Logon único (SSO) de Security Assertion Markup Language (SAML) para aplicativos locais com proxy de aplicativo
Forneça logon único (SSO) para aplicativos locais protegidos com autenticação SAML (Security Assertion Markup Language). Forneça acesso remoto a aplicativos SSO baseados em SAML por meio de proxy de aplicativo. Com o logon único SAML, o Microsoft Entra autentica no aplicativo usando a conta Microsoft Entra do usuário. O Microsoft Entra ID comunica as informações do logon para o aplicativo por meio de um protocolo de conexão. Você pode mapear os usuários para funções de aplicativo específicas com base nas regras definidas nas suas declarações SAML. Quando você habilita o proxy de aplicativo juntamente com o SSO do SAML, seus usuários têm acesso externo ao aplicativo em uma experiência de SSO contínua.
Os aplicativos devem poder consumir tokens SAML emitidos pelo Microsoft Entra ID. Essa configuração não se aplica a aplicativos que usam um provedor de identidade local. Para esses cenários, recomendamos que você examine os Recursos para fazer a migração de aplicativos para o Microsoft Entra ID.
A combinação do SSO do SAML com o proxy de aplicativo também funciona com o recurso de criptografia de token SAML. Para saber mais, consulte Configurar a criptografia de token de SAML do Microsoft Entra.
Os diagramas de protocolo descrevem a sequência de logon único para um fluxo iniciado por SP (provedor de serviços) e um fluxo iniciado por IdP (provedor de identidade). O proxy de aplicativo funciona com o SSO do SAML armazenando em cache a solicitação e a resposta de e para o aplicativo local.
Criar um aplicativo e configurar o SSO do SAML
No centro de administração do Microsoft Entra, selecione Microsoft Entra ID > Aplicativos empresariais e selecione Novo aplicativo.
Insira o nome de exibição do novo aplicativo, selecione Integrar qualquer outro aplicativo que não estiver na galeria e, em seguida, selecione Criar.
Na página Visão geral do aplicativo, selecione Logon único.
Selecione SAML como método de logon único.
Primeiro, configure o SSO do SAML para funcionar enquanto estiver na rede corporativa. Confira a seção de configuração básica do SAML em Configurar logon único baseado em SAML para configurar a autenticação baseada em SAML para o aplicativo.
Adicione pelo menos um usuário ao aplicativo e verifique se a conta de teste tem acesso ao aplicativo. Enquanto estiver conectado à rede corporativa, use a conta de teste para confirmar se você tem logon único no aplicativo.
Observação
Depois de configurar o proxy de aplicativo, retorne e atualize a URL de resposta do SAML.
Publicar o aplicativos local com o proxy de aplicativo
Antes de você fornecer SSO para aplicativos locais, habilite o proxy de aplicativo e instale um conector. Saiba mais sobre como preparar seu ambiente local, instalar e registrar um conector e testar o conector. Assim que o conector for configurado, siga estas etapas para publicar seu novo aplicativo com o proxy de aplicativo.
Com o aplicativo ainda aberto no centro de administração do Microsoft Entra, selecione proxy de aplicativo. Forneça a URL interna do aplicativo. Se estiver usando um domínio personalizado, você também precisará carregar o certificado TLS/SSL para o aplicativo.
Observação
Como melhor prática, use domínios personalizados sempre que possível para uma experiência de usuário otimizada. Saiba mais sobre como Trabalhar com domínios personalizados no Proxy de Aplicativo do Microsoft Entra ID.
Selecione Microsoft Entra ID como o método de pré-autenticação para seu aplicativo.
Copie a URL externa para o aplicativo. Você precisa dessa URL para concluir a configuração do SAML.
Usando a conta de teste, tente abrir o aplicativo com a URL externa para validar se o proxy de aplicativo foi configurado corretamente. Em caso de problemas, confira Solucionar problemas e mensagens de erro do proxy de aplicativo.
Atualizar a configuração do SAML
Com o aplicativo ainda aberto no centro de administração do Microsoft Entra, selecione Logon Único.
Na página Configurar Single Sign-On com SAML, vá para o título Configuração Básica de SAML e selecione seu ícone Editar (um lápis). Verifique se a URL Externa que você configurou no proxy de aplicativo está populada nos campos Identificador, URL de Resposta e URL de logoff. Essas URLs são necessárias para que o proxy de aplicativo funcione corretamente.
Edite a URL de Resposta configurada anteriormente para que seu domínio possa ser acessado na Internet por meio do proxy de aplicativo. Por exemplo, se a URL Externa for
https://contosotravel-f128.msappproxy.nete a URL de Resposta original tiver sidohttps://contosotravel.com/acs, será necessário atualizar a URL de Resposta original parahttps://contosotravel-f128.msappproxy.net/acs.Marque a caixa de seleção ao lado da URL de Resposta atualizada para defini-la como o padrão.
Depois de ter marcado a URL de Resposta necessária como padrão, você pode também excluir a URL de Resposta configurada anteriormente que havia usado a URL interna.
Para um fluxo iniciado por SP, verifique se o aplicativo de back-end especifica a URL de Resposta correta ou a URL do Serviço do Consumidor de Declaração para receber o token de autenticação.
Observação
Caso o aplicativo de back-end espere que a URL de Resposta seja a URL Interna, você precisará usar domínios personalizados para ter URLs internas e externas correspondentes ou, alternativamente, instalar a extensão de entrada segura dos Meus Aplicativos nos dispositivos dos usuários. Essa extensão redirecionará você automaticamente ao serviço de proxy de aplicativo apropriado. Para instalar a extensão, confira a extensão de entrada segura dos Meus Aplicativos.
Testar seu aplicativo
Seu aplicativo está em execução. Para testar o aplicativo:
- Abra um navegador e navegue até a URL Externa que você criou quando publicou o aplicativo.
- Entre com a conta de teste que você atribuiu ao aplicativo. Você deve poder carregar o aplicativo e ter SSO no aplicativo.