SSO (logon único) baseado em cabeçalho para aplicativos locais com proxy de aplicativo do Microsoft Entra
O proxy de aplicativo do Microsoft Entra dá suporte nativo ao acesso de SSO (logon único) a aplicativos que usam cabeçalhos para autenticação. Você configura os valores de cabeçalho exigidos pelo aplicativo no Microsoft Entra ID. Os valores de cabeçalho são enviados para o aplicativo por meio do proxy de aplicativo. Os benefícios de usar o suporte nativo para autenticação baseada em cabeçalho com proxy de aplicativo incluem:
Simplificar o acesso remoto aos aplicativos locais – o proxy de aplicativo simplifica sua arquitetura de acesso remoto existente. Você substitui o acesso de VPN (Rede Virtual Privada) a esses aplicativos. Você remove dependências de soluções de identidade locais para autenticação. Você simplifica a experiência para os usuários e eles não notam nada diferente quando eles usam aplicativos corporativos. Os usuários podem trabalhar de qualquer lugar em qualquer dispositivo.
Nenhum software adicional ou alterações nos seus aplicativos: você usa seus conectores de rede privada existentes. Nenhum software extra é necessário.
Lista abrangente de atributos e transformações disponíveis – Todos os valores de cabeçalho disponíveis são baseados em declarações padrão emitidas pelo Microsoft Entra ID. Todos os atributos e transformações disponíveis para configurar declarações para aplicativos SAML (Security Assertion Markup Language) ou OpenID Connect (OIDC) também estão disponíveis como valores de cabeçalho.
Pré-requisitos
Habilite o proxy de aplicativo e instale um conector que tenha acesso direto à rede aos seus aplicativos. Para saber mais, confira Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo.
Funcionalidades com suporte
A tabela lista os recursos comuns necessários para aplicativos de autenticação baseados em cabeçalho.
| Requisito | Descrição |
|---|---|
| SSO federado | No modo pré-autenticado, todos os aplicativos são protegidos com a autenticação do Microsoft Entra e os usuários têm logon único. |
| Acesso remoto | O proxy de aplicativo fornece acesso remoto ao aplicativo. Os usuários acessam o aplicativo da Internet em qualquer navegador da Web usando a URL (Uniform Resource Locator) externa. O proxy de aplicativo não se destina ao acesso corporativo geral. Para obter acesso corporativo geral, consulte Acesso Privado do Microsoft Entra. |
| Integração baseada em cabeçalho | O proxy de aplicativo manipula a integração do SSO com o Microsoft Entra ID e, em seguida, passa a identidade ou outros dados do aplicativo como cabeçalhos HTTP para o aplicativo. |
| Autorização de aplicativo | As políticas comuns são especificadas com base no aplicativo que está sendo acessado, na associação de grupo do usuário e em outras políticas. No Microsoft Entra ID, as políticas são implementadas usando o Acesso condicional. As políticas de autorização de aplicativo se aplicam somente à solicitação de autenticação inicial. |
| Autenticação de step-up | As políticas são definidas para forçar a autenticação adicional, por exemplo, a obter acesso a recursos confidenciais. |
| Autorização refinada | Fornece controle de acesso no nível da URL. Políticas adicionadas podem ser impostas com base na URL que está sendo acessada. A URL interna configurada para o aplicativo define o escopo do aplicativo ao qual a política é aplicada. A política configurada para o caminho mais granular é imposta. |
Observação
Este artigo descreve a conexão entre aplicativos de autenticação baseados em cabeçalho e o Microsoft Entra ID usando o proxy de aplicativo e é o padrão recomendado. Como alternativa, há um padrão de integração que usa PingAccess com o Microsoft Entra ID para habilitar a autenticação baseada em cabeçalho. Para obter mais informações, consulte Autenticação baseada em cabeçalho para logon único com proxy de aplicativo e PingAccess.
Como ele funciona
- O Administrador personaliza os mapeamentos de atributo exigidos pelo aplicativo no centro de administração do Microsoft Entra.
