Tutorial: Adicionar uma aplicação no local para acesso remoto através do Proxy de Aplicações no Azure Active Directory

O Azure Ative Directory (Azure AD) dispõe de um serviço Proxy de Aplicações que permite aos utilizadores acederem a aplicações no local, assinando com a sua conta Azure AD. Para saber mais sobre Proxy de Aplicações, veja o que é App Proxy?. Este tutorial prepara o seu ambiente para uso com Proxy de Aplicações. Assim que o ambiente estiver pronto, utilize o portal do Azure para adicionar uma aplicação no local ao inquilino do Azure Active Directory.

Diagrama de visão geral Proxy de Aplicações

Antes de começar, certifique-se de que está familiarizado com a gestão de aplicações e conceitos de Sign-On (SSO). Confira os seguintes links:

Os conectores são uma parte chave da Proxy de Aplicações. Para saber mais sobre conectores, consulte Azure AD Proxy de Aplicações conectores.

Este tutorial permite:

  • Abre portas para tráfego de saída e permite o acesso a URLs específicos
  • Instala o conector no servidor Do Windows e regista-o com Proxy de Aplicações
  • Verifica o conector instalado e registado corretamente
  • Adiciona um pedido no local ao seu inquilino Azure AD
  • Verifica se um utilizador de teste pode iniciar scontabilidade na aplicação através de uma conta Azure AD

Pré-requisitos

Para adicionar uma aplicação no local à Azure AD, precisa:

  • Uma subscrição premium Microsoft Azure AD
  • Uma conta de administrador de candidatura
  • As identidades dos utilizadores devem ser sincronizadas a partir de um diretório no local ou criadas diretamente dentro do seu Azure AD inquilinos. A sincronização de identidade permite que Azure AD pré-autenticar os utilizadores antes de lhes conceder acesso às aplicações publicadas pela App Proxy e ter as informações necessárias do identificador do utilizador para realizar um único sinal de acesso (SSO).

Windows Server

Para utilizar Proxy de Aplicações, precisa de um servidor Windows a funcionar Windows Server 2012 R2 ou mais tarde. Instalará o conector Proxy de Aplicações no servidor. Este servidor de conector precisa de se ligar aos serviços Proxy de Aplicações em Azure e às aplicações no local que planeia publicar.

Para uma elevada disponibilidade no seu ambiente de produção, recomendamos ter mais do que um servidor Windows. Para este tutorial, um servidor Windows é suficiente.

Importante

Se estiver a instalar o conector no Windows Server 2019, tem de desativar o suporte ao protocolo HTTP2 no componente WinHttp para a Delegação Condicionada kerberos funcionar corretamente. Isto é desativado por padrão em versões anteriores de sistemas operativos suportados. Adicionar a seguinte chave de registo e reiniciar o servidor desativa-a no Windows Server 2019. Note que esta é uma chave de registo em toda a máquina.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

A chave pode ser definida através do PowerShell com o seguinte comando:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Recomendações para o servidor do conector

  1. Localize fisicamente o servidor de conector perto dos servidores de aplicações para otimizar o desempenho entre o conector e a aplicação. Para obter mais informações, consulte Otimize o fluxo de tráfego com a Azure Ative Directory Proxy de Aplicações.
  2. O servidor de conector e os servidores de aplicações web devem pertencer ao mesmo domínio ative directory ou domínios de confiança de envergadura. Ter os servidores no mesmo domínio ou domínios de confiança é um requisito para a utilização de um único sign-on (SSO) com autenticação integrada do Windows (IWA) e delegação restrita kerberos (KCD). Se o servidor do conector e os servidores de aplicações web estiverem em diferentes domínios do Ative Directory, é necessário utilizar a delegação baseada em recursos para um único sinal de sação. Para obter mais informações, consulte o KCD para obter um único s-on com Proxy de Aplicações.

