Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As aplicações são frequentemente compostas por várias aplicações Web individuais. Essas situações usam sufixos de domínio diferentes ou portas ou caminhos diferentes na URL. As instâncias individuais do aplicativo Web devem ser publicadas em aplicativos de proxy de aplicativo Microsoft Entra separados. Nestas situações, podem surgir os seguintes problemas:
-
Pré-autenticação: O cliente deve adquirir separadamente um token de acesso ou cookie para cada aplicação proxy da aplicação Microsoft Entra. As múltiplas aquisições resultam em mais redirecionamentos ao iniciar sessão em
microsoftonline.com. -
Cross-Origin Resource Sharing (CORS): chamadas CORS, usando o método
OPTIONS, são usadas para validar o acesso à URL entre a aplicação web do chamador e a aplicação web de destino. O serviço de nuvem de proxy de aplicativo Microsoft Entra bloqueia essas chamadas. O bloqueio ocorre porque as solicitações não podem conter informações de autenticação. - Gerenciamento de aplicativos ruim: Vários aplicativos corporativos são criados para permitir o acesso a um aplicativo privado, adicionando atrito à experiência de gerenciamento de aplicativos.
A figura a seguir mostra um exemplo de estrutura complexa de domínio de aplicativo.
Com o proxy de aplicação Microsoft Entra , pode resolver este problema usando a publicação de aplicações complexas, que é composta por várias URLs em vários domínios.
Um aplicativo complexo tem vários segmentos de aplicativo. Cada segmento de aplicativo tem uma URL interna e externa. Uma política de Acesso Condicional está associada ao aplicativo. O acesso a qualquer uma das URLs externas funciona com pré-autenticação com o mesmo conjunto de políticas. Essas políticas são aplicadas a todos os segmentos de aplicativos.
As aplicações complexas oferecem várias vantagens:
- Autenticação do usuário
- Mitigação de problemas de CORS
- Acesso para sufixos de domínio diferentes ou portas ou caminhos diferentes na URL interna
Este artigo mostra como configurar a publicação de aplicações coringa no seu ambiente.
Características dos segmentos de aplicação para aplicações complexas.
- Os segmentos de aplicativo são configurados apenas como um aplicativo curinga.
- URL externo e alternativo devem corresponder ao domínio de URL curinga externo e alternativo do aplicativo, respectivamente.
- As URLs de segmento de aplicativo (internas e externas) precisam manter a exclusividade em aplicativos complexos.
- As regras CORS (opcional) podem ser configuradas por segmento de aplicação.
- O acesso só é concedido a segmentos de aplicativos definidos para um aplicativo complexo.
Observação
Se você excluir todos os segmentos de aplicativo, o aplicativo complexo atuará como um aplicativo curinga, permitindo o acesso a qualquer URL válido no domínio especificado.
- Você pode ter uma URL interna definida como um segmento de aplicativo e um aplicativo regular.
Observação
Os aplicativos regulares sempre têm precedência sobre um aplicativo complexo (aplicativo curinga).
Pré-requisitos
- Habilite o proxy de aplicativo e instale um conector que tenha linha de visão para seus aplicativos. Consulte o tutorial sobre como adicionar uma aplicação no local para acesso remoto através do proxy de aplicações para saber como preparar o seu ambiente local, instalar e registar um conector e testar o conector.
Configure segmentos de aplicativos para aplicativos complexos.
Observação
O Microsoft Entra ID P1 ou P2 permite suporte para dois segmentos de aplicação em cada aplicação distribuída complexa.
Para publicar uma aplicação distribuída complexa através de um proxy de aplicação com segmentos de aplicação:
Na página Configurações básicas de proxy de aplicativo, selecione Adicionar segmentos de aplicativo .
Na página gerenciar e configurar segmentos de aplicativos, selecione + Adicionar segmento de aplicativo.
Insira o URL interno.
Selecione um domínio personalizado na lista suspensa URL Externo.
Adicione regras CORS (opcional). Para obter mais informações, consulte Configurando a regra CORS.
Selecione Criar.
Atribua usuários ao aplicativo.
Para editar/atualizar um segmento de aplicativo, selecione o segmento de aplicativo na lista na página gerenciar e configurar segmentos de aplicativo. Carregue um certificado para o domínio atualizado, se necessário, e atualize o registro DNS (Sistema de Nomes de Domínio).
Configurando o logon único (SSO)
Observação
O logon único com Autenticação Integrada do Windows (IWA) não suporta Nomes de Entidade de Serviço (SPNs) com caracteres coringa. Por exemplo, um caracter universal como http/*.contoso.com utiliza o único SPN configurado, tal como http/app.contoso.com, para todos os segmentos.
Atualizações de DNS
Ao usar domínios personalizados, crie uma entrada DNS com um registro CNAME para a URL externa. Por exemplo, direcione o *.adventure-works.com para a URL externa do ponto final do proxy da aplicação. Para aplicações curinga, aponte o registo CNAME para a URL externa relevante: <yourAADTenantId>.tenant.runtime.msappproxy.net.
Como alternativa, uma entrada DNS dedicada com um registro CNAME para cada segmento de aplicativo individual pode ser criada da seguinte maneira:
External URL of the application segment><yourAADTenantId>.tenant.runtime.msappproxy.net
Além disso, é necessário adicionar um registro CNAME para o ID do aplicativo na mesma zona DNS:
<yourAppId>><yourAADTenantId>.tenant.runtime.msappproxy.net
Se o grupo de conectores atribuído ao Aplicativo Complexo não estiver na região do grupo de conectores Padrão, um dos seguintes sufixos de domínio deverá ser usado nas entradas DNS:
| Região atribuída ao conector | URL externa |
|---|---|
| Ásia | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
| Austrália | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
| Europa | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
| América do Norte | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Para obter instruções mais detalhadas sobre proxy de aplicativo, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID.
Próximos passos
- Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID
- Planear a implantação de um proxy de aplicação Microsoft Entra
- Compreender o acesso remoto a aplicativos locais por meio do proxy de aplicativo Microsoft Entra
- Compreender e resolver problemas de CORS no proxy de aplicação do Microsoft Entra