Aplicativos Curinga no Proxy de Aplicativo do Azure Active Directory

No Azure Active Directory (Azure AD), a configuração de um grande número de aplicativos locais poderá se tornar rapidamente incontrolável e apresentar riscos desnecessários de erros de configuração, se muitas deles exigirem as mesmas configurações. Com Proxy de Aplicativo do Azure AD, você pode resolver esse problema usando a publicação de aplicativos curinga para publicar e gerenciar muitos aplicativos de uma só vez. Esta é uma solução que permite:

  • Simplificar a sobrecarga administrativa
  • Reduzir o número de erros de configuração em potencial
  • Permitir que os usuários acessem mais recursos de maneira segura

Este artigo apresenta as informações de que você precisa para configurar a publicação de aplicativos curinga no ambiente.

Criar um aplicativo curinga

Você poderá criar um aplicativo curinga (*), se tiver um grupo de aplicativos com a mesma configuração. Os candidatos em potencial para um aplicativo curinga são aplicativos que compartilham as seguintes configurações:

  • O grupo de usuários que têm acesso a eles
  • O método SSO
  • O protocolo de acesso (http, https)

Você poderá publicar aplicativos com curingas se ambas as URLs, interna e externa, estiverem no seguinte formato:

http(s)://*.<domain>

Por exemplo: http(s)://*.adventure-works.com.

Embora as URLs interna e externa possam usar domínios diferentes, como melhor prática, elas devem ser iguais. Ao publicar o aplicativo, você verá um erro se uma das URLs não tiver um curinga.

A criação de um aplicativo curinga se baseia no mesmo fluxo de publicação do aplicativo disponível para todos os outros aplicativos. A única diferença é que você inclui um curinga na URL e, talvez, a configuração SSO.

Pré-requisitos

Para começar, verifique se você atende a esses requisitos.

Domínios personalizados

Embora domínios personalizados sejam opcionais para todos os outros aplicativos, eles são um pré-requisito para aplicativos curinga. A criação de domínios personalizados requer:

  1. Criar um domínio verificado no Azure.
  2. Carregar um certificado TLS/SSL no formato PFX para o proxy do aplicativo.

Você deve considerar o uso de um certificado curinga de acordo com o aplicativo que pretende criar.

Por motivos de segurança, este é um requisito fixo, e não daremos suporte a curingas para aplicativos que não possam usar um domínio personalizado para a URL externa.

Atualizações DNS

Ao usar domínios customizados, você precisa criar uma entrada DNS com um registro CNAME para a URL externa (por exemplo, *.adventure-works.com) apontando para a URL externa do ponto de extremidade do proxy de aplicativo. Para aplicativos curinga, o registro CNAME precisa apontar para a URL externa relevante:

<yourAADTenantId>.tenant.runtime.msappproxy.net

Para confirmar se configurou o CNAME corretamente, você pode usar nslookup em um dos pontos de extremidade de destino, por exemplo, expenses.adventure-works.com. A resposta deve incluir o alias já mencionado (<yourAADTenantId>.tenant.runtime.msappproxy.net).

Usar grupos de conectores atribuídos a uma região de serviço de nuvem de proxy de aplicativo diferente da região padrão

Se você tiver conectores instalados em regiões diferentes da sua região de locatário padrão, pode ser benéfico alterar em qual região o grupo de conectores é otimizado para melhorar o desempenho do acesso a esses aplicativos. Para saber mais, confira Otimizar grupos de conectores para usar o serviço de nuvem Proxy de Aplicativo mais próximo.

Se o grupo de conectores atribuído ao aplicativo curinga usar uma região diferente da região padrão, você precisará atualizar o registro CNAME para apontar para uma URL externa específica regional. Use a tabela a seguir para determinar a URL relevante:

Região atribuída ao conector URL Externa
Ásia <yourAADTenantId>.asia.tenant.runtime.msappproxy.net
Austrália <yourAADTenantId>.aus.tenant.runtime.msappproxy.net
Europa <yourAADTenantId>.eur.tenant.runtime.msappproxy.net
América do Norte <yourAADTenantId>.nam.tenant.runtime.msappproxy.net

Considerações

Aqui estão algumas considerações que você deve levar em consideração para aplicativos curinga.

Formatos aceitos

Para aplicativos curinga, a URL interna deve ser formatada como http(s)://*.<domain>.

For internal URL, use the format http(s)://*.<domain>

Ao configurar uma URL externa, você deve usar o seguinte formato: https://*.<custom domain>

For external URL, use the format https://*.<custom domain>

Outras posições do curinga, vários curingas ou outras cadeias de caracteres regex não são compatíveis e estão causando erros.

Exclusão de aplicativos do curinga

Você pode excluir um aplicativo do aplicativo curinga

  • Publicando o aplicativo de exceção como aplicativo regular
  • Habilitando o curinga somente para aplicativos específicos por meio das configurações DNS

A publicação de um aplicativo como aplicativo regular é o método preferido para excluir um aplicativo de um curinga. Você deve publicar os aplicativos excluídos antes dos aplicativos curinga para garantir que as exceções sejam impostas desde o início. O aplicativo mais específico sempre terá precedência – um aplicativo publicado como budgets.finance.adventure-works.com tem precedência sobre o aplicativo *.finance.adventure-works.com, que, por sua vez, tem precedência sobre o aplicativo *.adventure-works.com.

