Publicando aplicativos usando a pré-autenticação do AD FS

Esse conteúdo é relevante para a versão local do Proxy de Aplicativo Web. Para habilitar o acesso seguro a aplicações no local pela nuvem, consulte o conteúdo sobre proxy da aplicação do Microsoft Entra .

Este tópico descreve como publicar aplicações por meio do Proxy de Aplicação Web usando a pré-autenticação dos Serviços de Federação do Active Directory (AD FS).

Para todos os tipos de aplicativo que você pode publicar usando a pré-autenticação do AD FS, você deve adicionar uma confiança de terceira parte confiável do AD FS ao Serviço de Federação.

O fluxo geral de pré-autenticação do AD FS é o seguinte:

Note

Esse fluxo de autenticação não é aplicável a clientes que usam aplicativos da Microsoft Store.

1. O dispositivo cliente tenta acessar um aplicativo Web publicado em uma URL de recurso específica; por exemplo https://app1.contoso.com/.

   A URL do recurso é um endereço público no qual o Proxy de Aplicativo Web escuta as solicitações HTTPS de entrada.

   Se o redirecionamento HTTP para HTTPS estiver habilitado, o Proxy de Aplicativo Web também escutará as solicitações HTTP de entrada.

2. O Proxy de Aplicativo Web redireciona a solicitação HTTPS para o servidor AD FS com parâmetros codificados por URL, incluindo a URL do recurso e o appRealm (um identificador de terceira parte confiável).

   O usuário autentica usando o método de autenticação exigido pelo servidor AD FS; por exemplo, nome de usuário e senha, autenticação de dois fatores com uma senha única e assim por diante.

3. Depois que o usuário é autenticado, o servidor AD FS emite um token de segurança, o 'token de borda', contendo as seguintes informações e redireciona a solicitação HTTPS de volta para o servidor Proxy de Aplicativo Web:

   • O identificador de recurso que o usuário tentou acessar.

   • A identidade do usuário como um nome principal de usuário (UPN).

   • A caducidade da aprovação da concessão de acesso; ou seja, o usuário recebe acesso por um período limitado de tempo, após o qual ele é obrigado a se autenticar novamente.

   • Assinatura das informações no token de borda.

4. O Proxy de Aplicativo Web recebe a solicitação HTTPS redirecionada do servidor AD FS com o token de borda e valida e usa o token da seguinte maneira:

   • Valida se a assinatura do token de edge vem do serviço de federação configurado no Proxy de Aplicativo Web.

   • Valida que o token foi emitido para o aplicativo correto.

   • Valida que o token não expirou.

   • Usa a identidade do utilizador quando necessário; por exemplo, para obter um ticket Kerberos se o servidor back-end estiver configurado para usar a autenticação integrada do Windows.

5. Se o token de borda for válido, o Proxy de Aplicativo Web encaminhará a solicitação HTTPS para o aplicativo Web publicado usando HTTP ou HTTPS.

6. O cliente tem agora acesso à aplicação web publicada; no entanto, o aplicativo publicado pode ser configurado para exigir que o usuário execute autenticação adicional. Se, por exemplo, o aplicativo Web publicado for um site do SharePoint e não exigir autenticação adicional, o usuário verá o site do SharePoint no navegador.

7. O Proxy de Aplicativo Web salva um cookie no dispositivo cliente. O cookie é usado pelo Web Application Proxy para identificar que esta sessão já foi pré-autenticada e que nenhuma pré-autenticação adicional é necessária.

Important

Ao configurar a URL externa e a URL do servidor de back-end, certifique-se de incluir o FQDN (nome de domínio totalmente qualificado) e não um endereço IP.

Note

Este tópico inclui exemplos de cmdlets do Windows PowerShell que você pode usar para automatizar alguns dos procedimentos descritos. Para obter mais informações, consulte Usando cmdlets.

