forma garantiza la tolerancia a errores y la flexibilidad. El conector de red privada de Microsoft Entra siempre accede a los nombres de host con los sufijos de dominio *.msappproxy.net
o *.servicebus.windows.net
. No obstante, durante la resolución de nombres, los registros CNAME pueden contener registros DNS con distintos nombres de host y sufijos. Debido a esta diferencia, debe asegurarse de que el dispositivo (según la configuración del servidor del conector, el firewall y el proxy de salida) pueda resolver todos los registros de la cadena y permitir la conexión a las direcciones IP resueltas. Dado que los registros DNS de la cadena pueden cambiar de vez en cuando, no podemos proporcionarle registros DNS de lista.
Si instala conectores en regiones diferentes, debe optimizar el tráfico seleccionando la región del servicio en la nube del proxy de aplicación más cercana con cada grupo de conectores. Para más información, consulte Optimización del flujo de tráfico con el proxy de aplicación de Microsoft Entra.
Si su organización usa servidores proxy para conectarse a Internet, debe configurarlos para el proxy de aplicación. Para obtener más información, consulte Trabajo con servidores proxy locales existentes.
Agregación de una aplicación local a Microsoft Entra ID
Agregue una aplicación local a Microsoft Entra ID.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.
Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
Seleccione Nueva aplicación.
Seleccione el botón Incorporación de una aplicación local que aparece hacia la mitad de la página de la sección Aplicaciones locales. Como alternativa, puede seleccionar Cree su propia aplicación en la parte superior de la página y, luego, Configurar Application Proxy para el acceso remoto seguro a una aplicación local.
En la sección Agregar aplicación local propia, proporcione la siguiente información sobre la aplicación:
Campo Descripción Nombre Nombre de la aplicación que aparece en Aplicaciones y en el centro de administración de Microsoft Entra. Modo de mantenimiento Seleccione si quiere habilitar el modo de mantenimiento y deshabilitar temporalmente el acceso para todos los usuarios en la aplicación. Dirección URL interna La dirección URL para acceder a la aplicación desde la red privada. Puede especificar una ruta de acceso específica en el servidor back-end para publicar, mientras que el resto del servidor no se publica. De esta forma, puede publicar sitios diferentes en el mismo servidor como aplicaciones diferentes y dar a cada uno un nombre y unas reglas de acceso propios.
Si publica una ruta de acceso, asegúrese de que incluye todas las imágenes, los scripts y las hojas de estilos necesarias para la aplicación. Por ejemplo, si la aplicación se encuentra enhttps://yourapp/app
y usa las imágenes que se encuentran enhttps://yourapp/media
, debe publicarhttps://yourapp/
como la ruta de acceso. Esta dirección URL interna no tiene que ser la página de inicio que verán los usuarios. Para más información, consulte Establecimiento de una página principal personalizada para aplicaciones publicadas mediante el proxy de aplicación de Azure AD.Dirección URL externa La dirección para que los usuarios accedan a la aplicación desde fuera de la red. Si no desea usar el dominio del proxy de aplicación predeterminado, lea sobre los dominios personalizados en el proxy de aplicación de Microsoft Entra. Autenticación previa La forma en que el proxy de aplicación verifica los usuarios antes de concederles acceso a la aplicación.
Microsoft Entra ID: el proxy de aplicación redirige a los usuarios para que inicien sesión en Microsoft Entra ID, que autentica sus permisos para el directorio y la aplicación. Se recomienda mantener esta opción como predeterminada, para que pueda aprovechar las características de seguridad de Microsoft Entra como el acceso condicional y la autenticación multifactor. Microsoft Entra ID es necesario para supervisar la aplicación con Microsoft Defender for Cloud Apps.
Acceso directo: los usuarios no tienen que autenticarse en Microsoft Entra ID para tener acceso a la aplicación. Esto no impide que pueda configurar los requisitos de autenticación en el back-end.Grupo de conectores Los conectores procesan el acceso remoto a la aplicación, y los grupos de conectores le ayudan a organizar los conectores y las aplicaciones por región, red o finalidad. Si no tiene ningún grupo de conectores creado todavía, la aplicación se asigna al predeterminado.
Si la aplicación usa WebSockets para conectarse, todos los conectores del grupo deben tener la versión 1.5.612.0 o posterior.Si es necesario, realice otras configuraciones en Configuración adicional. En la mayoría de las aplicaciones, debe mantener esta configuración en su estado predeterminado.
