Aplicaciones comodín en el proxy de aplicaciones de Microsoft Entra
En Microsoft Entra ID, configurar un gran número de aplicaciones locales puede dificultar rápidamente la administración e incorpora riesgos innecesarios de errores de configuración si muchas de ellas requieren la misma configuración. Con el proxy de aplicaciones de Microsoft Entra, puede resolver este problema publicando aplicaciones comodín para publicar y administrar varias aplicaciones a la vez. Se trata de una solución que permite:
- Simplificar la sobrecarga administrativa
- Reducir el número de posibles errores de configuración
- Permitir a los usuarios acceder con seguridad a más recursos
En este artículo se proporciona la información necesaria para configurar la publicación de la aplicación con comodín en el entorno.
Creación de una aplicación con comodín
Puede crear una aplicación con comodín (*) si tiene un grupo de aplicaciones con la misma configuración. Los posibles candidatos a aplicación con comodín son aquellas que comparten la configuración siguiente:
- Grupo de usuarios que pueden acceder a ellas
- Método de inicio de sesión único
- Protocolo de acceso (http, https)
Puede publicar aplicaciones con caracteres comodín si tanto las direcciones URL internas como las externas tienen el siguiente formato:
http(s)://*.<domain>
Por ejemplo: http(s)://*.adventure-works.com
.
Aunque las direcciones URL internas y externas pueden usar dominios diferentes, como procedimiento recomendado, deben ser iguales. Al publicar la aplicación, verá un error si una de las direcciones URL no tiene un carácter comodín.
La creación de una aplicación comodín se basa en el mismo flujo de publicación de aplicaciones que está disponible para las demás aplicaciones. La única diferencia es que se incluye un carácter comodín en las direcciones URL y, quizá, la configuración del inicio de sesión único.
Prerrequisitos
Para comenzar, asegúrese de que reúne estos requisitos.
Dominios personalizados
Mientras que losdominios personalizados son opcionales para todas las demás aplicaciones, son un requisito previo para las aplicaciones con comodín. La creación de dominios personalizados requiere:
- La creación de un dominio comprobado en Azure.
- La carga de un certificado TLS/SSL con formato PFX para el proxy de aplicación.
Considere la posibilidad de usar un certificado con comodín para que coincida con la aplicación que va a crear.
Por motivos de seguridad, se trata de un requisito de disco duro y no se admiten caracteres comodín para las aplicaciones que no puedan utilizar un dominio personalizado para la dirección URL externa.
Actualizaciones del servicio de nombres de dominio
Cuando utilice dominios personalizados, debe crear una entrada DNS con un registro CNAME para la dirección URL externa (por ejemplo, *.adventure-works.com
) que apunte a la dirección URL externa del punto de conexión proxy de la aplicación. En el caso de las aplicaciones con caracteres comodín, el registro CNAME debe apuntar a la dirección URL externa pertinente:
<yourAADTenantId>.tenant.runtime.msappproxy.net
Para confirmar que ha configurado CNAME correctamente, puede usar nslookup en uno de los puntos de conexión de destino, por ejemplo, expenses.adventure-works.com
. La respuesta debe incluir el alias ya mencionado (<yourAADTenantId>.tenant.runtime.msappproxy.net
).
Uso de grupos de conectores asignados a una región de servicio en la nube del proxy de aplicación distinta de la región predeterminada
Si tiene conectores instalados en regiones distintas de la región de inquilino predeterminada, conviene cambiar para qué región está optimizado el grupo de conectores a fin de mejorar el rendimiento al acceder a estas aplicaciones. Para más información, consulte Optimización de los grupos de conectores para usar el servicio en la nube del proxy de aplicación más cercano.
Si el grupo de conectores asignado a la aplicación de caracteres comodín usa una región distinta de la predeterminada, deberá actualizar el registro CNAME para que apunte a una dirección URL externa específica de la región. Utilice la tabla siguiente para determinar la dirección URL pertinente:
Región asignada del conector | Dirección URL externa |
---|---|
Asia | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
Australia | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
Europa | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
Norteamérica | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Consideraciones
Estas son algunas consideraciones que debe tener en cuenta para las aplicaciones con comodín.
Formatos aceptados
Para las aplicaciones con comodín, la URL interna debe tener el formato http(s)://*.<domain>
.
Al configurar una dirección URL externa, debe utilizar el formato siguiente: https://*.<custom domain>
No se admiten otras posiciones de comodín, varios comodines ni otras cadenas de expresiones regulares, que provocan errores.
Exclusión de aplicaciones del comodín
Para excluir una aplicación de la aplicación con comodín:
- Publique la excepción de aplicación como aplicación normal
- Habilite el comodín solo para aplicaciones específicas mediante la configuración del servicio de nombres de dominio
La publicación de una aplicación como aplicación normal es el método preferido para excluir una aplicación de un comodín. Debe publicar las aplicaciones excluidas antes que las aplicaciones con comodín para asegurarse de que las excepciones se aplican desde el principio. La aplicación más específica siempre tiene prioridad: una aplicación que se publica como budgets.finance.adventure-works.com
tiene prioridad sobre *.finance.adventure-works.com
, que a su vez tiene prioridad sobre *.adventure-works.com
.