Publicar um aplicativo baseado em declarações para clientes de navegador da Web

Para publicar um aplicativo que usa declarações para autenticação, você deve adicionar uma confiança de terceira parte confiável para o aplicativo ao Serviço de Federação.

Ao publicar aplicativos baseados em declarações e acessar o aplicativo a partir de um navegador, o fluxo geral de autenticação é o seguinte:

1. O cliente tenta acessar um aplicativo baseado em declarações usando um navegador da Web; por exemplo, https://appserver.contoso.com/claimapp/.

2. O navegador da Web envia uma solicitação HTTPS para o servidor Proxy de Aplicativo Web, que redireciona a solicitação para o servidor AD FS.

3. O servidor AD FS autentica o usuário e o dispositivo e redireciona a solicitação de volta para o Proxy de Aplicativo Web. A solicitação agora contém o token de borda. O servidor AD FS adiciona um cookie de logon único (SSO) à solicitação porque o usuário já executou a autenticação no servidor AD FS.

4. O Proxy de Aplicativo Web valida o token, adiciona seu próprio cookie e encaminha a solicitação para o servidor back-end.

5. O servidor back-end redireciona a solicitação para o servidor AD FS para obter o token de segurança do aplicativo.

6. A solicitação é redirecionada para o servidor back-end pelo servidor AD FS. A solicitação agora contém o token do aplicativo e o cookie SSO. O usuário tem acesso ao aplicativo e não é obrigado a inserir um nome de usuário ou senha.

Este procedimento descreve como publicar um aplicativo baseado em declarações, como um site do SharePoint, que será acessado por clientes de navegador da Web. Antes de começar, certifique-se de que fez o seguinte:

• Criada uma relação de confiança de terceira parte confiável para o aplicativo no console de Gerenciamento do AD FS.

• Verificado se um certificado no servidor Proxy de Aplicativo Web é adequado para o aplicativo que você deseja publicar.

Para publicar uma aplicação baseada em reivindicações

1. No servidor Proxy de Aplicativo Web, no console de Gerenciamento de Acesso Remoto, no painel de Navegação, clique em Proxy de Aplicativo Web e, no painel Tarefas, clique em Publicar.

2. No Assistente para Publicar Novo Aplicativo, na página Bem-vindo , clique em Avançar.

3. Na página Pré-autenticação , clique em Serviços de Federação do Ative Directory (AD FS) e, em seguida, clique em Seguinte.

4. Na página Clientes Suportados , selecione Web e MSOFBA e clique em Avançar.

5. Na página Terceira Parte Confiável , na lista de partes confiáveis, selecione a terceira parte confiável para o aplicativo que você deseja publicar e clique em Avançar.

6. Na página Configurações de Publicação , faça o seguinte e clique em Avançar:

   • Na caixa Nome , insira um nome amigável para o aplicativo.

     Esse nome é usado somente na lista de aplicativos publicados no console de Gerenciamento de Acesso Remoto.

   • Na caixa URL externo , insira o URL externo para este aplicativo; por exemplo, https://sp.contoso.com/app1/.

   • Na lista Certificado externo , selecione um certificado cujo assunto abranja a URL externa.

   • Na caixa URL do servidor back-end , insira a URL do servidor back-end. Observe que esse valor é inserido automaticamente quando você insere a URL externa e você deve alterá-la somente se a URL do servidor de back-end for diferente; Por exemplo https://sp/app1/.

     Note

     O Proxy de Aplicação Web consegue traduzir nomes de host nas URLs, mas não consegue traduzir nomes de caminho. Portanto, você pode inserir nomes de host diferentes, mas deve inserir o mesmo nome de caminho. Por exemplo, pode introduzir uma URL externa de https://apps.contoso.com/app1/ e uma URL de servidor de back-end de https://app-server/app1/. No entanto, não é possível inserir uma URL externa de e uma URL de https://apps.contoso.com/app1/ servidor de back-end de https://apps.contoso.com/internal-app1/.

7. Na página Confirmação , revise as configurações e clique em Publicar. Você pode copiar o comando PowerShell para configurar aplicativos publicados adicionais.

