Configurar o Proxy de Acesso Datawiza para o SSO do Microsoft Entra e a MFA para o Acesso via Web do Outlook

Neste tutorial, saiba como configurar o Proxy de Acesso Datawiza (DAP) para habilitar o logon único (SSO) do Microsoft Entra e a autenticação multifator do Microsoft Entra para o Acesso via OWA (Web do Outlook). Ajude a resolver problemas quando os provedores de identidade modernos (IdPs) se integrarem ao OWA legado, que oferece suporte à autenticação de token Kerberos para identificar os usuários.

Muitas vezes, a integração entre aplicativos herdados e o SSO moderno é um desafio porque não há suporte para protocolos modernos. O Proxy de Acesso Datawiza remove a lacuna de suporte do protocolo, reduz a sobrecarga de integração e melhora a segurança do aplicativo.

Benefícios da integração:

• Segurança aprimorada de Confiança Zero com SSO, MFA e Acesso Condicional:
  • Consulte, Adote a segurança proativa com Confiança Zero
  • Veja, O que é acesso condicional?
• Integração sem código com o Microsoft Entra ID e aplicativos Web:
  • OWA
  • Oracle JD Edwards
  • Oracle E-Business Suite
  • Oráculo Siebel
  • Oracle PeopleSoft
  • Seus aplicativos
  • Veja, autenticação e autorização fáceis no Microsoft Entra ID sem a necessidade de código com o Datawiza
• Use o Datawiza Cloud Management Console (DCMC) para gerenciar o acesso a aplicativos na nuvem e no local:
  • Vá para login.datawiza.com para entrar ou se inscrever em uma conta

Arquitetura

A arquitetura de integração do DAP inclui os seguintes componentes:

• Microsoft Entra ID – serviço de gerenciamento de identidade e acesso que ajuda os usuários a entrar e acessar recursos externos e internos
• OWA – o componente herdado do Exchange Server a ser protegido pelo Microsoft Entra ID
• Controlador de domínio – um servidor que gerencia a autenticação do usuário e o acesso aos recursos de rede em uma rede baseada no Windows
• Centro de distribuição de chaves (KDC) – distribui e gerencia chaves secretas e tíquetes em um sistema de autenticação Kerberos
• DAP – um proxy reverso que implementa o OpenID Connect (OIDC), o OAuth ou o SAML (Security Assertion Markup Language) para entrada do usuário. O DAP se integra a aplicativos protegidos usando:
  • Cabeçalhos HTTP
  • Kerberos
  • Token Web JSON (JWT)
  • outros protocolos
• DCMC – o console de gerenciamento do DAP com INTERFACE do usuário e APIs RESTful para gerenciar configurações e políticas de controle de acesso

O diagrama a seguir ilustra um fluxo de usuários com o DAP em uma rede de clientes.

O diagrama a seguir ilustra o fluxo do usuário do navegador do usuário para o OWA.

1. O navegador do usuário solicita acesso ao OWA protegido por DAP.
2. O navegador do usuário será direcionado para o Microsoft Entra ID.
3. A página de entrada do Microsoft Entra aparece.
4. O usuário insere as credenciais.
5. Após a autenticação, o navegador do usuário será direcionado para o DAP.
6. Tokens de troca do DAP e do Microsoft Entra ID.
7. O Microsoft Entra ID emite o nome de usuário e as informações relevantes para o DAP.
8. O DAP acessa o centro de distribuição de chaves (KDC) com credenciais. O DAP solicita um tíquete do Kerberos.
9. O KDC retorna um tíquete do Kerberos.
10. O DAP redireciona o navegador do usuário para o OWA.
11. O recurso OWA aparece.|

Observação

As solicitações subsequentes do navegador do usuário contêm o token do Kerberos, que permite o acesso ao OWA via DAP.

Pré-requisitos

Você precisa dos seguintes componentes. Não é necessário ter experiência anterior em DAP.

