Inicio de sesión único (SSO) basado en encabezados para aplicaciones locales con el proxy de aplicación de Microsoft Entra

El proxy de aplicación de Microsoft Entra admite de forma nativa el acceso de inicio de sesión único (SSO) a aplicaciones que utilizan encabezados para la autenticación. Puede configurar los valores de encabezado que necesita la aplicación en Microsoft Entra ID. Los valores de encabezado se envían a la aplicación a través del proxy de aplicación. Las ventajas que ofrece el uso de la compatibilidad nativa con la autenticación basada en encabezados mediante el proxy de aplicación:

• Simplificación del acceso remoto a las aplicaciones locales: el proxy de aplicación permite simplificar la arquitectura de acceso remoto existente. Se reemplaza el acceso mediante red privada virtual (VPN) a estas aplicaciones. Se quitan las dependencias de las soluciones de identidad locales para la autenticación. Se simplifica la experiencia de los usuarios y no notan nada diferente cuando usan aplicaciones corporativas. Los usuarios podrán seguir trabajando desde cualquier lugar y en cualquier dispositivo.

• No se necesita software adicional ni cambios en las aplicaciones; se usan los conectores de red privada existentes. No se requiere software adicional.

• Amplia lista de atributos y transformaciones disponibles: todos los valores de encabezado disponibles se basan en notificaciones estándar que emite Microsoft Entra ID. Todos los atributos y las transformaciones disponibles para configurar notificaciones para aplicaciones con Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) u OpenID Connect (OIDC) también están disponibles para su empleo como valores de encabezado.

Requisitos previos

Habilite el proxy de aplicación e instale un conector que tenga acceso de red directo a las aplicaciones. Para obtener más información, consulte Adición de una aplicación local para el acceso remoto mediante el proxy de aplicación.

Funcionalidades admitidas

En la tabla siguiente, se indican las capacidades comunes necesarias para las aplicaciones con autenticación basada en encabezados.

Requisito	Descripción
SSO federado	En el modo previo a la autenticación, todas las aplicaciones están protegidas con la autenticación de Microsoft Entra y los usuarios tienen el inicio de sesión único.
Acceso remoto	El proxy de aplicación permite el acceso remoto a la aplicación. Los usuarios pueden acceder a la aplicación desde Internet en cualquier explorador que use el Localizador uniforme de recursos (URL). El proxy de aplicación no está diseñado para el uso de acceso corporativo. Para obtener acceso corporativo general, consulte Microsoft Entra Private Access.
Integración basada en encabezados	El proxy de aplicación realiza la integración de SSO con Microsoft Entra ID y, luego, pasa la identidad u otros datos de la aplicación, como encabezados HTTP, a la aplicación.
Autorización de aplicaciones	Se especifican directivas comunes en función de la aplicación a la que se accede, la pertenencia a grupos del usuario y otras directivas. En Microsoft Entra ID, las directivas se implementan mediante acceso condicional. Las directivas de autorización de aplicaciones solo se aplican a la solicitud de autenticación inicial.
Autenticación de actualización a edición superior	Se definen directivas para forzar la autenticación adicional; por ejemplo, para obtener acceso a recursos confidenciales.
Autorización específica	Proporciona control de acceso en el nivel de dirección URL. Las directivas adicionales se pueden aplicar en función de la dirección URL a la que se accede. La dirección URL interna configurada para la aplicación define el ámbito de la aplicación al que se aplica la directiva. Se aplica la directiva configurada para la ruta de acceso más pormenorizada.

Nota:

En este artículo, se describe la conexión entre las aplicaciones con autenticación basada en encabezados y Microsoft Entra ID mediante el proxy de aplicación y es el patrón recomendado. Hay un patrón de integración alternativo que usa PingAccess con Microsoft Entra ID para habilitar la autenticación basada en encabezados. Para obtener más información, consulte Autenticación basada en encabezados para el inicio de sesión único con un proxy de aplicación y PingAccess.