8. Na página Resultados , verifique se o aplicativo foi publicado com êxito e clique em Fechar.

Comandos equivalentes do Windows PowerShell

O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

Add-WebApplicationProxyApplication
    -BackendServerURL 'https://sp.contoso.com/app1/'
    -ExternalCertificateThumbprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b'
    -ExternalURL 'https://sp.contoso.com/app1/'
    -Name 'SP'
    -ExternalPreAuthentication ADFS
    -ADFSRelyingPartyName 'SP_Relying_Party'

Publicar um aplicativo integrado baseado em autenticação do Windows para clientes de navegador da Web

O Proxy de Aplicativo Web pode ser usado para publicar aplicativos que usam autenticação integrada do Windows; ou seja, o Proxy de Aplicativo Web executa a pré-autenticação conforme necessário e, em seguida, pode executar o SSO para o aplicativo publicado que usa a autenticação integrada do Windows. Para publicar uma aplicação que usa a autenticação integrada do Windows, deverá adicionar uma relação de confiança com terceiros não ciente de declarações para a aplicação ao Serviço de Federação.

Para permitir que o Proxy de Aplicativo Web execute logon único (SSO) e execute a delegação de credenciais usando a delegação restrita de Kerberos, o servidor Proxy de Aplicativo Web deve ser associado a um domínio. Consulte Planejar o Ative Directory.

Para permitir que os usuários acessem aplicativos que usam a autenticação integrada do Windows, o servidor Proxy de Aplicativo Web deve ser capaz de fornecer delegação para usuários ao aplicativo publicado. Você pode fazer isso no controlador de domínio para qualquer aplicativo. Você também pode fazer isso no servidor back-end se ele estiver sendo executado no Windows Server 2012 R2 ou no Windows Server 2012. Para obter mais informações, consulte O que há de novo na autenticação Kerberos.

Para obter um passo a passo de como configurar o Proxy de Aplicativo Web para publicar um aplicativo usando a autenticação integrada do Windows, consulte Configurar um site para usar a autenticação integrada do Windows.

Ao usar a autenticação integrada do Windows para servidores back-end, a autenticação entre o Proxy de Aplicativo Web e o aplicativo publicado não é baseada em declarações, em vez disso, usa a delegação restrita de Kerberos para autenticar usuários finais no aplicativo. O fluxo geral é descrito abaixo:

1. O cliente tenta acessar um aplicativo não baseado em declarações usando um navegador da Web; por exemplo, https://appserver.contoso.com/nonclaimapp/.

2. O navegador da Web envia uma solicitação HTTPS para o servidor Proxy de Aplicativo Web, que redireciona a solicitação para o servidor AD FS.

3. O servidor AD FS autentica o usuário e redireciona a solicitação de volta para o Proxy de Aplicativo Web. A solicitação agora contém o token de borda.

4. O Proxy de Aplicativo Web valida o token.

5. Se o token for válido, o Proxy de Aplicativo Web obterá um tíquete Kerberos do controlador de domínio em nome do usuário.

6. O Proxy de Aplicativo Web adiciona o tíquete Kerberos à solicitação como parte do token SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) e encaminha a solicitação para o servidor back-end. A solicitação contém o tíquete Kerberos; portanto, o usuário recebe acesso ao aplicativo sem a necessidade de autenticação adicional.

Este procedimento descreve como publicar um aplicativo que usa a autenticação integrada do Windows, como o Outlook Web App, que será acessado por clientes de navegador da Web. Antes de começar, certifique-se de que fez o seguinte:

• Criada uma confiança de parte confiável não sensível a declarações para o aplicativo no console de Gerenciamento do AD FS.

• Configurado o servidor back-end para dar suporte à delegação restrita de Kerberos no controlador de domínio ou usando o cmdlet Set-ADUser com o parâmetro -PrincipalsAllowedToDelegateToAccount. Observe que, se o servidor back-end estiver sendo executado no Windows Server 2012 R2 ou no Windows Server 2012, você também poderá executar esse comando do PowerShell no servidor back-end.