• Uma conta do Azure
  • Se você não tiver uma, obtenha uma conta gratuita do Azure
• Um locatário do Microsoft Entra vinculado à conta do Azure
  • Confira, Início Rápido: criar um novo locatário no Microsoft Entra ID
• O Docker e o Docker Compose são necessários para executar o DAP
  • Veja, Obtenha o Docker
  • Veja, Instalar o Docker Compose, Visão geral
• Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID ou criadas no Microsoft Entra ID e retornadas para seu diretório local
  • Veja, Microsoft Entra Connect Sync: Entenda e personalize a sincronização
• Uma conta com permissões de Administrador de Aplicativos do Microsoft Entra
  • Consulte, Administrador de Aplicativos e outras funções em, Funções internas do Microsoft Entra
• Um ambiente do Exchange Server. Versões com suporte:
  • Autenticação integrada do Windows (IWA) dos Serviços de Informações da Internet (IIS) da Microsoft – IIS 7 ou posterior
  • Microsoft OWA IWA - IIS 7 ou posterior
• Uma instância do Windows Server configurada com o IIS e o Microsoft Entra Services em execução como um controlador de domínio (DC) e implementando o SSO do Kerberos (IWA)
  • Não é comum que grandes ambientes de produção tenham um servidor de aplicativos (IIS) que também funcione como um DC.
• Opcional: um certificado Web SSL para publicar serviços por https ou certificados autoassinados do DAP para teste.

Habilitar a autenticação Kerberos para o OWA

1. Entre no Centro de administração do Exchange.

2. No centro de administração do Exchange, navegação à esquerda, selecione servidores.

3. Selecione a guia diretórios virtuais .

   

4. No menu suspenso selecionar servidor, selecione um servidor.

5. Dê um duplo clique em owa (Site Padrão).

6. No Diretório Virtual, selecione a guia autenticação .

7. Na guia autenticação, selecione Usar um ou mais métodos de autenticação padrão e selecione autenticação integrada do Windows.

8. Selecione salvar

   

9. Abra um prompt de comando.

10. Execute o comando iisreset .

    

Criar uma conta de serviço do DAP

O DAP exige as credenciais conhecidas do Windows que são usadas pela instância para configurar o serviço Kerberos. O usuário é a conta de serviços do DAP.

1. Entrar na instância do Windows Server.

2. Selecione Usuários e Computadores.

3. Selecione a seta para baixo da instância DAP. O exemplo é datawizatest.com.

4. Na lista, clique com o botão direito do mouse em Usuários.

5. No menu, selecione Novo e selecione Usuário.

6. Em Novo Objeto – Usuário, insira um nome e sobrenome.

7. Para o nome de logon do usuário, insira dap.

8. Selecione Avançar.

   

9. Em Senha, insira uma senha.

10. Insira-o novamente em Confirmar.

11. Marque as caixas para que o Usuário não possa alterar a senha e a Senha nunca expire.

    

12. Selecione Avançar.

13. Clique com o botão direito do mouse no novo usuário para ver as propriedades configuradas.

Crie um nome de entidade de serviço para a conta de serviço

Antes de criar o nome da entidade de serviço (SPN), você pode listar as SPNs e confirmar se a SPN http está entre elas.

1. Para listar SPNs, use a seguinte sintaxe na linha de comando do Windows.

   setspn -Q \*/\<**domain.com**

2. Confirme se a SPN http está entre elas.

3. Para registrar o SPN do host da conta, use a seguinte sintaxe na linha de comando do Windows.

   setspn -A host/dap.datawizatest.com dap

Observação

host/dap.datawizatest.com é a SPN exclusiva e o DAP é a conta de serviço que você criou.

Configurar o IIS do Windows Server para delegação restrita

1. Entre em um controlador de domínio (DC).

2. Selecione Usuários e Computadores.

3. Em sua organização, localize e selecione o objeto Usuários .

4. Localize a conta de serviço que você criou.

5. Clique com o botão direito do mouse na conta.

6. Na lista, selecione Propriedades.

7. Selecione a guia Delegação .

8. Selecione Confiar neste usuário para delegação somente aos serviços especificados.

9. Selecione Usar qualquer protocolo de autenticação.

10. Selecione Adicionar.

    

11. Em Adicionar Serviços, selecione Usuários ou Computadores.

    

12. Insira os nomes de objeto a serem selecionados, digite o nome do computador.

13. Selecione OK

    

14. Em Adicionar Serviços, nos serviços disponíveis, em Tipo de Serviço, selecione http.

15. Selecione OK

    

Integrar o OWA com o Microsoft Entra ID

Use as instruções a seguir para integrar o OWA com o Microsoft Entra ID.

