SSO (logon único) baseado em cabeçalho para aplicativos locais com proxy de aplicativo do Microsoft Entra

O proxy de aplicativo do Microsoft Entra dá suporte nativo ao acesso de SSO (logon único) a aplicativos que usam cabeçalhos para autenticação. Você configura os valores de cabeçalho exigidos pelo aplicativo no Microsoft Entra ID. Os valores de cabeçalho são enviados para o aplicativo por meio do proxy de aplicativo. Os benefícios de usar o suporte nativo para autenticação baseada em cabeçalho com proxy de aplicativo incluem:

• Simplificar o acesso remoto aos aplicativos locais – o proxy de aplicativo simplifica sua arquitetura de acesso remoto existente. Você substitui o acesso de VPN (Rede Virtual Privada) a esses aplicativos. Você remove dependências de soluções de identidade locais para autenticação. Você simplifica a experiência para os usuários e eles não notam nada diferente quando eles usam aplicativos corporativos. Os usuários podem trabalhar de qualquer lugar em qualquer dispositivo.

• Nenhum software adicional ou alterações nos seus aplicativos: você usa seus conectores de rede privada existentes. Nenhum software extra é necessário.

• Lista abrangente de atributos e transformações disponíveis – Todos os valores de cabeçalho disponíveis são baseados em declarações padrão emitidas pelo Microsoft Entra ID. Todos os atributos e transformações disponíveis para configurar declarações para aplicativos SAML (Security Assertion Markup Language) ou OpenID Connect (OIDC) também estão disponíveis como valores de cabeçalho.

Pré-requisitos

Habilite o proxy de aplicativo e instale um conector que tenha acesso direto à rede aos seus aplicativos. Para saber mais, confira Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo.

Funcionalidades com suporte

A tabela lista os recursos comuns necessários para aplicativos de autenticação baseados em cabeçalho.

Requisito	Descrição
SSO federado	No modo pré-autenticado, todos os aplicativos são protegidos com a autenticação do Microsoft Entra e os usuários têm logon único.
Acesso remoto	O proxy de aplicativo fornece acesso remoto ao aplicativo. Os usuários acessam o aplicativo da Internet em qualquer navegador da Web usando a URL (Uniform Resource Locator) externa. O proxy de aplicativo não se destina ao acesso corporativo geral. Para obter acesso corporativo geral, consulte Acesso Privado do Microsoft Entra.
Integração baseada em cabeçalho	O proxy de aplicativo manipula a integração do SSO com o Microsoft Entra ID e, em seguida, passa a identidade ou outros dados do aplicativo como cabeçalhos HTTP para o aplicativo.
Autorização de aplicativo	As políticas comuns são especificadas com base no aplicativo que está sendo acessado, na associação de grupo do usuário e em outras políticas. No Microsoft Entra ID, as políticas são implementadas usando o Acesso condicional. As políticas de autorização de aplicativo se aplicam somente à solicitação de autenticação inicial.
Autenticação de step-up	As políticas são definidas para forçar a autenticação adicional, por exemplo, a obter acesso a recursos confidenciais.
Autorização refinada	Fornece controle de acesso no nível da URL. Políticas adicionadas podem ser impostas com base na URL que está sendo acessada. A URL interna configurada para o aplicativo define o escopo do aplicativo ao qual a política é aplicada. A política configurada para o caminho mais granular é imposta.

Observação

Este artigo descreve a conexão entre aplicativos de autenticação baseados em cabeçalho e o Microsoft Entra ID usando o proxy de aplicativo e é o padrão recomendado. Como alternativa, há um padrão de integração que usa PingAccess com o Microsoft Entra ID para habilitar a autenticação baseada em cabeçalho. Para obter mais informações, consulte Autenticação baseada em cabeçalho para logon único com proxy de aplicativo e PingAccess.