• Certifique-se de que os servidores Proxy de Aplicativo Web estejam configurados para delegação aos nomes de entidade de serviço dos servidores back-end.

• Verificado se um certificado no servidor Proxy de Aplicativo Web é adequado para o aplicativo que você deseja publicar.

Para publicar um aplicativo não baseado em declarações

1. No servidor Proxy de Aplicativo Web, no console de Gerenciamento de Acesso Remoto, no painel de Navegação, clique em Proxy de Aplicativo Web e, no painel Tarefas, clique em Publicar.

2. No Assistente para Publicar Novo Aplicativo, na página Bem-vindo , clique em Avançar.

3. Na página Pré-autenticação , clique em Serviços de Federação do Ative Directory (AD FS) e, em seguida, clique em Seguinte.

4. Na página Clientes Suportados , selecione Web e MSOFBA e clique em Avançar.

5. Na página Terceira Parte Confiável , na lista de partes confiáveis, selecione a terceira parte confiável para o aplicativo que você deseja publicar e clique em Avançar.

6. Na página Configurações de Publicação , faça o seguinte e clique em Avançar:

   • Na caixa Nome , insira um nome amigável para o aplicativo.

     Esse nome é usado somente na lista de aplicativos publicados no console de Gerenciamento de Acesso Remoto.

   • Na caixa URL externo , insira o URL externo para este aplicativo; por exemplo, https://owa.contoso.com/.

   • Na lista Certificado externo , selecione um certificado cujo assunto abranja a URL externa.

   • Na caixa URL do servidor back-end , insira a URL do servidor back-end. Observe que esse valor é inserido automaticamente quando você insere a URL externa e você deve alterá-la somente se a URL do servidor de back-end for diferente; Por exemplo https://owa/.

     Note

     O Proxy de Aplicação Web consegue traduzir nomes de host nas URLs, mas não consegue traduzir nomes de caminho. Portanto, você pode inserir nomes de host diferentes, mas deve inserir o mesmo nome de caminho. Por exemplo, pode introduzir uma URL externa de https://apps.contoso.com/app1/ e uma URL de servidor de back-end de https://app-server/app1/. No entanto, não é possível inserir uma URL externa de e uma URL de https://apps.contoso.com/app1/ servidor de back-end de https://apps.contoso.com/internal-app1/.

   • Na caixa SPN do servidor back-end , digite o nome da entidade de serviço para o servidor back-end; por exemplo, HTTP/owa.contoso.com.

7. Na página Confirmação , revise as configurações e clique em Publicar. Você pode copiar o comando PowerShell para configurar aplicativos publicados adicionais.

8. Na página Resultados , verifique se o aplicativo foi publicado com êxito e clique em Fechar.

Comandos equivalentes do Windows PowerShell

O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

Add-WebApplicationProxyApplication
    -BackendServerAuthenticationSpn 'HTTP/owa.contoso.com'
    -BackendServerURL 'https://owa.contoso.com/'
    -ExternalCertificateThumbprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b'
    -ExternalURL 'https://owa.contoso.com/'
    -Name 'OWA'
    -ExternalPreAuthentication ADFS
    -ADFSRelyingPartyName 'Non-Claims_Relying_Party'

Publicar um aplicativo que usa MS-OFBA

O Proxy de Aplicativo Web oferece suporte ao acesso de clientes do Microsoft Office, como o Microsoft Word, que acessam documentos e dados em servidores back-end. A única diferença entre esses aplicativos e um navegador padrão é que o redirecionamento para o STS não é feito por meio de redirecionamento HTTP regular, mas com cabeçalhos MS-OFBA especiais, conforme especificado em: https://msdn.microsoft.com/library/dd773463(v=office.12).aspx. A aplicação de back-end pode ser de reivindicações ou IWA. Para publicar um aplicativo para clientes que usam o MS-OFBA, você deve adicionar uma confiança de terceira parte confiável para o aplicativo ao Serviço de Federação. Dependendo do aplicativo, você pode usar a autenticação baseada em declarações ou a autenticação integrada do Windows. Portanto, é necessário adicionar a confiança da parte confiável relevante, conforme o aplicativo.

