Share via

Autenticação baseada em cabeçalho para logon único com proxy de aplicativo e PingAccess

  • Artigo

A Microsoft fez uma parceria com o PingAccess para fornecer mais aplicativos de acesso. O PingAccess fornece outra opção além do logon único baseado em cabeçalhointegrado.

O que é PingAccess para Microsoft Entra ID?

Com o PingAccess para Microsoft Entra ID, você fornece aos usuários acesso e logon único (SSO) aos aplicativos que usam cabeçalhos para autenticação. O proxy de aplicativo trata esses aplicativos como quaisquer outros, usando o Microsoft Entra ID para autenticar o acesso e, a seguir, passam o tráfego por meio do serviço do conector. O PingAccess fica na frente dos aplicativos e converte o token de acesso do Microsoft Entra ID em um cabeçalho. Em seguida, o aplicativo recebe a autenticação no formato que pode ser lido.

Os usuários não perceberão nada diferente quando entrarem para usar os aplicativos corporativos. Os aplicativos podem trabalhar de qualquer lugar e em qualquer dispositivo. Os conectores de rede privada direcionam o tráfego remoto para todos os aplicativos sem considerar o tipo de autenticação. Portanto, eles ainda vão balancear as cargas automaticamente.

Como posso obter acesso?

Você precisa de uma licença para PingAccess e Microsoft Entra ID. No entanto, as assinaturas do Microsoft Entra ID P1 ou P2 incluem uma licença básica do PingAccess que abrange até 20 aplicativos. Se você precisar publicar mais de 20 aplicativos com base em cabeçalho, poderá adquirir mais licenças do PingAccess.

Para obter mais informações, confira Edições do Microsoft Entra.

Publicar seu aplicativo no Microsoft Entra

Este artigo descreve as etapas para publicar um aplicativo pela primeira vez. O artigo fornece diretrizes para o proxy de aplicativo e o PingAccess.

Observação

Algumas das instruções estão no site do Ping Identity.

Instalar um conector de rede privada

O conector de rede privada é um serviço do Windows Server que direciona o tráfego de seus funcionários remotos para seus aplicativos publicados. Para obter instruções mais detalhadas sobre a instalação, confira o Tutorial: adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo no Microsoft Entra ID.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de aAplicativos.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Proxy de aplicativo.
  3. Escolha Baixar o serviço do conector.
  4. Siga as instruções de instalação.

O download do conector deve habilitar automaticamente o proxy de aplicativo para seu diretório. Se isso não acontecer, selecione Habilitar proxy de aplicativo.

Adicionar seu aplicativo ao Microsoft Entra ID com o proxy de aplicativo

Há duas etapas para adicionar seu aplicativo ao Microsoft Entra ID. Primeiro, você precisa publicar seu aplicativo com o proxy de aplicativo. Depois, colete informações sobre o aplicativo a ser usado durante as etapas do PingAccess.

Publicar seu aplicativo

Primeiro, publique seu aplicativo. Isso envolve:

  • Como adicionar seu aplicativo local ao Microsoft Entra ID.
  • Atribuir um usuário para testar o aplicativo e escolher o logon único baseado em cabeçalho.
  • Configuração da URL de redirecionamento do aplicativo.
  • Concessão de permissões para usuários e outros aplicativos usarem seu aplicativo local.

Para publicar seu próprio aplicativo local:

  1. Entre no Centro de administração do Microsoft Entra como um Administrador de Aplicativo.

  2. Navegue até Aplicativos empresariais>Novo aplicativo>Adicionar um aplicativo local. A página Adicionar seu próprio aplicativo local é exibida.

    Adicione seu próprio aplicativo local

  3. Preencha os campos obrigatórios com informações sobre seu novo aplicativo. Use as diretrizes para as configurações.

    Observação

    Para obter uma orientação mais detalhada dessa etapa, confira Adicionar um aplicativo local ao Microsoft Entra ID.

    1. URL interno: normalmente, você fornece o URL que levará você até a página de login do aplicativo quando estiver na rede corporativa. Para esse cenário, o conector precisa tratar o proxy do PingAccess como a página inicial do aplicativo. Use este formato: https://<host name of your PingAccess server>:<port>. A porta é a 3000 por padrão, mas você pode configurá-la no PingAccess.

      Aviso

      Para esse tipo de logon único, a URL interna deve usar https e não http. Além disso, nenhum dos dois aplicativos deve ter a mesma URL interna para que o proxy de aplicativo possa manter uma distinção entre eles.