También puede limitar el carácter comodín para que funcione solo para aplicaciones específicas mediante la administración del servicio de nombres de dominio. Como procedimiento recomendado, debe crear una entrada CNAME que incluya un carácter comodín y coincida con el formato de la dirección URL externa configurada. Sin embargo, en su lugar puede hacer que las direcciones URL de aplicación específica apunten a los caracteres comodín. Por ejemplo, en lugar de *.adventure-works.com
, haga que hr.adventure-works.com
, expenses.adventure-works.com
y travel.adventure-works.com individually
apunten a 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net
.
Si utiliza esta opción, necesitará otra entrada CNAME para el valor AppId.domain
, por ejemplo, 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com
, que apunte a la misma ubicación. Puede encontrar el AppId en la página de propiedades de la aplicación de la aplicación comodín.
Configuración de la dirección URL de página de inicio para el panel MyApps
La aplicación con comodín se representa con un solo icono en el panel MyApps. De forma predeterminada, este icono está oculto. Para mostrar el icono y que los usuarios vayan a una página específica:
- Siga las directrices para configurar una dirección URL de página principal.
- Establezca Show Application en true en la página de propiedades de la aplicación.
Delegación limitada de Kerberos
Para las aplicaciones que usan la delegación restringida de Kerberos (KCD) como método de inicio de sesión único, el nombre de entidad de seguridad de servicio que aparece para el método de inicio de sesión único necesita un carácter comodín. Por ejemplo, el nombre de entidad de seguridad de servicio podría ser: HTTP/*.adventure-works.com
. Debe tener los nombres de entidad de seguridad de servicio individuales configurados en los servidores back-end (por ejemplo, HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com
).
Escenario 1: aplicación con comodín general
En este escenario, tiene tres aplicaciones que desea publicar:
expenses.adventure-works.com
hr.adventure-works.com
travel.adventure-works.com
Las tres aplicaciones:
- Las utilizan todos los usuarios
- Usan la autenticación integrada de Windows
- Tienen las mismas propiedades
Puede publicar la aplicación comodín siguiendo los pasos descritos en Publicación de aplicaciones mediante el proxy de aplicaciones de Microsoft Entra. En este escenario se presupone que:
- Hay un inquilino con el identificador:
aaaabbbb-0000-cccc-1111-dddd2222eeee
. - Se ha configurado un dominio comprobado denominado
adventure-works.com
. - Se ha creado una entrada CNAME que hace que
*.adventure-works.com
apunte a00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net
.
Al seguir los pasos documentados, se crea una aplicación de proxy de aplicación en el inquilino. En este ejemplo, el carácter comodín se encuentra en los campos siguientes:
Dirección URL interna:
Dirección URL externa:
Nombre de entidad de seguridad de servicio de la aplicación interno:
Al publicar la aplicación con comodín, ahora tendrá acceso a las tres aplicaciones; para ello, vaya a las direcciones URL habituales (por ejemplo, travel.adventure-works.com
).
La configuración implementa la siguiente estructura:
Color | Descripción |
---|---|
Azul | Aplicaciones publicadas y visibles explícitamente en el centro de administración de Microsoft Entra. |
Gris | Aplicaciones a las que puede acceder desde la aplicación primaria. |
Escenario 2: aplicación con comodín general con excepción
En este escenario, además de las tres aplicaciones generales tiene otra, finance.adventure-works.com
, que solo debe ser accesible para el departamento financiero. Con la estructura de aplicación actual, la aplicación financiera sería accesible mediante la aplicación con comodín y para todos los empleados. Para cambiar esto, excluya la aplicación de la aplicación con comodín; para ello, configure la financiera como aplicación independiente con permisos más restrictivos.
Asegúrese de que existe un registro CNAME que hace que finance.adventure-works.com
apunte al punto de conexión específico de la aplicación (que se especifica en la página del proxy de aplicación de esta). En este escenario, finance.adventure-works.com
apunta a https://finance-awcycles.msappproxy.net/
.
Al seguir los pasos documentados, este escenario requiere la siguiente configuración:
En la dirección URL interna, establezca finance en lugar de un carácter comodín.
En la dirección URL externa, establezca finance en lugar de un carácter comodín.
En el nombre de entidad de seguridad de servicio interno de la aplicación, establezca finance en lugar de un carácter comodín.
La configuración implementa el siguiente escenario:
La dirección URL finance.adventure-works.com
es específica. La dirección URL *.adventure-works.com
no es específica. La dirección URL más específica tiene prioridad. Los usuarios que visiten finance.adventure-works.com
tiene la experiencia que se especifica en la aplicación Finance Resources. En este caso, solo los empleados del departamento financiero tienen acceso a finance.adventure-works.com
.
Si tiene varias aplicaciones financieras publicadas y finance.adventure-works.com
como dominio comprobado, puede publicar otra aplicación con comodín *.finance.adventure-works.com
. Dado que esta es más específico que la dirección *.adventure-works.com
genérica, tiene prioridad si un usuario accede a una aplicación del dominio financiero.
Pasos siguientes
- Para más información sobre Dominios personalizados, consulte Trabajar con dominios personalizados en el proxy de aplicaciones de Microsoft Entra.
- Para más información sobre la Publicación de aplicaciones, consulte Publicación de aplicaciones mediante el proxy de aplicaciones de Microsoft Entra