Para permitir que o Proxy de Aplicativo Web execute logon único (SSO) e execute a delegação de credenciais usando a delegação restrita de Kerberos, o servidor Proxy de Aplicativo Web deve ser associado a um domínio. Consulte Planejar o Ative Directory.

Não há etapas de planejamento adicionais se o aplicativo usar autenticação baseada em declarações. Se o aplicativo usou a autenticação integrada do Windows, consulte Publicar um aplicativo integrado baseado em autenticação do Windows para clientes de navegador da Web.

O fluxo de autenticação para clientes que usam o protocolo MS-OFBA usando autenticação baseada em declarações é descrito abaixo. A autenticação para esse cenário pode usar o token do aplicativo na URL ou no corpo.

1. O usuário está trabalhando em um programa do Office e, na lista Documentos recentes , abre um arquivo em um site do SharePoint.

2. O programa do Office mostra uma janela com um controle de navegador que requer que o usuário insira credenciais.

   Note

   Em alguns casos, a janela pode não aparecer porque o cliente já está autenticado.

3. O Proxy de Aplicativo Web redireciona a solicitação para o servidor AD FS, que executa a autenticação.

4. O servidor AD FS redireciona a solicitação de volta para o Proxy de Aplicativo Web. A solicitação agora contém o token de borda.

5. O servidor AD FS adiciona um cookie de logon único (SSO) à solicitação porque o usuário já executou a autenticação no servidor AD FS.

6. O Proxy de Aplicativo Web valida o token e encaminha a solicitação para o servidor back-end.

7. O servidor back-end redireciona a solicitação para o servidor AD FS para obter o token de segurança do aplicativo.

8. A solicitação é redirecionada para o servidor back-end. A solicitação agora contém o token do aplicativo e o cookie SSO. O usuário tem acesso ao site do SharePoint e não é necessário inserir um nome de usuário ou senha para exibir o arquivo.

As etapas para publicar um aplicativo que usa MS-OFBA são idênticas às etapas para um aplicativo baseado em declarações ou um aplicativo não baseado em declarações. Para aplicativos baseados em declarações, consulte Publicar um aplicativo baseado em declarações para clientes de navegador da Web, para aplicativos não baseados em declarações, consulte Publicar um aplicativo integrado baseado em autenticação do Windows para clientes de navegador da Web. O Proxy de Aplicativo Web deteta automaticamente o cliente e autenticará o usuário conforme necessário.

Publicar um aplicativo que usa HTTP Basic

HTTP Basic é o protocolo de autorização usado por muitos protocolos, para conectar clientes avançados, incluindo smartphones, com sua caixa de correio do Exchange. Para obter mais informações sobre HTTP Basic, consulte RFC 2617. O Proxy de Aplicativo Web tradicionalmente interage com o AD FS usando redirecionamentos; A maioria dos clientes avançados não suporta cookies ou gerenciamento de estado. Dessa forma, o Proxy de Aplicação Web permite que a aplicação HTTP receba uma confiança de terceira parte sem declarações ao Serviço de Federação. Consulte Planejar o Ative Directory.

O fluxo de autenticação para clientes que usam HTTP Basic é descrito abaixo e neste diagrama:

1. O utilizador tenta aceder a uma aplicação web publicada através de um cliente de telefone.

2. O aplicativo envia uma solicitação HTTPS para a URL publicada pelo Proxy de Aplicativo Web.

3. Se a solicitação não contiver credenciais, o Proxy de Aplicativo Web retornará uma resposta HTTP 401 para o aplicativo que contém a URL do servidor AD FS de autenticação.