Aviso

Se tiver implementado Azure AD Proxy de Proteção de Palavras-Passe, não instale Azure AD Proxy de Aplicações e Azure AD Proxy de proteção de palavras-passe juntos na mesma máquina. Azure AD Proxy de Aplicações e Azure AD Proxy de proteção de palavras-passe instalam diferentes versões do serviço Azure AD Connect Agent Updater. Estas diferentes versões são incompatíveis quando instaladas juntas na mesma máquina.

Requisitos TLS

O servidor de conector Windows necessita de ter o TLS 1.2 ativado antes de instalar o conector Proxy de Aplicações.

Para ativar o TLS 1.2:

  1. Definir as seguintes chaves de registo:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Reinicie o servidor.

Nota

Microsoft está a atualizar os serviços da Azure para utilizar certificados TLS de um conjunto diferente de Autoridades de Certificados de Raiz (AC). Esta alteração está a ser feita porque os certificados ac atuais não cumprem um dos requisitos de Base do Fórum CA/Browser. Consulte as alterações do certificado Azure TLS para obter mais informações.

Prepare o seu ambiente no local

Comece por permitir a comunicação aos centros de dados Azure para preparar o seu ambiente para Azure AD Proxy de Aplicações. Se existir uma firewall no caminho, confirme que está aberta. Uma firewall aberta permite ao conector fazer pedidos HTTPS (TCP) ao Proxy de Aplicações.

Importante

Se estiver a instalar o conector durante Azure Government nuvem, siga os pré-requisitos e os passos de instalação. Isto requer permitir o acesso a um conjunto diferente de URLs e um parâmetro adicional para executar a instalação.

Abrir portas

Abra as seguintes portas para o tráfego de saída .

Número da porta Como é utilizado
80 Baixar listas de revogação de certificados (CRLs) ao mesmo tempo que valida o certificado TLS/SSL
443 Toda a comunicação de saída com o serviço Proxy de Aplicações

Se a sua firewall impor o tráfego de acordo com os utilizadores originários, também abra as portas 80 e 443 para o tráfego dos serviços Windows que funcionam como um Serviço de Rede.

Permitir o acesso aos URLs

Permitir o acesso aos seguintes URLs:

URL Porta Como é utilizado
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Comunicação entre o conector e o serviço de nuvem Proxy de Aplicações
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP O conector utiliza estes URLs para verificar certificados.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS O conector utiliza estes URLs durante o processo de registo.
ctldl.windowsupdate.com
www.microsoft.com/pkiops
80/HTTP O conector utiliza estes URLs durante o processo de registo.

Pode permitir ligações a *.msappproxy.net, *.servicebus.windows.nete outros URLs acima se a sua firewall ou proxy permitir-lhe configurar regras de acesso com base em sufixos de domínio. Caso contrário, tem de permitir o acesso às gamas Azure IP e Tags de Serviço - Nuvem Pública. Os intervalos IP são atualizados todas as semanas.

Importante

Evite todas as formas de inspeção e rescisão de linha nas comunicações TLS de saída entre conectores Azure AD Proxy de Aplicações e serviços Azure AD Proxy de Aplicações Cloud.

Resolução de nomes DNS para Azure AD Proxy de Aplicações pontos finais

Os registos públicos de DNS para Azure AD Proxy de Aplicações pontos finais estão acorrentados registos CNAME que apontam para um registo A. Isto garante tolerância e flexibilidade por falhas. É garantido que o Azure AD Proxy de Aplicações Connector acede sempre a nomes de anfitriões com os sufixos *.msappproxy.net de domínio ou *.servicebus.windows.net. No entanto, durante a resolução do nome, os registos CNAME podem conter registos DNS com diferentes nomes e sufixos de anfitriões. Devido a isso, deve certificar-se de que o dispositivo (dependendo da sua configuração - servidor de conector, firewall, procuração de saída) pode resolver todos os registos da cadeia e permite a ligação aos endereços IP resolvidos. Uma vez que os registos dns na cadeia podem ser alterados de vez em quando, não podemos fornecer-lhe qualquer registo DNS de lista.

