Ler em inglês

Compartilhar via


Autenticação do Windows – Delegação restrita de Kerberos com o Microsoft Entra ID

Com base nos nomes das entidades de serviço, a Delegação Restrita do Kerberos (KCD) fornece delegação restrita entre recursos. Ela exige que os administradores de domínio criem as delegações e sejam limitados a um único domínio. Você pode usar a KCD baseada em recursos para fornecer autenticação Kerberos a um aplicativo Web que tenha usuários em vários domínios em uma floresta do Active Directory.

O proxy de Aplicativo do Microsoft Entra pode fornecer SSO (logon único) e acesso remoto aos aplicativos baseados em KCD que exigem um tíquete Kerberos para acesso e a KCD (delegação restrita de Kerberos).

Para habilitar o SSO nos aplicativos de KCD locais que usam a autenticação do Windows integrada (IWA), conceda permissão aos conectores de rede privada no Active Directory para representar os usuários. O conector de rede privada usa essa permissão para enviar e receber tokens em nome dos usuários.

Quando usar a KCD

Use a KCD quando houver necessidade de fornecer acesso remoto, proteger com pré-autenticação e fornecer SSO para aplicativos IWA locais.

Diagrama da arquitetura

Componentes do sistema

  • Usuário: acessa o aplicativo herdado que Proxy de Aplicativo atende.
  • Navegador da Web: o componente com o qual o usuário interage para acessar a URL externa do aplicativo.
  • Microsoft Entra ID: autentica o usuário.
  • Serviço Proxy de Aplicativo: atua como proxy reverso para enviar a solicitação do usuário ao aplicativo local. Fica no Microsoft Entra ID. O Proxy de Aplicativo pode impor qualquer política de Acesso Condicional.
  • Conector de rede privada: instalado em servidores locais do Windows para fornecer conectividade para o aplicativo. Retorna a resposta para o Microsoft Entra ID. Realiza a negociação da KCD com o Active Directory local, representando o usuário para obter um token Kerberos para o aplicativo.
  • Active Directory: envia para o conector da rede privada o token do Kerberos para o aplicativo.
  • Aplicativos herdados: aplicativos que recebem as solicitações dos usuário do Proxy de Aplicativo. Os aplicativos herdados retornam a resposta para o conector de rede privada.

Implementar a autenticação do Windows (KCD) com o Microsoft Entra ID

Explore os recursos a seguir para saber como implementar a autenticação do Windows (KCD) com o Microsoft Entra ID.

Próximas etapas