4. O usuário envia a solicitação HTTPS para o aplicativo novamente com autorização definida como Basic e nome de usuário e senha criptografada Base 64 do usuário no cabeçalho da solicitação www-authenticate.

5. Como o dispositivo não pode ser redirecionado para o AD FS, o Proxy de Aplicativo Web envia uma solicitação de autenticação para o AD FS com as credenciais que ele possui, incluindo nome de usuário e senha. O token é adquirido em nome do dispositivo.

6. Para minimizar o número de solicitações enviadas ao AD FS, o Proxy de Aplicativo Web valida as solicitações de cliente subsequentes usando tokens armazenados em cache enquanto o token for válido. O Proxy de Aplicativo Web limpa periodicamente o cache. Você pode exibir o tamanho do cache usando o contador de desempenho.

7. Se o token for válido, o Proxy de Aplicativo Web encaminhará a solicitação para o servidor back-end e o usuário terá acesso ao aplicativo Web publicado.

O procedimento a seguir explica como publicar aplicativos básicos HTTP.

Para publicar um aplicativo HTTP Basic

1. No servidor Proxy de Aplicativo Web, no console de Gerenciamento de Acesso Remoto, no painel de Navegação, clique em Proxy de Aplicativo Web e, no painel Tarefas, clique em Publicar.

2. No Assistente para Publicar Novo Aplicativo, na página Bem-vindo , clique em Avançar.

3. Na página Pré-autenticação , clique em Serviços de Federação do Ative Directory (AD FS) e, em seguida, clique em Seguinte.

4. Na página Clientes Suportados , selecione HTTP Básico e clique em Avançar.

   Se desejar habilitar o acesso ao Exchange somente a partir de dispositivos ingressados no local de trabalho, selecione a caixa Habilitar acesso somente para dispositivos ingressados no local de trabalho . Para obter mais informações, consulte Ingressar no local de trabalho de qualquer dispositivo para SSO e Autenticação contínua de segundo fator em aplicativos da empresa.

5. Na página Terceira Parte Confiável , na lista de partes confiáveis, selecione a terceira parte confiável para o aplicativo que você deseja publicar e clique em Avançar. Observe que essa lista contém apenas partes confiáveis sob declarações.

6. Na página Configurações de Publicação , faça o seguinte e clique em Avançar:

   • Na caixa Nome , insira um nome amigável para o aplicativo.

     Esse nome é usado somente na lista de aplicativos publicados no console de Gerenciamento de Acesso Remoto.

   • Na caixa URL externo , insira o URL externo para este aplicativo; por exemplo, mail.contoso.com

   • Na lista Certificado externo , selecione um certificado cujo assunto abranja a URL externa.

   • Na caixa URL do servidor back-end , insira a URL do servidor back-end. Observe que esse valor é inserido automaticamente quando você insere a URL externa e você deve alterá-la somente se a URL do servidor de back-end for diferente; por exemplo, mail.contoso.com.

7. Na página Confirmação , revise as configurações e clique em Publicar. Você pode copiar o comando PowerShell para configurar aplicativos publicados adicionais.

8. Na página Resultados , verifique se o aplicativo foi publicado com êxito e clique em Fechar.

Comandos equivalentes do Windows PowerShell

O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

Esse script do Windows PowerShell permite a pré-autenticação para todos os dispositivos, não apenas para dispositivos ingressados no local de trabalho.