Como ele funciona

1. O Administrador personaliza os mapeamentos de atributo exigidos pelo aplicativo no centro de administração do Microsoft Entra.
2. O proxy de aplicativo garante que um usuário seja autenticado usando o Microsoft Entra ID.
3. O serviço de nuvem do Proxy de Aplicativo está ciente dos atributos necessários. Portanto, o serviço busca as declarações correspondentes do token de ID recebido durante a autenticação. O serviço converte os valores nos cabeçalhos HTTP necessários como parte da solicitação para o Conector.
4. A solicitação é transmitida ao Conector, que é transmitido para o aplicativo de back-end.
5. O aplicativo recebe os cabeçalhos e pode usá-los conforme necessário.

Publicar o aplicativo com o proxy de aplicativo

1. Publique seu aplicativo de acordo com as instruções descritas em Publicar aplicativos com proxy de aplicativo.

   • O valor da URL interna determina o escopo do aplicativo. Você configura o valor da URL interna no caminho raiz do aplicativo e todos os sub-caminhos abaixo da raiz recebem a mesma configuração de cabeçalho e aplicativo.
   • Crie um novo aplicativo para definir uma configuração de cabeçalho ou atribuição de usuário diferente para um caminho mais granular do que o aplicativo configurado. No novo aplicativo, configure a URL interna com o caminho específico que você precisa e configure os cabeçalhos específicos necessários para a URL. O proxy de aplicativo sempre corresponde às configurações do caminho mais granular definido para um aplicativo.

2. Selecione Microsoft Entra ID como o método de pré-autenticação.

3. Atribua um usuário de teste navegando para Usuários e grupos e atribuindo os usuários e grupos apropriados.

4. Abra um navegador e navegue até a URL Externa das configurações do proxy de aplicativo.

5. Verifique se você pode se conectar ao aplicativo. Embora você possa se conectar, ainda não é possível acessar o aplicativo já que os cabeçalhos não estão configurados.

Configurar logon único

Antes de começar a usar o logon único para aplicativos baseados em cabeçalho, instale um conector de rede privada. O conector deve ser capaz de acessar os aplicativos de destino. Para saber mais, confira Tutorial: Proxy de aplicativo do Microsoft Entra.

1. Depois que o aplicativo aparecer na lista de aplicativos empresariais, selecione e clique em Logon único.
2. Defina o modo de logon único como Baseado em cabeçalho.
3. Em Configuração Básica, Microsoft Entra ID é selecionado como o padrão.
4. Selecione o lápis de edição, em Cabeçalhos para configurar cabeçalhos a serem enviados para o aplicativo.
5. Selecione Adicionar novo cabeçalho. Forneça um nome para o cabeçalho e selecione Atributo ou Transformação e selecione na lista suspensa qual cabeçalho seu aplicativo precisa.
   • Para saber mais sobre a lista de atributos disponíveis, confira Personalizações de Declarações – Atributos.
   • Para saber mais sobre a lista de transformações disponíveis, confira Personalizações de Declarações – Transformações de Declaração.
   • Você pode adicionar um Cabeçalho de Grupo. Para saber mais sobre como configurar grupos como um valor, confira: Configurar declarações de grupo para aplicativos.
6. Selecione Salvar.

Testar seu aplicativo

O aplicativo agora está em execução e disponível. Para testar o aplicativo:

1. Limpe os cabeçalhos armazenados em cache anteriormente abrindo uma nova janela do navegador ou do navegador privado.
2. Navegue até a URL externa. Você pode encontrar essa configuração listada como URL Externa nas configurações de proxy de aplicativo.
3. Entre com a conta de teste que você atribuiu ao aplicativo.
4. Confirme se você pode carregar e entrar no aplicativo usando o SSO.

Considerações

• O proxy de aplicativo fornece acesso remoto a aplicativos locais ou em uma nuvem privada. O proxy de aplicativo não é recomendado para o tráfego originário dentro da mesma rede que o aplicativo pretendido.
• O acesso a aplicativos de autenticação baseada em cabeçalho deve ser restrito somente ao tráfego do conector ou à outra solução de autenticação baseada em cabeçalho permitida. A restrição de acesso é normalmente executada usando um firewall ou restrição de IP no servidor de aplicativos.

Próximas etapas

• O que é logon único?
• O que é o proxy de aplicativo?