Instalar e registar um conector

Para utilizar Proxy de Aplicações, instale um conector em cada servidor do Windows que estiver a utilizar com o serviço Proxy de Aplicações. O conector é um agente que gere a ligação de saída dos servidores de aplicações no local para Proxy de Aplicações em Azure AD. Pode instalar um conector em servidores que também tenham outros agentes de autenticação instalados, tais como Azure AD Connect.

Para instalar o conector:

  1. Inscreva-se no portal do Azure como administrador de candidatura do diretório que utiliza Proxy de Aplicações. Por exemplo, se o domínio do inquilino for contoso.com, o administrador deve ser admin@contoso.com ou qualquer outro pseudónimo administrativo nesse domínio.

  2. Selecione o seu nome de utilizador no canto superior direito. Verifique se assinou contrato com um diretório que usa Proxy de Aplicações. Se precisar de alterar os diretórios, selecione o diretório da Switch e escolha um diretório que utilize Proxy de Aplicações.

  3. No painel de navegação esquerdo, selecione Azure Ative Directory.

  4. Em Gestão, selecione Application proxy.

  5. Selecione Baixar o serviço de conector.

    Baixe o serviço de conector para ver os Termos de Serviço

  6. Leia os Termos de Serviço. Quando estiver pronto, selecione Aceitar termos & Descarregue.

  7. Na parte inferior da janela, selecione Executar para instalar o conector. Abre-se um assistente de instalação.

  8. Siga as instruções do assistente para instalar o serviço. Quando for solicitado a registar o conector com o Proxy de Aplicações para o seu inquilino Azure AD, forneça as credenciais do administrador de aplicação.

    • Para o Internet Explorer (IE), se a configuração de segurança melhorada do IE estiver definida para On, poderá não ver o ecrã de registo. Para obter acesso, siga as instruções na mensagem de erro. Certifique-se de que a configuração de segurança melhorada do Internet Explorer está definida para desligar.

Observações gerais

Se já instalou um conector, reinstale para obter a versão mais recente. Para ver informações sobre versões previamente lançadas e que alterações incluem, consulte Proxy de Aplicações: Version Release History.

Se optar por ter mais do que um servidor Windows para as suas aplicações no local, terá de instalar e registar o conector em cada servidor. Pode organizar os conectores em grupos de conector. Para mais informações, consulte os grupos Connector.

Se tiver instalado conectores em diferentes regiões, pode otimizar o tráfego selecionando a região de serviço Proxy de Aplicações nuvem mais próxima para utilizar com cada grupo de conector, consulte otimizar o fluxo de tráfego com o Azure Ative Directory Proxy de Aplicações

Se a sua organização utilizar servidores proxy para se ligar à internet, tem de os configurar para Proxy de Aplicações. Para obter mais informações, consulte Trabalhar com servidores proxy existentes no local.

Para obter informações sobre conectores, planeamento de capacidades e como se mantêm atualizados, consulte Azure AD Proxy de Aplicações conectores.

Verifique o conector instalado e registado corretamente

Pode utilizar o portal do Azure ou o servidor Windows para confirmar que um novo conector foi instalado corretamente.

Verifique a instalação através de portal do Azure

Para confirmar o conector instalado e registado corretamente:

  1. Inscreva-se no seu diretório de inquilinos no portal do Azure.

  2. No painel de navegação esquerdo, selecione O Diretório Ativo Azure e, em seguida, selecione Proxy de Aplicações na secção Gerir. Todos os seus conectores e grupos de conector aparecem nesta página.

  3. Consulte um conector para verificar os seus detalhes. Os conectores devem ser expandidos por defeito. Se o conector que pretende visualizar não for expandido, expanda o conector para ver os detalhes. Uma etiqueta verde ativa indica que o seu conector pode ligar-se ao serviço. No entanto, apesar de a etiqueta ser verde, um problema de rede ainda poderia impedir o conector de receber mensagens.

    Conectores Azure AD Proxy de Aplicações

Para obter mais ajuda na instalação de um conector, consulte problema na instalação do conector Proxy de Aplicações.