Add-WebApplicationProxyApplication
     -BackendServerUrl 'https://mail.contoso.com'
     -ExternalCertificateThumbprint '697F4FF0B9947BB8203A96ED05A3021830638E50'
     -ExternalUrl 'https://mail.contoso.com'
     -Name 'Exchange'
     -ExternalPreAuthentication ADFSforRichClients
     -ADFSRelyingPartyName 'EAS_Relying_Party'

O seguinte pré-autentica apenas dispositivos ingressados no local de trabalho:

Add-WebApplicationProxyApplication
     -BackendServerUrl 'https://mail.contoso.com'
     -ExternalCertificateThumbprint '697F4FF0B9947BB8203A96ED05A3021830638E50'
     -EnableHTTPRedirect:$true
     -ExternalUrl 'https://mail.contoso.com'
     -Name 'Exchange'
     -ExternalPreAuthentication ADFSforRichClients
     -ADFSRelyingPartyName 'EAS_Relying_Party'

Publicar um aplicativo que usa OAuth2, como um aplicativo da Microsoft Store

Para publicar um aplicativo para aplicativos da Microsoft Store, você deve adicionar uma confiança de terceira parte confiável para o aplicativo ao Serviço de Federação.

Para permitir que o Proxy de Aplicativo Web execute logon único (SSO) e execute a delegação de credenciais usando a delegação restrita de Kerberos, o servidor Proxy de Aplicativo Web deve ser associado a um domínio. Consulte Planejar o Ative Directory.

Note

O Proxy de Aplicativo Web oferece suporte à publicação somente para aplicativos da Microsoft Store que usam o protocolo OAuth 2.0.

No console de Gerenciamento do AD FS, você deve certificar-se de que o ponto de extremidade OAuth está habilitado para proxy. Para verificar se o ponto de extremidade OAuth está habilitado para proxy, abra o console de Gerenciamento do AD FS, expanda Serviço, clique em Pontos de Extremidade, na lista Pontos de Extremidade , localize o ponto de extremidade OAuth e verifique se o valor na coluna Proxy Habilitado é Sim.

O fluxo de autenticação para clientes que usam aplicativos da Microsoft Store é descrito abaixo:

Note

O Proxy de Aplicativo Web redireciona para o servidor AD FS para autenticação. Como os aplicativos da Microsoft Store não oferecem suporte a redirecionamentos, se você usar aplicativos da Microsoft Store, será necessário definir a URL do servidor AD FS usando o cmdlet Set-WebApplicationProxyConfiguration e o parâmetro OAuthAuthenticationURL.

Os aplicativos da Microsoft Store só podem ser publicados usando o Windows PowerShell.

1. O cliente tenta acessar um aplicativo Web publicado usando um aplicativo da Microsoft Store.

2. O aplicativo envia uma solicitação HTTPS para a URL publicada pelo Proxy de Aplicativo Web.

3. O Proxy de Aplicativo Web retorna uma resposta HTTP 401 para o aplicativo que contém a URL do servidor AD FS de autenticação. Este processo é conhecido como "descoberta".

   Note

   Se o aplicativo souber a URL do servidor AD FS de autenticação e já tiver um token de combinação contendo o token OAuth e o token de borda, as etapas 2 e 3 serão ignoradas nesse fluxo de autenticação.

4. O aplicativo envia uma solicitação HTTPS para o servidor AD FS.

5. O aplicativo usa o agente de autenticação da Web para gerar uma caixa de diálogo na qual o usuário insere credenciais para autenticar no servidor AD FS. Para obter informações sobre o agente de autenticação da Web, consulte Agente de autenticação da Web.

6. Após a autenticação bem-sucedida, o servidor AD FS cria um token de combinação que contém o token OAuth e o token de borda e envia o token para o aplicativo.

7. A aplicação envia uma solicitação HTTPS contendo o token de combinação para a URL publicada pelo Proxy de Aplicações Web.

8. O Proxy de Aplicação Web divide o token combinado nas suas duas partes e valida o token edge.

9. Se o token de limite for válido, o Proxy de Aplicações Web encaminhará a solicitação para o servidor back-end apenas com o token OAuth. O usuário recebe acesso ao aplicativo Web publicado.

Este procedimento descreve como publicar um aplicativo para OAuth2. Esse tipo de aplicativo só pode ser publicado usando o Windows PowerShell. Antes de começar, certifique-se de que fez o seguinte:

• Criada uma relação de confiança de terceira parte confiável para o aplicativo no console de Gerenciamento do AD FS.

