Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Com base nos nomes das entidades de serviço, a Delegação Restrita do Kerberos (KCD) fornece delegação restrita entre recursos. Ela exige que os administradores de domínio criem as delegações e sejam limitados a um único domínio. Você pode usar a KCD baseada em recursos para fornecer autenticação Kerberos a um aplicativo Web que tenha usuários em vários domínios em uma floresta do Active Directory.
O proxy de Aplicativo do Microsoft Entra pode fornecer SSO (logon único) e acesso remoto aos aplicativos baseados em KCD que exigem um tíquete Kerberos para acesso e a KCD (delegação restrita de Kerberos).
Para habilitar o SSO para seus aplicativos KCD locais que usam a IWA (autenticação integrada do Windows), conceda aos conectores de rede privada permissão para representar usuários no Active Directory. O conector de rede privada usa essa permissão para enviar e receber tokens em nome dos usuários.
Quando usar a KCD
Use a KCD quando houver necessidade de fornecer acesso remoto, proteger com pré-autenticação e fornecer SSO para aplicativos IWA locais.
Componentes do sistema
- Usuário: acessa o aplicativo herdado que Proxy de Aplicativo atende.
- Navegador: O componente com o qual o usuário interage para acessar a URL externa do aplicativo.
- ID do Microsoft Entra: Autentica o usuário.
- Serviço proxy de aplicativo: Atua como proxy reverso para enviar solicitações do usuário para o aplicativo local. Fica no Microsoft Entra ID. O Proxy de Aplicativo pode impor qualquer política de Acesso Condicional.
- Conector de rede privada: Instalado em servidores locais do Windows para fornecer conectividade ao aplicativo. Retorna a resposta para o Microsoft Entra ID. Realiza a negociação da KCD com o Active Directory local, representando o usuário para obter um token Kerberos para o aplicativo.
- Active Directory: Envia o token Kerberos para o aplicativo para o conector de rede privada.
- Aplicativos herdados: Aplicativos que recebem solicitações de usuário do Proxy de Aplicativo. Os aplicativos herdados retornam a resposta ao conector de rede privada.
Implementar a autenticação do Windows (KCD) com o Microsoft Entra ID
Explore os recursos a seguir para saber como implementar a autenticação do Windows (KCD) com o Microsoft Entra ID.
- O SSO (logon único) baseado em Kerberos no Microsoft Entra ID com Proxy de Aplicativo descreve os pré-requisitos e as etapas de configuração.
- O Tutorial – Adicionar um aplicativo local – Proxy de Aplicativo no Microsoft Entra ID ajuda você a preparar o ambiente para ser usado com o Proxy de Aplicativo.
Próximas etapas
- A visão geral do protocolo de autenticação e sincronização do Microsoft Entra descreve a integração com os protocolos de autenticação e de sincronização. As integrações de autenticação permitem usar o Microsoft Entra ID e seus recursos de segurança e gerenciamento com pouca ou nenhuma alteração nos aplicativos que usam métodos de autenticação herdados. As integrações de sincronização permitem sincronizar os dados de usuário e de grupo com o Microsoft Entra ID e depois as funcionalidades de gerenciamento do Microsoft Entra. Alguns padrões de sincronização também habilitam o provisionamento automatizado.
- Entender o logon único com um aplicativo local usando o Proxy de Aplicativo descreve como o SSO permite que os usuários acessem um aplicativo sem se autenticar várias vezes. O SSO ocorre na nuvem em relação ao Microsoft Entra ID e permite que o serviço ou o conector represente o usuário para concluir os desafios de autenticação do aplicativo.
- O logon único da Security Assertion Markup Language (SAML) para aplicativos locais com o proxy de aplicativos do Microsoft Entra descreve como você pode fornecer acesso remoto a aplicativos locais que são protegidos com a autenticação SAML por meio do Proxy de Aplicativo.