Você também pode limitar o curinga para funcionar apenas para aplicativos específicos por meio do gerenciamento DNS. Como melhor prática, você deve criar uma entrada CNAME que inclua um curinga e corresponda ao formato da URL externa configurada. No entanto, em vez disso, você pode apontar as URLs dos aplicativos específicos para os curingas. Por exemplo, em vez de *.adventure-works.com, aponte hr.adventure-works.com, expenses.adventure-works.com e travel.adventure-works.com individually para 000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.net.

Se usar essa opção, você também precisará de outra entrada CNAME para o valor AppId.domain, por exemplo, 00000000-1a11-22b2-c333-444d4d4dd444.adventure-works.com, também apontando para o mesmo local. Você pode encontrar o AppId na página de propriedades do aplicativo curinga:

Find the application ID on the app's property page

Definindo a URL da home page do painel MyApps

O aplicativo curinga é representado com apenas um bloco no painel MyApps. Por padrão, esse bloco permanece oculto. Para mostrar o bloco e fazer os usuários aterrissarem em uma página específica:

  1. Siga as diretrizes para definir uma URL da home page.
  2. Defina Mostrar Aplicativo como verdadeiro na página de propriedades do aplicativo.

Delegação restrita de Kerberos

Para aplicativos que usem delegação restrita de Kerberos (KCD) como o método SSO, o SPN listado para o método SSO também pode precisar de um curinga. Por exemplo, o SPN pode ser: HTTP/*.adventure-works.com. Você ainda precisa ter os SPNs individuais configurados nos servidores back-end (por exemplo, HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).

Cenário 1: aplicativo curinga geral

Neste cenário, você tem três aplicativos diferentes que deseja publicar:

  • expenses.adventure-works.com
  • hr.adventure-works.com
  • travel.adventure-works.com

Todos os três aplicativos:

  • São usados por todos os usuários
  • Usar autenticação integrada do Windows
  • Têm as mesmas propriedades

Você pode publicar o aplicativo curinga usando as etapas descritas em Publicar aplicativos usando o Proxy de Aplicativo do Azure AD. Este cenário pressupõe:

  • Um locatário com a seguinte ID: 000aa000-11b1-2ccc-d333-4444eee4444e
  • Um domínio verificado chamado adventure-works.com foi configurado.
  • Uma entrada CNAME que aponta *.adventure-works.com para 000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.net foi criada.

Seguindo as etapas documentadas, você cria um novo aplicativo do Proxy de Aplicativo no locatário. Neste exemplo, o curinga está nos seguintes campos:

  • URL Interna:

    Example: Wildcard in internal URL

  • URL Externa:

    Example: Wildcard in external URL

  • SPN do Aplicativo Interno:

    Example: Wildcard in SPN configuration

Publicando o aplicativo curinga, você já pode acessar os três aplicativos navegando até as URLs a que já está acostumado (por exemplo, travel.adventure-works.com).

A configuração implementa a seguinte estrutura:

Shows the structure implemented by the example configuration

Color DESCRIÇÃO
Azul Aplicativos publicados explicitamente e visíveis no portal do Azure.
Cinza Os aplicativos que você pode acessar por meio do aplicativo pai.

Cenário 2: aplicativo curinga geral com exceção

Neste cenário, você tem, além dos três aplicativos gerais, outro aplicativo, finance.adventure-works.com, que só deve ser acessado pela divisão de finanças. Com a estrutura do aplicativo atual, o aplicativo de finanças seria acessível por meio do aplicativo curinga e por todos os funcionários. Para mudar isso, você exclui o aplicativo do curinga configurando o de finanças como um aplicativo à parte com permissões mais restritivas.

Você precisa se certificar de que os registros CNAME existam apontando finance.adventure-works.com para o ponto de extremidade específico do aplicativo, indicado na página Proxy do aplicativo. Neste cenário, finance.adventure-works.com aponta para https://finance-awcycles.msappproxy.net/.

Após as etapas documentadas, este cenário requer as seguintes configurações:

  • Na URL Interna, você define finanças, em vez de um curinga.

    Example: Set finance instead of a wildcard in internal URL

  • Na URL Externa, você define finanças, em vez de um curinga.

    Example: Set finance instead of a wildcard in external URL

  • SPN do aplicativo interno definido como finanças, em vez de um curinga.

    Example: Set finance instead of a wildcard in SPN configuration

Esta configuração implementa o seguinte cenário:

Shows the configuration implemented by the sample scenario

Como finance.adventure-works.com é uma URL mais específica que *.adventure-works.com, ela tem precedência. Os usuários que navegarem para finance.adventure-works.com têm a experiência especificada no aplicativo de recursos de finanças. Neste caso, somente os funcionários de finanças podem acessar finance.adventure-works.com.

Se tiver vários aplicativos publicados para finanças e finance.adventure-works.com como um domínio verificado, você poderá publicar outro aplicativo curinga *.finance.adventure-works.com. Como é mais específica do que a *.adventure-works.com genérica, ela tem precedência, caso um usuário acesse um aplicativo no domínio de finanças.

Próximas etapas