    2. Método de pré-autenticação: escolha o Microsoft Entra ID.

    3. Converter URL em Cabeçalhos: Escolha Não.

    Observação

    Se este for seu primeiro aplicativo, use a porta 3000 para iniciar e retorne para atualizar essa configuração se alterar a configuração de PingAccess. Para os aplicativos subsequentes, a porta precisará corresponder ao Ouvinte que você configurou no PingAccess. Saiba mais sobre ouvintes no PingAccess.

  4. Selecione Adicionar. A página de visão geral do novo aplicativo é exibida.

Agora, atribua um usuário para teste de aplicativo e escolha logon único baseado em cabeçalho:

  1. Na barra lateral do aplicativo, selecione Usuários e grupos>Adicionar usuário>Usuários e grupos do usuário (<Número> Selecionado). Uma lista de usuários e grupos é exibida para sua escolha.

    Mostra a lista de usuários e grupos

  2. Selecione um usuário para teste de aplicativo e selecione Selecionar. Verifique se essa conta de teste tem acesso ao aplicativo local.

  3. Selecione Atribuir.

  4. Na barra lateral do aplicativo, selecione Logon único>com base em cabeçalho.

    Dica

    Se esta for a primeira vez que você usa o logon único com base em cabeçalhos, será necessário instalar o PingAccess. Para certificar-se de que sua assinatura do Microsoft Entra ID seja automaticamente associada à sua instalação do PingAccess, use o link nesta página de logon único para baixar o PingAccess. Você pode abrir o site de download agora ou voltar a esta página mais tarde.

    Mostra a tela de logon baseada em cabeçalho e PingAccess

  5. Selecione Salvar.

Em seguida, verifique se a URL de redirecionamento está definida para a URL externa:

  1. Navegue até Identidade>Aplicativos>Registros de aplicativo e selecione seu aplicativo.
  2. Selecione o link ao lado de URIs de Redirecionamento. O link mostra a quantidade de URIs (Uniform Resource Identifiers) de redirecionamento para clientes web e públicos. A página< Nome do aplicativo > – Autenticação é exibida.
  3. Verifique se a URL externa que você atribuiu ao seu aplicativo anteriormente está na lista de URIs de redirecionamento. Se não estiver, adicione a URL externa agora, usando um tipo de URI de redirecionamento de Web e selecione Salvar.

Além do URL externo, um ponto de extremidade de autorização do Microsoft Entra ID no URL externo deve ser adicionado à lista de URIs de Redirecionamento.

https://*.msappproxy.net/pa/oidc/cb https://*.msappproxy.net/

Por fim, configure o aplicativo local para que os usuários tenham acesso read e outros aplicativos tenham acesso read/write:

  1. Na barra lateral de Registros de aplicativo do seu aplicativo, selecione Permissões de API>Adicionar uma permissão>APIs da Microsoft>Microsoft Graph. A página Solicitar permissões de API para o Microsoft Graph é exibida, contendo as permissões para o Microsoft Graph.

    Mostra a página Solicitar permissões de API

  2. Selecione Permissões delegadas>Usuário>User.Read.

  3. Selecione Permissões do aplicativo>Aplicativo>Application.ReadWrite.All.

  4. Selecione Adicionar Permissões.

  5. No painel Permissões de API, selecione Fornecer o consentimento do administrador para o < nome do seu diretório>.

Coletar informações sobre as etapas do PingAccess

Colete três GUIDs (Identificadores Globalmente Exclusivos). Use os GUIDs para configurar seu aplicativo com o PingAccess.

Nome do campo do Microsoft Entra ID Nome do campo do PingAccess Formato de dados
ID do aplicativo (cliente) ID do Cliente GUID
ID do diretório (locatário) Emissor GUID
PingAccess key Segredo do Cliente Cadeia de caracteres aleatória

Para coletar essas informações:

  1. Navegue até Identidade>Aplicativos>Registros de aplicativo e selecione seu aplicativo.

    Visão geral do registro de um aplicativo

  2. Ao lado do valor da ID do aplicativo (cliente) , selecione o ícone Copiar para área de transferência. Em seguida, copie e salve-o. Você especifica esse valor posteriormente como a ID do cliente do PingAccess.

  3. Em seguida, no valor da ID do diretório (locatário) , também selecione Copiar para a área de transferência, copie e salve. Você especifica esse valor posteriormente como emissor de PingAccess.

  4. Na barra lateral dos Registros de aplicativo para seu aplicativo, selecione Certificados e segredos>Novo segredo do cliente. O painel Adicionar um segredo do cliente será exibido.

