Autenticação do Windows - delegação restrita de Kerberos com ID do Microsoft Entra

  • Artigo

Com base nos Nomes da entidade de serviço, a Delegação Restrita de Kerberos (KCD) fornece delegação restrita entre recursos. Requer que os administradores de domínio criem as delegações e está limitado a um único domínio. Você pode usar o KCD baseado em recursos para fornecer autenticação Kerberos para um aplicativo Web que tenha usuários em vários domínios dentro de uma floresta do Ative Directory.

O proxy de aplicativo Microsoft Entra pode fornecer logon único (SSO) e acesso remoto a aplicativos baseados em KCD que exigem um tíquete Kerberos para acesso e Delegação Restrita de Kerberos (KCD).

Para habilitar o SSO para seus aplicativos KCD locais que usam autenticação integrada do Windows (IWA), conceda permissão aos conectores de rede privada para representar usuários no Ative Directory. O conector de rede privada usa essa permissão para enviar e receber tokens em nome dos usuários.

Quando usar o KCD

Use o KCD quando houver necessidade de fornecer acesso remoto, proteger com pré-autenticação e fornecer SSO para aplicativos IWA locais.

Diagrama de arquitetura

Componentes do sistema

  • Usuário: acessa o aplicativo herdado que o Proxy de Aplicativo atende.
  • Navegador da Web: o componente com o qual o usuário interage para acessar a URL externa do aplicativo.
  • Microsoft Entra ID: autentica o usuário.
  • Serviço de Proxy de Aplicativo: Atua como proxy reverso para enviar solicitações do usuário para o aplicativo local. Ele fica no Microsoft Entra ID. O Proxy de Aplicativo pode impor políticas de Acesso Condicional.
  • Conector de rede privada: instalado em servidores locais do Windows para fornecer conectividade ao aplicativo. Retorna a resposta para o Microsoft Entra ID. Executa a negociação KCD com o Ative Directory, personificando o usuário para obter um token Kerberos para o aplicativo.
  • Ative Directory: envia o token Kerberos do aplicativo para o conector de rede privada.
  • Aplicativos herdados: aplicativos que recebem solicitações de usuários do Proxy de Aplicativo. Os aplicativos herdados retornam a resposta para o conector de rede privada.

Implementar a autenticação do Windows (KCD) com o Microsoft Entra ID

Explore os seguintes recursos para saber mais sobre como implementar a autenticação do Windows (KCD) com o Microsoft Entra ID.

Próximos passos

  • Visão geral do protocolo de autenticação e sincronização do Microsoft Entra descreve a integração com protocolos de autenticação e sincronização. As integrações de autenticação permitem que você use o Microsoft Entra ID e seus recursos de segurança e gerenciamento com poucas ou nenhumas alterações em seus aplicativos que usam métodos de autenticação herdados. As integrações de sincronização permitem sincronizar dados de usuários e grupos com o Microsoft Entra ID e, em seguida, com os recursos de gerenciamento do Microsoft Entra do usuário. Alguns padrões de sincronização permitem o provisionamento automatizado.
  • Compreender o logon único com um aplicativo local usando o Proxy de Aplicativo descreve como o SSO permite que seus usuários acessem um aplicativo sem autenticar várias vezes. O SSO ocorre na nuvem contra o Microsoft Entra ID e permite que o serviço ou Conector represente o usuário para concluir desafios de autenticação do aplicativo.
  • O logon único SAML (Security Assertion Markup Language) para aplicativos locais com proxy de aplicativo Microsoft Entra descreve como você pode fornecer acesso remoto a aplicativos locais protegidos com autenticação SAML por meio do Proxy de Aplicativo.