Partilhar via


Como configurar o início de sessão único numa aplicação do proxy de aplicações

O logon único (SSO) permite que os usuários acessem um aplicativo sem se autenticar várias vezes. Ele permite que a autenticação única ocorra na nuvem, contra o Microsoft Entra ID, e permite que o serviço ou Connector represente o usuário para concluir mais desafios de autenticação do aplicativo.

Como configurar o logon único

Para configurar o SSO, primeiro certifique-se de que seu aplicativo esteja configurado para Pré-Autenticação por meio do Microsoft Entra ID.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
  2. Selecione seu nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa proxy de aplicativo. Se você precisar alterar diretórios, selecione Alternar diretório e escolha um diretório que use proxy de aplicativo.
  3. Navegue até Identity>Applications>Enterprise applications>Application proxy.

Procure o campo "Pré-autenticação" e certifique-se de que está definido.

Para obter mais informações sobre os métodos de pré-autenticação, consulte a etapa 4 do documento de publicação do aplicativo.

Método de pré-autenticação no centro de administração do Microsoft Entra

Configurando modos de logon único para aplicativos de proxy de aplicativo

Configure o tipo específico de logon único. Os métodos de logon são classificados com base no tipo de autenticação que o aplicativo back-end usa. Os aplicativos de proxy de aplicativo oferecem suporte a três tipos de logon:

  • Início de sessão baseado em palavra-passe: O início de sessão baseado em palavra-passe pode ser utilizado para qualquer aplicação que utilize campos de nome de utilizador e palavra-passe para iniciar sessão. As etapas de configuração estão em Configurar senha Logon único para um aplicativo de galeria do Microsoft Entra.

  • Autenticação integrada do Windows: para aplicativos que usam a autenticação integrada do Windows (IWA), o logon único é habilitado por meio da Delegação Restrita de Kerberos (KCD). Esse método dá permissão aos conectores de rede privada no Ative Directory para representar usuários e enviar e receber tokens em seu nome. Detalhes sobre a configuração do KCD podem ser encontrados na documentação Logon único com KCD.

  • Logon baseado em cabeçalho: o logon baseado em cabeçalho é usado para fornecer recursos de logon único usando cabeçalhos HTTP. Para saber mais, consulte Logon único baseado em cabeçalho.

  • Logon único SAML: Com o logon único SAML, o Microsoft Entra se autentica no aplicativo usando a conta Microsoft Entra do usuário. O Microsoft Entra ID comunica a informação de início de sessão à aplicação através de um protocolo de ligação. Com o logon único baseado em SAML, você pode mapear usuários para funções de aplicativo específicas com base nas regras definidas em suas declarações SAML. Para obter informações sobre como configurar o logon único SAML, consulte SAML para logon único com proxy de aplicativo.

Cada uma dessas opções pode ser encontrada acessando seu aplicativo em Aplicativos Empresariais e abrindo a página de logon único no menu à esquerda. Se a sua aplicação foi criada no portal antigo, poderá não ver todas estas opções.

Nesta página, você também verá mais uma opção de Login: Logon Vinculado. O proxy de aplicativo oferece suporte a essa opção. No entanto, essa opção não adiciona logon único ao aplicativo. Dito isso, o aplicativo já pode ter logon único implementado usando outro serviço, como os Serviços de Federação do Ative Directory.

Essa opção permite que um administrador crie um link para um aplicativo no qual os usuários acessam o aplicativo pela primeira vez. Por exemplo, um aplicativo configurado para autenticar usuários usando os Serviços de Federação do Ative Directory 2.0 pode usar a opção "Logon vinculado" para criar um link para ele na página Meus Aplicativos.

Próximos passos