1. Entre no Console de Gerenciamento de Nuvem Datawiza (DCMC).

2. Uma página inicial é exibida.

3. Selecione o botão de introdução laranja .

   

Nome da implantação

1. Em Nome da Implantação, digite um Nome e uma Descrição.

2. Selecione Avançar.

   

Adicionar aplicativo

1. Em Adicionar Aplicativo, para Plataforma, selecione Web.

2. Insira o nome do aplicativo no campo de nome do aplicativo. Recomendamos uma convenção de nomenclatura significativa.

3. Para Domínio Público, insira a URL voltada para o externo do aplicativo. Por exemplo, https://external.example.com. Use o servidor de nomes de domínio (DNS) localhost para teste.

4. Para Porta de Escuta, insira a porta que o DAP escuta. Se o DAP não estiver implantado atrás de um balanceador de carga, você poderá usar a porta indicada em Domínio Público.

5. Para servidores Upstream, insira a URL e a combinação de porta das implementações do OWA.

6. Selecione Avançar.

   

Configurar o IdP

Os recursos de integração do DCMC ajudam a concluir a configuração do Microsoft Entra. Em vez disso, o DCMC chama a API do Microsoft Graph para executar as tarefas. O recurso reduz o tempo, o esforço e os erros.

1. Ao configurar o IdP, insira um Nome.

2. Para Protocolo, selecione OIDC.

3. Para Identity Provider, selecione Microsoft Entra ID.

4. Habilitar o Gerador Automático.

5. Para tipos de conta suportados, selecione Conta apenas neste diretório organizacional (locatário único).

6. Selecione Criar.

7. Uma página é exibida com as etapas de implantação do DAP e do aplicativo.

8. Consulte o arquivo Docker Compose da implantação, que inclui uma imagem do DAP, também PROVISIONING_KEY e PROVISIONING_SECRET. O DAP usa as chaves para efetuar pull da configuração e das políticas mais recentes do DCMC.

Configurar o Kerberos

1. Na página do aplicativo, selecione Detalhes do Aplicativo.

2. Selecione a guia Avançado .

3. Na subguia Kerberos, habilite o Kerberos.

4. Para o Realm Kerberos, insira o local em que o banco de dados Kerberos está armazenado ou o domínio.

5. Para SPN, insira o nome principal de serviço do aplicativo OWA. Não é a mesma SPN que você criou.

6. Para Identidade de Logon Delegada, insira a URL externa dos aplicativos. Use o DNS localhost para testes.

7. Para KDC, insira um IP do controlador de domínio. Se o DNS estiver configurado, insira um nome de domínio totalmente qualificado (FQDN).

8. Para a Conta de Serviço, insira a conta de serviço que você criou.

9. Para Tipo de Autenticação, selecione Senha.

10. Insira uma senha de conta de serviço.

11. Selecione Salvar.

    

Configuração de SSL

1. Na página do aplicativo, selecione a guia Avançado .

2. Selecione o subtab SSL .

3. Selecione Editar.

   

4. Selecione a opção para habilitar o SSL.

5. No Tipo de Certificado, selecione um tipo de certificado. Você pode usar o certificado localhost autoassinado fornecido para testes.

   

6. Selecione Salvar.

Opcional: habilitar a autenticação multifator do Microsoft Entra

Para oferecer mais segurança na entrada, você pode aplicar a autenticação multifator do Microsoft Entra. O processo começa no centro de administração do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra como administrador de aplicativos.
2. Navegue até a aba Entra ID>Visão Geral>Propriedades.
3. Em Padrões de segurança, selecione Gerenciar padrões de segurança.
4. No painel Padrões de segurança, ative o menu suspenso para selecionar Habilitado.
5. Selecione Salvar.

Próximas etapas

• Habilitar SSO e MFA para Oracle JD Edwards com a ID do Microsoft Entra via Datawiza
• Configurar o Acesso Híbrido Seguro com Microsoft Entra ID e Datawiza
• Vá para docs.datawiza.com para guias de usuário do Datawiza