Campo Descripción Tiempo de espera de las aplicaciones de back-end Establezca este valor en Largo solo si la aplicación es lenta en autenticarse y conectarse. De forma predeterminada, el tiempo de espera de la aplicación back-end tiene una longitud de 85 segundos. Cuando se establece un valor demasiado largo, el tiempo de espera de back-end se incrementa en 180 segundos. Usar cookie solo HTTP Seleccione que las cookies del proxy de aplicación incluyan la marca HTTPOnly en el encabezado de respuesta HTTP. Si usa servicios de Escritorio remoto, deje esta opción sin seleccionar. Usar cookies persistentes Deje la opción sin seleccionar. Esta configuración solo debe usarse para las aplicaciones que no pueden compartir cookies entre procesos. Para obtener más información sobre la configuración de las cookies, consulte Configuración de las cookies para el acceso a aplicaciones locales en Microsoft Entra ID. Traducir URL en encabezados Mantenga la opción seleccionada, a menos que la aplicación requiera el encabezado host original en la solicitud de autenticación. Traducir direcciones URL en el cuerpo de la aplicación Deje la opción sin seleccionar, a menos que tenga vínculos HTML codificados a otras aplicaciones locales y no use dominios personalizados. Para más información, consulte Traducción de vínculos con el proxy de aplicación.
Seleccione si tiene previsto supervisar esta aplicación con Microsoft Defender for Cloud Apps. Para más información, consulte Configuración de la supervisión del acceso a las aplicaciones en tiempo real con Microsoft Defender para aplicaciones en la nube y Microsoft Entra ID.Validación del certificado TLS/SSL de back-end Seleccione esta opción para habilitar la validación del certificado TLS/SSL de back-end para la aplicación. Seleccione Agregar.
Prueba de la aplicación
Está listo para probar que la aplicación se agregó correctamente. En los pasos siguientes, se agrega una cuenta de usuario a la aplicación y se intenta iniciar sesión.
Adición de un usuario de prueba
Antes de agregar un usuario a la aplicación, compruebe que la cuenta de usuario ya tiene permisos para acceder a la aplicación desde dentro de la red corporativa.
Para agregar un usuario de prueba:
- Seleccione Aplicaciones empresariales y, después, seleccione la aplicación que desea probar.
- Seleccione Introducción y, a continuación, seleccione Assign a user for testing (Asignar un usuario de prueba).
- En Usuarios y grupos, seleccione Agregar usuario.
- En Agregar asignación, seleccione Usuarios y grupos. Aparece la sección Usuario y grupos.
- Elija la cuenta que desea agregar.
- Elija Seleccionar y, a continuación, seleccione Asignar.
Probar el inicio de sesión
Para probar la autenticación en la aplicación:
- En la aplicación que quiere probar, seleccione Proxy de aplicación.
- En la parte superior de la página, seleccione Aplicación de prueba para ejecutar una prueba en la aplicación y comprobar posibles problemas de configuración.
- Asegúrese de iniciar primero la aplicación para probar el inicio de sesión en la aplicación y, luego, descargue el informe de diagnóstico para revisar la guía de resolución de los problemas detectados.
Para solucionar problemas, consulte Solución de problemas y mensajes de error del proxy de aplicación.
Limpieza de recursos
No olvide eliminar cualquiera de los recursos que haya creado en este tutorial cuando termine.
Solución de problemas
Obtenga información sobre los problemas comunes y sus soluciones.
Creación de la aplicación y establecimiento de las direcciones URL
Compruebe los detalles del error para obtener información y sugerencias sobre cómo corregir la aplicación. La mayoría de los mensajes de error incluyen una sugerencia de corrección. Para evitar errores habituales, compruebe que:
- Es un administrador con permiso para crear una aplicación de proxy de aplicación.
- La dirección URL interna sea única;
- La dirección URL externa sea única;
- Las direcciones URL empiecen por http o https y terminen en "/";
- La dirección URL debe ser un nombre de dominio y no una dirección IP.
El mensaje de error debería aparecer en la esquina superior derecha cuando cree la aplicación. También puede seleccionar el icono de notificación para ver los mensajes de error.
Carga de certificados para dominios personalizados
Los dominios personalizados le permiten especificar el dominio de las direcciones URL externas. Para usar dominios personalizados, debe cargar el certificado para ese dominio. Para información sobre cómo usar certificados y dominios personalizados, consulte Uso de dominios personalizados en el proxy de la aplicación de Microsoft Entra.
Si se están produciendo problemas al cargar el certificado, busque los mensajes de error en el portal para información adicional sobre el problema con el certificado. Algunos problemas habituales con los certificados son:
- Certificado expirado
- Certificado autofirmado
- Certificado que carece de clave privada
El mensaje de error se muestra en la esquina superior derecha cuando se intenta cargar el certificado. También puede seleccionar el icono de notificación para ver los mensajes de error.