Aplicativos curinga no proxy de aplicativo do Microsoft Entra
No Microsoft Entra ID, a configuração de um grande número de aplicativos locais poderá se tornar rapidamente incontrolável e apresentar riscos desnecessários de erros de configuração, se muitas deles exigirem as mesmas configurações. Com proxy de aplicativo do Microsoft Entra, você pode resolver esse problema usando a publicação de aplicativos curinga para publicar e gerenciar muitos aplicativos de uma só vez. Esta é uma solução que permite:
- Simplificar a sobrecarga administrativa
- Reduzir o número de erros de configuração em potencial
- Permitir que os usuários acessem mais recursos de maneira segura
Este artigo apresenta as informações de que você precisa para configurar a publicação de aplicativos curinga no ambiente.
Criar um aplicativo curinga
Você poderá criar um aplicativo curinga (*), se tiver um grupo de aplicativos com a mesma configuração. Os candidatos em potencial para um aplicativo curinga são aplicativos que compartilham as seguintes configurações:
- O grupo de usuários que têm acesso a eles
- O método SSO
- O protocolo de acesso (http, https)
Você poderá publicar aplicativos com curingas se ambas as URLs, interna e externa, estiverem no seguinte formato:
http(s)://*.<domain>
Por exemplo: http(s)://*.adventure-works.com.
Embora as URLs interna e externa possam usar domínios diferentes, como melhor prática, elas devem ser iguais. Ao publicar o aplicativo, você verá um erro se uma das URLs não tiver um curinga.
A criação de um aplicativo curinga se baseia no mesmo fluxo de publicação do aplicativo disponível para todos os outros aplicativos. A única diferença é que você inclui um curinga na URL e, talvez, a configuração SSO.
Pré-requisitos
Para começar, verifique se você atende a esses requisitos.
Domínios personalizados
Embora domínios personalizados sejam opcionais para todos os outros aplicativos, eles são um pré-requisito para aplicativos curinga. A criação de domínios personalizados requer:
- Criar um domínio verificado no Azure.
- Carregar um certificado TLS/SSL no formato PFX para o proxy do aplicativo.
Você deve considerar o uso de um certificado curinga de acordo com o aplicativo que pretende criar.
Por motivos de segurança, este é um requisito fixo, e não daremos suporte a curingas para aplicativos que não possam usar um domínio personalizado para a URL externa.
Atualizações DNS
Ao usar domínios customizados, você precisa criar uma entrada DNS com um registro CNAME para a URL externa (por exemplo, *.adventure-works.com) apontando para a URL externa do ponto de extremidade do proxy de aplicativo. Para aplicativos curinga, o registro CNAME precisa apontar para a URL externa relevante:
<yourAADTenantId>.tenant.runtime.msappproxy.net
Para confirmar se configurou o CNAME corretamente, você pode usar nslookup em um dos pontos de extremidade de destino, por exemplo, expenses.adventure-works.com. A resposta deve incluir o alias já mencionado (<yourAADTenantId>.tenant.runtime.msappproxy.net).
Usar grupos de conectores atribuídos a uma região de serviço de nuvem de proxy de aplicativo diferente da região padrão
Se você tiver conectores instalados em regiões diferentes da sua região de locatário padrão, será benéfico alterar em qual região o grupo de conectores é otimizado para melhorar o desempenho do acesso a esses aplicativos. Para saber mais, confira Otimizar grupos de conectores para usar o serviço de nuvem de proxy de aplicativo mais próximo.
Se o grupo de conectores atribuído ao aplicativo curinga usar uma região diferente da região padrão, você precisará atualizar o registro CNAME para apontar para uma URL externa específica regional. Use a tabela a seguir para determinar a URL relevante:
| Região atribuída ao conector | URL Externa |
|---|---|
| Ásia | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
| Austrália | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
| Europa | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
| América do Norte | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Considerações
Aqui estão algumas considerações que você deve levar em consideração para aplicativos curinga.
Formatos aceitos
Para aplicativos curinga, a URL interna deve ser formatada como http(s)://*.<domain>.
Ao configurar uma URL externa, você deve usar o seguinte formato: https://*.<custom domain>
Outras posições do curinga, vários curingas ou outras cadeias de caracteres regex não são compatíveis e estão causando erros.
Exclusão de aplicativos do curinga
Você pode excluir um aplicativo do aplicativo curinga
- Publicando o aplicativo de exceção como aplicativo regular
- Habilitando o curinga somente para aplicativos específicos por meio das configurações DNS
A publicação de um aplicativo como aplicativo regular é o método preferido para excluir um aplicativo de um curinga. Você deve publicar os aplicativos excluídos antes dos aplicativos curinga para garantir que as exceções sejam impostas desde o início. O aplicativo mais específico sempre terá precedência – um aplicativo publicado como budgets.finance.adventure-works.com tem precedência sobre o aplicativo *.finance.adventure-works.com, que, por sua vez, tem precedência sobre o aplicativo *.adventure-works.com.
