Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
A menudo, las aplicaciones se componen de varias aplicaciones web individuales. Estas situaciones usan diferentes sufijos de dominio o puertos o rutas de acceso diferentes en la dirección URL. Las instancias individuales de la aplicación web deben publicarse en aplicaciones proxy independientes de Microsoft Entra. En estas situaciones, pueden surgir los siguientes problemas:
-
Autenticación previa: El cliente debe adquirir por separado un token de acceso o una cookie para cada aplicación proxy de aplicación de Microsoft Entra. Las múltiples adquisiciones conducen a más redireccionamientos al iniciar sesión en
microsoftonline.com. -
Uso compartido de recursos entre orígenes (CORS): Las llamadas CORS, mediante el
OPTIONSmétodo , se usan para validar el acceso a la dirección URL entre la aplicación web del autor de la llamada y la aplicación web de destino. El servicio en la nube del proxy de aplicación de Microsoft Entra bloquea estas llamadas. El bloqueo se produce porque las solicitudes no pueden contener información de autenticación. - Administración deficiente de aplicaciones: Se crean varias aplicaciones empresariales para permitir el acceso a una aplicación privada, lo que agrega fricción a la experiencia de administración de aplicaciones.
En la ilustración siguiente se muestra un ejemplo de estructura de dominio de aplicación compleja.
Con el proxy de aplicación de Microsoft Entra, puede solucionar este problema mediante la publicación de una aplicación compleja formada por varias direcciones URL en varios dominios.
Una aplicación compleja tiene varios segmentos de aplicación. Cada segmento de aplicación tiene una dirección URL interna y externa. Una directiva de acceso condicional está asociada a la aplicación. El acceso a cualquiera de las direcciones URL externas funciona con autenticación previa con el mismo conjunto de directivas. Estas directivas se aplican para todos los segmentos de la aplicación.
Las aplicaciones complejas proporcionan varias ventajas:
- Autenticación de usuario
- Mitigación de problemas de CORS
- Acceso para distintos sufijos de dominio o puertos o rutas de acceso diferentes en la dirección URL interna
En este artículo se muestra cómo configurar la publicación de aplicaciones comodín en su entorno.
Características de los segmentos de aplicación para una aplicación compleja.
- Los segmentos de la aplicación solo están configurados como aplicación comodín.
- La dirección URL externa y alternativa tiene que coincidir con el dominio de la dirección URL externa y alternativa de carácter comodín de la aplicación, respectivamente.
- Las direcciones URL del segmento de aplicación (interna y externa) tienen que mantener la unicidad entre aplicaciones complejas.
- Pueden configurarse reglas de CORS (opcional) por segmento de aplicación.
- El acceso solo se concede a segmentos de aplicación definidos para una aplicación compleja.
Nota:
Si elimina todos los segmentos de aplicación, la aplicación compleja actúa como una aplicación con caracteres comodín, lo que permite el acceso a cualquier dirección URL válida en el dominio especificado.
- Puede tener una dirección URL interna definida tanto como segmento de aplicación y como aplicación normal.
Nota:
Las aplicaciones normales siempre tienen prioridad sobre una aplicación compleja (aplicación comodín).
Prerrequisitos
- Habilite el proxy de aplicación e instale un conector que tenga acceso directo a sus aplicaciones. Consulte el tutorial Incorporación de una aplicación local para el acceso remoto a través del proxy de aplicación para obtener información sobre cómo preparar el entorno local, instalar y registrar un conector y probar el conector.
Configure segmentos de aplicación para aplicaciones complejas.
Nota:
Se admiten dos segmentos de aplicación por aplicación distribuida compleja para la suscripción de Microsoft Entra ID P1 o P2.
Para publicar una aplicación distribuida compleja a través del proxy de aplicación con segmentos de aplicación:
En la página configuración básica del proxy de aplicación, seleccione Agregar segmentos de aplicación.
En la página Administrar y configurar segmentos de aplicación, seleccione + Agregar segmento de aplicación.
Escriba la URL Interna.
Seleccione un dominio personalizado en la lista desplegable de URL externa.
Agregue reglas de CORS (opcional). Para obtener más información, consulte Configuración de la regla de CORS.
Selecciona Crear.
Asigne usuarios a la aplicación.
Para editar o actualizar un segmento de aplicación, seleccione el segmento de aplicación de la lista en la página Administrar y configurar segmentos de aplicación. Cargue un certificado para el dominio actualizado, si es necesario, y actualice el registro sistema de nombres de dominio (DNS).
Configuración del inicio de sesión único (SSO)
Nota:
El inicio de sesión único con autenticación integrada de Windows (IWA) no admite nombres de entidad de seguridad de servicio (SPN) comodín. Por ejemplo, un carácter comodín como http/*.contoso.com usa el SPN configurado único, como http/app.contoso.com para todos los segmentos.
Actualizaciones del servicio de nombres de dominio
Al usar dominios personalizados, cree una entrada DNS con un registro CNAME para la dirección URL externa. Por ejemplo, indique *.adventure-works.com a la dirección URL externa del endpoint del proxy de la aplicación. Para aplicaciones con caracteres comodín, apunte el registro CNAME a la dirección URL externa pertinente: <yourAADTenantId>.tenant.runtime.msappproxy.net.
Como alternativa, se puede crear una entrada DNS dedicada con un registro CNAME para cada segmento de aplicación individual de la siguiente manera:
External URL of the application segment><yourAADTenantId>.tenant.runtime.msappproxy.net
Además, se requiere agregar un registro CNAME para el identificador de aplicación en la misma zona DNS:
<yourAppId>><yourAADTenantId>.tenant.runtime.msappproxy.net
Si el grupo de conectores asignado a la aplicación compleja no está en la región del grupo conector predeterminado, se debe usar uno de los siguientes sufijos de dominio en las entradas DNS:
| Región asignada del conector | Dirección URL externa |
|---|---|
| Asia | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
| Australia | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
| Europa | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
| América del Norte | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Para obtener instrucciones más detalladas para el proxy de aplicación, consulte Tutorial: Agregar una aplicación local para acceso remoto a través del proxy de aplicación en Microsoft Entra ID.
Pasos siguientes
- Adición de una aplicación local para el acceso remoto a través del proxy de aplicación en el identificador de Microsoft Entra
- Planeamiento de una implementación del proxy de aplicación de Microsoft Entra
- Descripción del acceso remoto a las aplicaciones locales a través del proxy de aplicación de Microsoft Entra
- Descripción y solución de problemas de CORS del proxy de aplicación de Microsoft Entra