    Mostra a página Adicionar um segredo do cliente

  5. Em Descrição, digite PingAccess key.

  6. Em Expirar, escolha como configurar a chave PingAccess: Em 1 ano, Em 2 anosou Nunca.

  7. Selecione Adicionar. A chave PingAccess aparece na tabela de segredos do cliente, com uma cadeia de caracteres aleatória que é preenchida por preenchimento automático no campo VALUE.

  8. Ao lado do campo VALUE da chave PingAccess, selecione o ícone Copiar para área de transferência. Em seguida, copie e salve-o. Você especifica esse valor posteriormente como o segredo do cliente do PingAccess.

Atualize o acceptMappedClaims campo:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de aAplicativos.
  2. Escolha o nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa o proxy de aplicativo. Se for necessário alterar diretórios, escolha Mudar diretório e escolha um diretório que usa o proxy de aplicativo.
  3. Navegue até Identidade>Aplicativos>Registros de aplicativo e selecione seu aplicativo.
  4. Na barra lateral da página Registros de aplicativo para seu aplicativo, selecione Manifesto. O código JSON do manifesto para o registro do seu aplicativo é exibido.
  5. Procure o campo acceptMappedClaims e altere o valor para True.
  6. Selecione Salvar.

Uso de declarações opcionais (opcional)

As declarações opcionais permitem que você adicione declarações padrão que não são normalmente incluídas e que todos os usuários e locatários têm. Você pode configurar declarações opcionais para o aplicativo modificando o manifesto do aplicativo. Para saber mais, confira o artigo Como entender o manifesto do aplicativo do Microsoft Entra.

Exemplo para incluir o endereço de email no access_token que o PingAccess consume:

    "optionalClaims": {
        "idToken": [],
        "accessToken": [
            {
                "name": "email",
                "source": null,
                "essential": false,
                "additionalProperties": []
            }
        ],
        "saml2Token": []
    },

Uso da política de mapeamento de declarações (opcional)

O mapeamento de declarações permite migrar aplicativos locais antigos para a nuvem adicionando mais declarações personalizadas que dão suporte aos seus ADFS (Serviços de Federação do Active Directory) ou objetos de usuário. Para obter mais informações, consulte Política de mapeamento de declarações (versão prévia).

Para usar uma declaração personalizada e incluir mais campos em seu aplicativo. Criou uma política de mapeamento de declarações personalizada e a atribuiu ao aplicativo.

Observação

Para usar uma declaração personalizada, você também deve ter uma política personalizada definida e atribuída ao aplicativo. A política deve incluir todos os atributos personalizados necessários.

Você pode fazer a definição de política e a atribuição por meio do PowerShell ou Microsoft Graph. Se você estiver fazendo isso no PowerShell, precisará primeiro usar New-AzureADPolicy e, em seguida, atribuí-lo para o aplicativo com Add-AzureADServicePrincipalPolicy. Para obter mais informações, consulte Atribuição de política de mapeamento de declarações.

Exemplo:

$pol = New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"employeeid","JwtClaimType":"employeeid"}]}}') -DisplayName "AdditionalClaims" -Type "ClaimsMappingPolicy"

Add-AzureADServicePrincipalPolicy -Id "<<The object Id of the Enterprise Application you published in the previous step, which requires this claim>>" -RefObjectId $pol.Id

Habilitar PingAccess para usar declarações personalizadas

Habilitar o PingAccess para usar declarações personalizadas é opcional, mas será necessário se você espera que o aplicativo consuma mais declarações.

Ao configurar o PingAccess na etapa a seguir, a sessão da Web que você criará (Configurações->Acesso->Sessões da Web) deverá ter o Perfil de Solicitação desmarcado e Atualizar os Atributos de Usuário definido como Não.

Baixar o PingAccess e configurar seu aplicativo

As etapas detalhadas para a parte do PingAccess deste cenário continuam na documentação de Identidade de Ping. Siga as instruções em Como configurar o PingAccess para Microsoft Entra ID no site do Ping Identity e baixe a versão mais recente do PingAccess.

As etapas no artigo PingAccess orientam você a obter uma conta do PingAccess. Para criar uma conexão do OpenID Connect (OIDC) do Microsoft Entra ID, você configura um provedor de token com o valor de ID de Diretório (locatário) que você copiou do centro de administração do Microsoft Entra. Crie uma sessão da Web no PingAccess. Use os valores Application (client) ID e PingAccess key. Em seguida, configure o mapeamento de identidade e crie um host virtual, site e aplicativo.

Teste seu aplicativo

O aplicativo está em execução. Para testá-lo, abra um navegador e navegue até a URL externa que você criou quando publicou o aplicativo no Microsoft Entra. Entre com a conta de teste que você atribuiu ao aplicativo.

Próximas etapas