Verifique a instalação através do seu servidor Windows

Para confirmar o conector instalado e registado corretamente:

  1. Abra o Gestor de Serviços do Windows clicando na tecla Windows e inserindo serviços.msc.

  2. Verifique se o estado dos dois serviços seguintes está em funcionamento.

    • Microsoft AAD Proxy de Aplicações Connector permite conectividade.

    • Microsoft AAD Proxy de Aplicações Connector Updater é um serviço de atualização automatizado. O atualizador verifica as novas versões do conector e atualiza o conector conforme necessário.

      Serviços do Conector do Proxy da Aplicação – captura de ecrã

  3. Se o estado dos serviços não estiver em funcionamento, clique no botão direito para selecionar cada serviço e escolher Iniciar.

Adicione uma aplicação no local ao Azure AD

Agora que preparou o seu ambiente e instalou um conector, está pronto para adicionar aplicações no local a Azure AD.

  1. Inscreva-se como administrador na portal do Azure.

  2. No painel de navegação esquerdo, selecione Azure Ative Directory.

  3. Selecione aplicações Enterprise e, em seguida, selecione Nova aplicação.

  4. Selecione Adicione um botão de aplicação no local que aparece a meio da página na secção de aplicações no local. Em alternativa, pode selecionar Criar a sua própria aplicação no topo da página e, em seguida, selecionar Proxy de Aplicações configurar para acesso remoto seguro a uma aplicação no local.

  5. Na secção de aplicação adicionar a sua própria no local , forneça as seguintes informações sobre a sua aplicação:

    Campo Descrição
    Nome O nome da aplicação que aparecerá no As Minhas Aplicações e no portal do Azure.
    URL interno O URL para aceder à aplicação a partir de dentro da sua rede privada. Pode fornecer um caminho específico no servidor de back-end para publicação, enquanto o resto do servidor não é publicado. Desta forma, pode publicar diferentes sites no mesmo servidor que diferentes aplicações, e dar a cada um o seu próprio nome e regras de acesso.

    Se publicar um caminho, certifique-se de que inclui todas as imagens, scripts e folhas de estilo necessários para a sua aplicação. Por exemplo, se a sua aplicação estiver https://yourapp/app e utilizar imagens localizadas em https://yourapp/media, então deve publicar https://yourapp/ como o caminho. Este URL interno não tem de ser a página de aterragem que os seus utilizadores vêem. Para obter mais informações, consulte definir uma página inicial personalizada para aplicações publicadas.
    URL Externo O endereço para os utilizadores acederem à aplicação de fora da sua rede. Se não quiser utilizar o domínio de Proxy de Aplicações predefinido, leia sobre domínios personalizados em Azure AD Proxy de Aplicações.
    Pré-Autenticação Como Proxy de Aplicações verifica os utilizadores antes de lhes dar acesso à sua aplicação.

    Azure Ative Directory - Proxy de Aplicações redireciona os utilizadores para iniciar súmin com Azure AD, o que autentica as suas permissões para o diretório e aplicação. Recomendamos manter esta opção como padrão para que possa tirar partido das funcionalidades de segurança Azure AD como acesso condicional e autenticação multi-factor. O Azure Ative Directory é necessário para monitorizar a aplicação com Microsoft Defender for Cloud Apps.

    Passthrough - Os utilizadores não têm de autenticar contra Azure AD de aceder à aplicação. Ainda pode configurar requisitos de autenticação no backend.
    Grupo de Conector Os conectores processam o acesso remoto à sua aplicação, e os grupos de conector ajudam-no a organizar conectores e aplicações por região, rede ou finalidade. Se ainda não tiver nenhum grupo de conector criado, a sua aplicação é atribuída ao Padrão.

    Se a sua aplicação utilizar WebSockets para ligar, todos os conectores do grupo devem ser a versão 1.5.612.0 ou posterior.
  6. Se necessário, configufique as definições adicionais. Para a maioria das aplicações, deve manter estas definições nos seus estados predefinidos.