Funcionamiento

1. El administrador personaliza las asignaciones de atributos requeridas por la aplicación en el centro de administración de Microsoft Entra.
2. El proxy de aplicación garantiza que un usuario se autentique mediante Microsoft Entra ID.
3. El servicio en la nube del proxy de aplicación es consciente de los atributos necesarios. Por lo tanto, el servicio captura las notificaciones correspondientes del token de identificación recibido durante la autenticación. Después, el servicio traduce los valores a los encabezados HTTP necesarios como parte de la solicitud al conector.
4. Luego, la solicitud se pasa al conector que, a su vez, la pasa a la aplicación de back-end.
5. La aplicación recibe los encabezados y puede usarlos según sea necesario.

Publicación de la aplicación con el proxy de aplicación

1. Publique la aplicación según las instrucciones en Publicar aplicaciones con el proxy de aplicación.

   • El valor de la dirección URL interna determina el ámbito de la aplicación. Si configura el valor de la dirección URL interna en la ruta de acceso raíz de la aplicación, todas las subrutas situadas debajo de la raíz reciben la misma configuración de encabezado y de aplicación.
   • Cree una nueva aplicación para establecer otra asignación de usuario o configuración de encabezado para una ruta de acceso más pormenorizada que la aplicación que ha configurado. En la nueva aplicación, configure la dirección URL interna con la ruta de acceso específica que necesita y luego configure los encabezados concretos necesarios para esta dirección URL. El proxy de aplicación siempre ajusta los valores de configuración a la ruta de acceso más detallada establecida para una aplicación.

2. Seleccione Microsoft Entra ID como el método de autenticación previa.

3. Para asignar un usuario de prueba, vaya a Usuarios y grupos y asigne los usuarios y grupos adecuados.

4. Abra un explorador y vaya a Dirección URL externa desde la configuración del proxy de aplicación.

5. Compruebe que puede conectarse a la aplicación. Aunque pueda conectarse, aún no puede acceder a la aplicación, ya que los encabezados no están configurados.

Configuración del inicio de sesión único

Antes de empezar a trabajar con el inicio de sesión único para aplicaciones basadas en encabezados, instale un conector de red privada. El conector debe poder acceder a las aplicaciones de destino. Para obtener más información, consulte Tutorial: Proxy de aplicación de Microsoft Entra.

1. Cuando la aplicación aparezca en la lista de aplicaciones empresariales, selecciónela y, luego, seleccione Inicio de sesión único.
2. Establezca el modo de inicio de sesión único en Basado en encabezados.
3. En Configuración básica, Microsoft Entra ID es el valor predeterminado.
4. Seleccione el lápiz de edición en Encabezados para configurar los encabezados que se van a enviar a la aplicación.
5. Seleccione Agregar nuevo encabezado. Proporcione un nombre para el encabezado y seleccione Atributo o Transformación y, en el menú desplegable, seleccione qué encabezado necesita la aplicación.
   • Para obtener más información sobre la lista de atributos disponibles, vea Personalización de notificaciones: atributos.
   • Para obtener más información sobre la lista de transformaciones disponibles, vea Personalización de notificaciones: transformaciones.
   • Puede agregar un Encabezado de grupo. Para obtener más información sobre la configuración de grupos como un valor, vea: Configuración de notificaciones de grupos para aplicaciones.
6. Seleccione Guardar.

Prueba de la aplicación

La aplicación ahora se está ejecutando y está disponible. Para probar la aplicación:

1. Borre los encabezados previamente almacenados en caché abriendo una nueva ventana del explorador o del explorador privado.
2. Vaya a la dirección URL externa. Puede encontrar esta configuración como Dirección URL externa en la configuración del proxy de aplicación.
3. Inicie sesión con la cuenta de prueba que asignó a la aplicación.
4. Confirme que puede cargar e iniciar sesión en la aplicación mediante el inicio de sesión único.

Consideraciones

• El proxy de aplicación proporciona acceso remoto a las aplicaciones en el entorno local o en la nube privada. No se recomienda el proxy de aplicación para el tráfico que se origina dentro de la misma red que la aplicación.
• El acceso a las aplicaciones de autenticación basada en encabezados se debe restringir solo al tráfico del conector u otra solución de autenticación basada en encabezados permitida. La restricción de acceso se realiza normalmente mediante un firewall o la restricción de IP en el servidor de aplicaciones.

Pasos siguientes

• ¿Qué es el inicio de sesión único?
• ¿Qué es Application Proxy?