Autenticação do Windows - delegação restrita de Kerberos com ID do Microsoft Entra
Com base nos Nomes da entidade de serviço, a Delegação Restrita de Kerberos (KCD) fornece delegação restrita entre recursos. Requer que os administradores de domínio criem as delegações e está limitado a um único domínio. Você pode usar o KCD baseado em recursos para fornecer autenticação Kerberos para um aplicativo Web que tenha usuários em vários domínios dentro de uma floresta do Ative Directory.
O proxy de aplicativo Microsoft Entra pode fornecer logon único (SSO) e acesso remoto a aplicativos baseados em KCD que exigem um tíquete Kerberos para acesso e Delegação Restrita de Kerberos (KCD).
Para habilitar o SSO para seus aplicativos KCD locais que usam autenticação integrada do Windows (IWA), conceda permissão aos conectores de rede privada para representar usuários no Ative Directory. O conector de rede privada usa essa permissão para enviar e receber tokens em nome dos usuários.
Use o KCD quando houver necessidade de fornecer acesso remoto, proteger com pré-autenticação e fornecer SSO para aplicativos IWA locais.
- Usuário: acessa o aplicativo herdado que o Proxy de Aplicativo atende.
- Navegador da Web: o componente com o qual o usuário interage para acessar a URL externa do aplicativo.
- Microsoft Entra ID: autentica o usuário.
- Serviço de Proxy de Aplicativo: Atua como proxy reverso para enviar solicitações do usuário para o aplicativo local. Ele fica no Microsoft Entra ID. O Proxy de Aplicativo pode impor políticas de Acesso Condicional.
- Conector de rede privada: instalado em servidores locais do Windows para fornecer conectividade ao aplicativo. Retorna a resposta para o Microsoft Entra ID. Executa a negociação KCD com o Ative Directory, personificando o usuário para obter um token Kerberos para o aplicativo.
- Ative Directory: envia o token Kerberos do aplicativo para o conector de rede privada.
- Aplicativos herdados: aplicativos que recebem solicitações de usuários do Proxy de Aplicativo. Os aplicativos herdados retornam a resposta para o conector de rede privada.
Explore os seguintes recursos para saber mais sobre como implementar a autenticação do Windows (KCD) com o Microsoft Entra ID.
- O logon único (SSO) baseado em Kerberos no Microsoft Entra ID com Proxy de Aplicativo descreve os pré-requisitos e as etapas de configuração.
- O Tutorial - Adicionar um aplicativo local - Proxy de Aplicativo no Microsoft Entra ID ajuda você a preparar seu ambiente para uso com o Proxy de Aplicativo.
- Visão geral do protocolo de autenticação e sincronização do Microsoft Entra descreve a integração com protocolos de autenticação e sincronização. As integrações de autenticação permitem que você use o Microsoft Entra ID e seus recursos de segurança e gerenciamento com poucas ou nenhumas alterações em seus aplicativos que usam métodos de autenticação herdados. As integrações de sincronização permitem sincronizar dados de usuários e grupos com o Microsoft Entra ID e, em seguida, com os recursos de gerenciamento do Microsoft Entra do usuário. Alguns padrões de sincronização permitem o provisionamento automatizado.
- Compreender o logon único com um aplicativo local usando o Proxy de Aplicativo descreve como o SSO permite que seus usuários acessem um aplicativo sem autenticar várias vezes. O SSO ocorre na nuvem contra o Microsoft Entra ID e permite que o serviço ou Conector represente o usuário para concluir desafios de autenticação do aplicativo.
- O logon único SAML (Security Assertion Markup Language) para aplicativos locais com proxy de aplicativo Microsoft Entra descreve como você pode fornecer acesso remoto a aplicativos locais protegidos com autenticação SAML por meio do Proxy de Aplicativo.