    Campo Descrição
    Tempo de tempo da aplicação backend Desa esta ação só se a sua aplicação for lenta a autenticar e a ligar. Por predefinição, o tempo limite de tempo da aplicação backend tem um comprimento de 85 segundos. Quando definido para longo, o tempo de reencaminhar é aumentado para 180 segundos.
    Use HTTP-Only Cookie Desa esta avaliação para Sim ter Proxy de Aplicações cookies inclua a bandeira HTTPOnly no cabeçalho de resposta HTTP. Se utilizar serviços de ambiente de trabalho remoto, desa um valor para .
    Use cookie seguro Desagure este valor para Sim para transmitir cookies através de um canal seguro, como um pedido HTTPS encriptado.
    Use cookie persistente Mantenha este valor definido para . Utilize apenas esta definição para aplicações que não podem partilhar cookies entre processos. Para obter mais informações sobre as definições de cookies, consulte as definições de Cookies para aceder a aplicações no local no Azure Ative Directory.
    Traduzir URLs em Cabeçalhos Mantenha este valor como Sim , a menos que a sua aplicação tenha exigido o cabeçalho original do anfitrião no pedido de autenticação.
    Traduzir URLs no Corpo de Aplicação Mantenha este valor como , a menos que tenha ligações HTML codificadas com outras aplicações no local e não utilize domínios personalizados. Para mais informações, consulte a tradução de Link com Proxy de Aplicações.

    Desaje este valor a Sim se pretender monitorizar esta aplicação com Microsoft Defender for Cloud Apps. Para obter mais informações, consulte a monitorização do acesso a aplicações em tempo real com Microsoft Defender for Cloud Apps e diretório Azure Ative.
  7. Selecione Adicionar.

Testar a aplicação

Está pronto para testar a aplicação corretamente. Nos seguintes passos, irá adicionar uma conta de utilizador à aplicação e tentar iniciar sessão.

Adicione um utilizador para testar

Antes de adicionar um utilizador à aplicação, verifique se a conta de utilizador já tem permissões para aceder à aplicação a partir de dentro da rede corporativa.

Para adicionar um utilizador de teste:

  1. Selecione as aplicações da Enterprise e, em seguida, selecione a aplicação que pretende testar.
  2. Selecione Começar e, em seguida, selecione Atribua um utilizador para testes.
  3. Em Utilizadores e grupos, selecione Adicionar utilizador.
  4. Em Atribuição de Adicionar, selecione Utilizadores e grupos. Aparece a secção Utilizador e grupos .
  5. Escolha a conta que pretende adicionar.
  6. Escolha Selecione e, em seguida, selecione Atribuir.

Teste a inscrição

Para testar o sinal de inscrição na aplicação:

  1. A partir da aplicação que pretende testar, selecione Proxy de Aplicações.
  2. No topo da página, selecione Test Application para executar um teste na aplicação e verifique se há problemas de configuração.
  3. Certifique-se de lançar primeiro a aplicação para testar a assinatura da aplicação, em seguida, descarregue o relatório de diagnóstico para rever a orientação de resolução para quaisquer problemas detetados.

Para a resolução de problemas, consulte resolução de problemas Proxy de Aplicações problemas e mensagens de erro.

Limpar os recursos

Quando já não for necessário, elimine os recursos que criou neste tutorial.

Passos seguintes

Neste tutorial, preparou o seu ambiente no local para trabalhar com Proxy de Aplicações, e depois instalou e registou o conector Proxy de Aplicações. Em seguida, adicionou um requerimento ao seu inquilino Azure AD. Verificou-se que um utilizador pode inscrever-se na aplicação utilizando uma conta Azure AD.

Fez tudo isto:

  • Portas abertas para tráfego de saída e permitiu o acesso a URLs específicos
  • Instalou o conector no servidor do Windows e registou-o com Proxy de Aplicações
  • Verifiquei o conector instalado e registado corretamente
  • Adicionou um pedido no local ao seu inquilino Azure AD
  • Verificado um utilizador de teste pode iniciar scontabilidade na aplicação utilizando uma conta Azure AD

Está pronto para configurar o pedido de inscrição única. Use o seguinte link para escolher um único método de inscrição e para encontrar tutoriais de inscrição única.