Você também pode limitar o curinga para funcionar apenas para aplicativos específicos por meio do gerenciamento DNS. Como melhor prática, você deve criar uma entrada CNAME que inclua um curinga e corresponda ao formato da URL externa configurada. No entanto, em vez disso, você pode apontar as URLs dos aplicativos específicos para os curingas. Por exemplo, em vez de *.adventure-works.com, aponte hr.adventure-works.com, expenses.adventure-works.com e travel.adventure-works.com individually para 000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.net.
Se usar essa opção, você também precisará de outra entrada CNAME para o valor AppId.domain, por exemplo, 00000000-1a11-22b2-c333-444d4d4dd444.adventure-works.com, também apontando para o mesmo local. Você pode encontrar o AppId na página de propriedades do aplicativo curinga:
Definindo a URL da home page do painel MyApps
O aplicativo curinga é representado com apenas um bloco no painel MyApps. Por padrão, esse bloco permanece oculto. Para mostrar o bloco e fazer os usuários aterrissarem em uma página específica:
- Siga as diretrizes para definir uma URL da home page.
- Defina Mostrar Aplicativo como verdadeiro na página de propriedades do aplicativo.
Delegação restrita de Kerberos
Para aplicativos que usem delegação restrita de Kerberos (KCD) como o método SSO, o SPN listado para o método SSO precisa de um curinga. Por exemplo, o SPN pode ser: HTTP/*.adventure-works.com. Você ainda precisa ter os SPNs individuais configurados nos servidores back-end (por exemplo, HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).
Cenário 1: aplicativo curinga geral
Neste cenário, você tem três aplicativos diferentes que deseja publicar:
expenses.adventure-works.comhr.adventure-works.comtravel.adventure-works.com
Todos os três aplicativos:
- São usados por todos os usuários
- Usar autenticação integrada do Windows
- Têm as mesmas propriedades
Você pode publicar o aplicativo curinga usando as etapas descritas em Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra. Este cenário pressupõe:
- Um locatário com a seguinte ID:
000aa000-11b1-2ccc-d333-4444eee4444e - Um domínio verificado chamado
adventure-works.comfoi configurado. - Uma entrada CNAME que aponta
*.adventure-works.compara000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.netfoi criada.
Seguindo as etapas documentadas, você cria um novo aplicativo de proxy do aplicativo no locatário. Neste exemplo, o curinga está nos seguintes campos:
URL Interna:
URL Externa:
SPN do Aplicativo Interno:
Publicando o aplicativo curinga, você já pode acessar os três aplicativos navegando até as URLs a que já está acostumado (por exemplo, travel.adventure-works.com).
A configuração implementa a seguinte estrutura:
| Color | DESCRIÇÃO |
|---|---|
| Azul | Aplicativos explicitamente publicados e visíveis no centro de administração do Microsoft Entra. |
| Cinza | Os aplicativos que você pode acessar por meio do aplicativo pai. |
Cenário 2: aplicativo curinga geral com exceção
Neste cenário, você tem, além dos três aplicativos gerais, outro aplicativo, finance.adventure-works.com, que só deve ser acessado pela divisão de finanças. Com a estrutura do aplicativo atual, o aplicativo de finanças seria acessível por meio do aplicativo curinga e por todos os funcionários. Para mudar isso, você exclui o aplicativo do curinga configurando o de finanças como um aplicativo à parte com permissões mais restritivas.
Verifique se existe um registro CNAME apontando finance.adventure-works.com para o ponto de extremidade específico do aplicativo, indicado na página de proxy do aplicativo. Neste cenário, finance.adventure-works.com aponta para https://finance-awcycles.msappproxy.net/.
Após as etapas documentadas, este cenário requer as seguintes configurações:
Na URL Interna, você define finanças, em vez de um curinga.
Na URL Externa, você define finanças, em vez de um curinga.
SPN do aplicativo interno definido como finanças, em vez de um curinga.
Esta configuração implementa o seguinte cenário:
A URL finance.adventure-works.com é específica. A URL *.adventure-works.com não é específica. A URL mais específica tem precedência. Os usuários que navegarem para finance.adventure-works.com têm a experiência especificada no aplicativo de recursos de finanças. Neste caso, somente os funcionários de finanças podem acessar finance.adventure-works.com.
Se tiver vários aplicativos publicados para finanças e finance.adventure-works.com como um domínio verificado, você poderá publicar outro aplicativo curinga *.finance.adventure-works.com. Como é mais específica do que a *.adventure-works.com genérica, ela tem precedência, caso um usuário acesse um aplicativo no domínio de finanças.
Próximas etapas
- Para saber mais sobre Domínios personalizados, confira Como trabalhar com domínios personalizados no proxy de aplicativo do Microsoft Entra.
- Para saber mais sobre a Publicação de aplicativos, confira Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra