Autenticación de Windows: Delegación restringida de Kerberos con Microsoft Entra ID

En función de los nombres de entidad de servicio, la delegación restringida de Kerberos (KCD) proporciona delegación restringida entre recursos. Requiere que los administradores de dominio creen las delegaciones y se limita a un único dominio. Puede usar KCD basada en recursos a fin de proporcionar autenticación Kerberos para una aplicación web que tiene usuarios en varios dominios dentro de un bosque de Active Directory.

Microsoft Entra Application Proxy puede proporcionar inicio de sesión único (SSO) y acceso remoto a las aplicaciones basadas en KCD que requieren un vale de Kerberos para el acceso y la delegación restringida de Kerberos.

Para habilitar el inicio de sesión único en las aplicaciones de KCD locales que usan la autenticación integrada de Windows (IWA), conceda permiso a los conectores de red privados para suplantar a los usuarios en Active Directory. El conector de red privada usa este permiso para enviar y recibir tokens en nombre de los usuarios.

Cuándo usar KCD

Use KCD cuando exista la necesidad de proporcionar acceso remoto, proteger con autenticación previa y proporcionar SSO a las aplicaciones IWA locales.

Componentes del sistema

• Usuario: accede a la aplicación heredada a la que Application Proxy ofrece servicio.
• Explorador web: Componente con el que el usuario interactúa para acceder a la dirección URL externa de la aplicación.
• Microsoft Entra ID : autentica al usuario.
• Servicio Application Proxy: actúa como proxy inverso para enviar solicitudes del usuario a la aplicación local. Se encuentra en Microsoft Entra ID. Application Proxy puede aplicar directivas de acceso condicional.
• Conector de red privada: instalados en servidores locales de Windows para proporcionar conectividad a la aplicación. Devuelve la respuesta a Microsoft Entra ID. Realiza la negociación de KCD con Active Directory, suplantando al usuario para obtener un token de Kerberos para la aplicación.
• Active Directory: envía el token kerberos para la aplicación al conector de red privada.
• Aplicaciones heredadas: Aplicaciones que reciben solicitudes de usuario de Application Proxy. Las aplicaciones heredadas devuelven la respuesta al conector de red privada.

Implementación de la autenticación de Windows (KCD) con Microsoft Entra ID

Explore los recursos siguientes para obtener más información sobre cómo implementar la autenticación de Windows (KCD) con Microsoft Entra ID.

• En Inicio de sesión único (SSO) basado en Kerberos en Microsoft Entra ID con Application Proxy se describen los requisitos previos y los pasos de configuración.
• El Tutorial: Adición de una aplicación local (Application Proxy en Microsoft Entra) le ayuda a preparar el entorno para su uso con Application Proxy.

Pasos siguientes

• En Introducción al protocolo de sincronización y autenticación de Microsoft Entra se describe la integración con los protocolos de autenticación y sincronización. Las integraciones de autenticación permiten usar Microsoft Entra y sus características de seguridad y administración con pocos cambios o ninguno en las aplicaciones que usan métodos de autenticación heredados. Las integraciones de sincronización le permiten sincronizar los datos de usuarios y grupos con Microsoft Entra ID y, a continuación, las capacidades de administración de usuarios de Microsoft Entra. Algunos patrones de sincronización permiten el aprovisionamiento automatizado.
• En Descripción del inicio de sesión único con una aplicación local mediante Application Proxy se describe la forma en que el inicio de sesión único permite a los usuarios acceder a una aplicación sin autenticarse varias veces. El inicio de sesión único se lleva a cabo desde la nube en Microsoft Entra ID y permite que el servicio o conector suplante al usuario para completar los desafíos de autenticación de la aplicación.
• En Inicio de sesión único basado en Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) para aplicaciones locales con Microsoft Entra Application Proxy se describe cómo se puede proporcionar acceso remoto a aplicaciones locales protegidas con autenticación SAML mediante Application Proxy.