• Certifique-se de que o ponto de extremidade OAuth está ativado para proxy no console de Gestão do AD FS e anote o caminho do URL.

• Verificado se um certificado no servidor Proxy de Aplicativo Web é adequado para o aplicativo que você deseja publicar.

Para publicar um aplicativo OAuth2

1. No servidor Proxy de Aplicativo Web, no console de Gerenciamento de Acesso Remoto, no painel de Navegação, clique em Proxy de Aplicativo Web e, no painel Tarefas, clique em Publicar.

2. No Assistente para Publicar Novo Aplicativo, na página Bem-vindo , clique em Avançar.

3. Na página Pré-autenticação , clique em Serviços de Federação do Ative Directory (AD FS) e, em seguida, clique em Seguinte.

4. Na página Clientes Suportados , selecione OAuth2 e clique em Avançar.

5. Na página Terceira Parte Confiável , na lista de partes confiáveis, selecione a terceira parte confiável para o aplicativo que você deseja publicar e clique em Avançar.

6. Na página Configurações de Publicação , faça o seguinte e clique em Avançar:

   • Na caixa Nome , insira um nome amigável para o aplicativo.

     Esse nome é usado somente na lista de aplicativos publicados no console de Gerenciamento de Acesso Remoto.

   • Na caixa URL externo , insira o URL externo para este aplicativo; por exemplo, https://server1.contoso.com/app1/.

   • Na lista Certificado externo , selecione um certificado cujo assunto abranja a URL externa.

     Para garantir que seus usuários possam acessar seu aplicativo, mesmo que negligenciem o tipo HTTPS na URL, selecione a caixa Habilitar HTTP para Redirecionamento HTTPS .

   • Na caixa URL do servidor back-end , insira a URL do servidor back-end. Observe que esse valor é inserido automaticamente quando você insere a URL externa e você deve alterá-la somente se a URL do servidor de back-end for diferente; Por exemplo https://sp/app1/.

     Note

     O Proxy de Aplicação Web consegue traduzir nomes de host nas URLs, mas não consegue traduzir nomes de caminho. Portanto, você pode inserir nomes de host diferentes, mas deve inserir o mesmo nome de caminho. Por exemplo, pode introduzir uma URL externa de https://apps.contoso.com/app1/ e uma URL de servidor de back-end de https://app-server/app1/. No entanto, não é possível inserir uma URL externa de e uma URL de https://apps.contoso.com/app1/ servidor de back-end de https://apps.contoso.com/internal-app1/.

7. Na página Confirmação , revise as configurações e clique em Publicar. Você pode copiar o comando PowerShell para configurar aplicativos publicados adicionais.

8. Na página Resultados , verifique se o aplicativo foi publicado com êxito e clique em Fechar.

Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

Para definir a URL de autenticação OAuth para um endereço de servidor de federação de fs.contoso.com e um caminho de URL de /adfs/oauth2/:

Set-WebApplicationProxyConfiguration -OAuthAuthenticationURL 'https://fs.contoso.com/adfs/oauth2/'

Para publicar o aplicativo:

Add-WebApplicationProxyApplication
    -BackendServerURL 'https://storeapp.contoso.com/'
    -ExternalCertificateThumbprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b'
    -ExternalURL 'https://storeapp.contoso.com/'
    -Name 'Microsoft Store app Server'
    -ExternalPreAuthentication ADFS
    -ADFSRelyingPartyName 'Store_app_Relying_Party'
    -UseOAuthAuthentication

Consulte também

• Solução de Problemas do Proxy de Aplicativo Web

• Publicar aplicativos por meio do proxy de aplicativo Web

• Planejando a publicação de aplicativos usando o proxy de aplicativo Web

• Guia passo a passo do proxy de aplicativo Web

• Cmdlets de proxy de aplicativo Web no Windows PowerShell

• Add-WebApplicationProxyApplication

• Set-WebApplicationProxyConfiguration