- O proxy de aplicativo garante que um usuário seja autenticado usando o Microsoft Entra ID.
- O serviço de nuvem do Proxy de Aplicativo está ciente dos atributos necessários. Portanto, o serviço busca as declarações correspondentes do token de ID recebido durante a autenticação. O serviço converte os valores nos cabeçalhos HTTP necessários como parte da solicitação para o Conector.
- A solicitação é transmitida ao Conector, que é transmitido para o aplicativo de back-end.
- O aplicativo recebe os cabeçalhos e pode usá-los conforme necessário.
Publicar o aplicativo com o proxy de aplicativo
Publique seu aplicativo de acordo com as instruções descritas em Publicar aplicativos com proxy de aplicativo.
- O valor da URL interna determina o escopo do aplicativo. Você configura o valor da URL interna no caminho raiz do aplicativo e todos os sub-caminhos abaixo da raiz recebem a mesma configuração de cabeçalho e aplicativo.
- Crie um novo aplicativo para definir uma configuração de cabeçalho ou atribuição de usuário diferente para um caminho mais granular do que o aplicativo configurado. No novo aplicativo, configure a URL interna com o caminho específico que você precisa e configure os cabeçalhos específicos necessários para a URL. O proxy de aplicativo sempre corresponde às configurações do caminho mais granular definido para um aplicativo.
Selecione Microsoft Entra ID como o método de pré-autenticação.
Atribua um usuário de teste navegando para Usuários e grupos e atribuindo os usuários e grupos apropriados.
Abra um navegador e navegue até a URL Externa das configurações do proxy de aplicativo.
Verifique se você pode se conectar ao aplicativo. Embora você possa se conectar, ainda não é possível acessar o aplicativo já que os cabeçalhos não estão configurados.
Configurar logon único
Antes de começar a usar o logon único para aplicativos baseados em cabeçalho, instale um conector de rede privada. O conector deve ser capaz de acessar os aplicativos de destino. Para saber mais, confira Tutorial: Proxy de aplicativo do Microsoft Entra.
- Depois que o aplicativo aparecer na lista de aplicativos empresariais, selecione e clique em Logon único.
- Defina o modo de logon único como Baseado em cabeçalho.
- Em Configuração Básica, Microsoft Entra ID é selecionado como o padrão.
- Selecione o lápis de edição, em Cabeçalhos para configurar cabeçalhos a serem enviados para o aplicativo.
- Selecione Adicionar novo cabeçalho. Forneça um nome para o cabeçalho e selecione Atributo ou Transformação e selecione na lista suspensa qual cabeçalho seu aplicativo precisa.
- Para saber mais sobre a lista de atributos disponíveis, confira Personalizações de Declarações – Atributos.
- Para saber mais sobre a lista de transformações disponíveis, confira Personalizações de Declarações – Transformações de Declaração.
- Você pode adicionar um Cabeçalho de Grupo. Para saber mais sobre como configurar grupos como um valor, confira: Configurar declarações de grupo para aplicativos.
- Selecione Salvar.
Testar seu aplicativo
O aplicativo agora está em execução e disponível. Para testar o aplicativo:
- Limpe os cabeçalhos armazenados em cache anteriormente abrindo uma nova janela do navegador ou do navegador privado.
- Navegue até a URL externa. Você pode encontrar essa configuração listada como URL Externa nas configurações de proxy de aplicativo.
- Entre com a conta de teste que você atribuiu ao aplicativo.
- Confirme se você pode carregar e entrar no aplicativo usando o SSO.
Considerações
- O proxy de aplicativo fornece acesso remoto a aplicativos locais ou em uma nuvem privada. O proxy de aplicativo não é recomendado para o tráfego originário dentro da mesma rede que o aplicativo pretendido.
- O acesso a aplicativos de autenticação baseada em cabeçalho deve ser restrito somente ao tráfego do conector ou à outra solução de autenticação baseada em cabeçalho permitida. A restrição de acesso é normalmente executada usando um firewall ou restrição de IP no servidor de aplicativos.