Logon único (SSO) SAML (Security Assertion Markup Language) para aplicativos locais com proxy de aplicativo
Forneça logon único (SSO) para aplicativos locais protegidos com autenticação SAML (Security Assertion Markup Language). Forneça acesso remoto a aplicativos SSO baseados em SAML por meio de proxy de aplicativo. Com o logon único SAML, o Microsoft Entra se autentica no aplicativo usando a conta Microsoft Entra do usuário. O Microsoft Entra ID comunica a informação de início de sessão à aplicação através de um protocolo de ligação. Também pode mapear os utilizadores para funções de aplicação específicas com base nas regras que define nas afirmações SAML. Ao habilitar o proxy de aplicativo, além do SSO SAML, seus usuários têm acesso externo ao aplicativo e uma experiência de SSO perfeita.
Os aplicativos devem ser capazes de consumir tokens SAML emitidos pelo Microsoft Entra ID. Essa configuração não se aplica a aplicativos que usam um provedor de identidade local. Para esses cenários, recomendamos revisar Recursos para migrar aplicativos para o Microsoft Entra ID.
O SSO SAML com proxy de aplicativo também funciona com o recurso de criptografia de token SAML. Para obter mais informações, consulte Configurar a criptografia de token SAML do Microsoft Entra.
Os diagramas de protocolo descrevem a sequência de logon único para um fluxo iniciado pelo provedor de serviços (iniciado pelo SP) e um fluxo iniciado pelo provedor de identidade (iniciado pelo IdP). O proxy de aplicativo funciona com SAML SSO armazenando em cache a solicitação SAML e a resposta de e para o aplicativo local.
Criar um aplicativo e configurar o SAML SSO
No centro de administração do Microsoft Entra, selecione Aplicativos Enterprise do Microsoft Entra ID > e selecione Novo aplicativo.
Introduza o nome para apresentação da sua nova aplicação, selecione Integrar qualquer outra aplicação que não encontre na galeria e, em seguida, selecione Criar.
Na página Visão geral do aplicativo, selecione Logon único.
Selecione SAML como o método de logon único.
Primeiro, configure o SAML SSO para funcionar enquanto estiver na rede corporativa, consulte a seção de configuração básica de SAML de Configurar logon único baseado em SAML para configurar a autenticação baseada em SAML para o aplicativo.
Adicione pelo menos um usuário ao aplicativo e verifique se a conta de teste tem acesso ao aplicativo. Enquanto estiver conectado à rede corporativa, use a conta de teste para ver se você tem logon único no aplicativo.
Nota
Depois de configurar o proxy do aplicativo, você voltará e atualizará a URL de resposta SAML.
Publicar o aplicativo local com proxy de aplicativo
Antes de fornecer SSO para aplicativos locais, habilite o proxy de aplicativo e instale um conector. Saiba mais sobre como preparar seu ambiente local, instalar e registrar um conector e testar o conector. Depois de configurar o conector, siga estas etapas para publicar seu novo aplicativo com o proxy do aplicativo.
Com o aplicativo ainda aberto no centro de administração do Microsoft Entra, selecione proxy de aplicativo. Forneça a URL interna para o aplicativo. Se você estiver usando um domínio personalizado, também precisará carregar o certificado TLS/SSL para seu aplicativo.
Nota
Como prática recomendada, use domínios personalizados sempre que possível para uma experiência de usuário otimizada. Saiba mais sobre como trabalhar com domínios personalizados no proxy de aplicativo Microsoft Entra.
Selecione Microsoft Entra ID como o método de pré-autenticação para seu aplicativo.
Copie a URL externa do aplicativo. Você precisa dessa URL para concluir a configuração do SAML.
Usando a conta de teste, tente abrir o aplicativo com a URL externa para validar que o proxy do aplicativo está configurado corretamente. Se houver problemas, consulte Solucionar problemas de proxy de aplicativo e mensagens de erro.
Atualizar a configuração do SAML
Com o aplicativo ainda aberto no centro de administração do Microsoft Entra, selecione Logon único.
Na página Configurar Logon Único com SAML, vá para o cabeçalho Configuração Básica de SAML e selecione o ícone Editar (um lápis). Verifique se a URL externa configurada no proxy do aplicativo está preenchida nos campos Identificador, URL de resposta e URL de logout. Essas URLs são necessárias para que o proxy do aplicativo funcione corretamente.
Edite a URL de resposta configurada anteriormente para que seu domínio possa ser acessado na Internet por meio do proxy do aplicativo. Por exemplo, se o URL externo for
https://contosotravel-f128.msappproxy.nete o URL de resposta original forhttps://contosotravel.com/acs, você precisará atualizar o URL de resposta original parahttps://contosotravel-f128.msappproxy.net/acs.
Marque a caixa de seleção ao lado do URL de resposta atualizado para marcá-lo como padrão.
Depois de marcar a URL de resposta necessária como padrão, você também pode excluir a URL de resposta configurada anteriormente que usava a URL interna.
Para um fluxo iniciado por SP, verifique se o aplicativo back-end especifica a URL de resposta ou a URL de serviço ao consumidor de asserção corretas para receber o token de autenticação.
Nota
Se o aplicativo back-end espera que a URL de resposta seja a URL interna, você precisará usar domínios personalizados para ter URLs internas e externas correspondentes ou instalar a extensão de entrada segura Meus Aplicativos nos dispositivos dos usuários. Essa extensão redirecionará automaticamente para o serviço de proxy de aplicativo apropriado. Para instalar a extensão, consulte Extensão de início de sessão seguro das Minhas Aplicações.
Testar a sua aplicação
Seu aplicativo está em execução. Para testar o aplicativo:
- Abra um navegador e navegue até a URL externa que você criou quando publicou o aplicativo.
- Inicie sessão com a conta de teste que atribuiu à aplicação. Você deve ser capaz de carregar o aplicativo e ter SSO no aplicativo.