Aplicaciones comodín en el proxy de aplicaciones de Microsoft Entra

  • Artículo

En Microsoft Entra ID, configurar un gran número de aplicaciones locales puede dificultar rápidamente la administración e incorpora riesgos innecesarios de errores de configuración si muchas de ellas requieren la misma configuración. Con el proxy de aplicaciones de Microsoft Entra, puede resolver este problema publicando aplicaciones comodín para publicar y administrar varias aplicaciones a la vez. Se trata de una solución que permite:

  • Simplificar la sobrecarga administrativa
  • Reducir el número de posibles errores de configuración
  • Permitir a los usuarios acceder con seguridad a más recursos

En este artículo se proporciona la información necesaria para configurar la publicación de la aplicación con comodín en el entorno.

Creación de una aplicación con comodín

Puede crear una aplicación con comodín (*) si tiene un grupo de aplicaciones con la misma configuración. Los posibles candidatos a aplicación con comodín son aquellas que comparten la configuración siguiente:

  • Grupo de usuarios que pueden acceder a ellas
  • Método de inicio de sesión único
  • Protocolo de acceso (http, https)

Puede publicar aplicaciones con caracteres comodín si tanto las direcciones URL internas como las externas tienen el siguiente formato:

http(s)://*.<domain>

Por ejemplo: http(s)://*.adventure-works.com.

Aunque las direcciones URL internas y externas pueden usar dominios diferentes, como procedimiento recomendado, deben ser iguales. Al publicar la aplicación, verá un error si una de las direcciones URL no tiene un carácter comodín.

La creación de una aplicación comodín se basa en el mismo flujo de publicación de aplicaciones que está disponible para las demás aplicaciones. La única diferencia es que se incluye un carácter comodín en las direcciones URL y, quizá, la configuración del inicio de sesión único.

Prerrequisitos

Para comenzar, asegúrese de que reúne estos requisitos.

Dominios personalizados

Mientras que losdominios personalizados son opcionales para todas las demás aplicaciones, son un requisito previo para las aplicaciones con comodín. La creación de dominios personalizados requiere:

  1. La creación de un dominio comprobado en Azure.
  2. La carga de un certificado TLS/SSL con formato PFX para el proxy de aplicación.

Considere la posibilidad de usar un certificado con comodín para que coincida con la aplicación que va a crear.

Por motivos de seguridad, se trata de un requisito de disco duro y no se admiten caracteres comodín para las aplicaciones que no puedan utilizar un dominio personalizado para la dirección URL externa.

Actualizaciones del servicio de nombres de dominio

Cuando utilice dominios personalizados, debe crear una entrada DNS con un registro CNAME para la dirección URL externa (por ejemplo, *.adventure-works.com) que apunte a la dirección URL externa del punto de conexión proxy de la aplicación. En el caso de las aplicaciones con caracteres comodín, el registro CNAME debe apuntar a la dirección URL externa pertinente:

<yourAADTenantId>.tenant.runtime.msappproxy.net

Para confirmar que ha configurado CNAME correctamente, puede usar nslookup en uno de los puntos de conexión de destino, por ejemplo, expenses.adventure-works.com. La respuesta debe incluir el alias ya mencionado (<yourAADTenantId>.tenant.runtime.msappproxy.net).

Uso de grupos de conectores asignados a una región de servicio en la nube del proxy de aplicación distinta de la región predeterminada

Si tiene conectores instalados en regiones distintas de la región de inquilino predeterminada, conviene cambiar para qué región está optimizado el grupo de conectores a fin de mejorar el rendimiento al acceder a estas aplicaciones. Para más información, consulte Optimización de los grupos de conectores para usar el servicio en la nube del proxy de aplicación más cercano.

Si el grupo de conectores asignado a la aplicación de caracteres comodín usa una región distinta de la predeterminada, deberá actualizar el registro CNAME para que apunte a una dirección URL externa específica de la región. Utilice la tabla siguiente para determinar la dirección URL pertinente:

Región asignada del conector Dirección URL externa
Asia <yourAADTenantId>.asia.tenant.runtime.msappproxy.net
Australia <yourAADTenantId>.aus.tenant.runtime.msappproxy.net
Europa <yourAADTenantId>.eur.tenant.runtime.msappproxy.net
Norteamérica <yourAADTenantId>.nam.tenant.runtime.msappproxy.net

Consideraciones

Estas son algunas consideraciones que debe tener en cuenta para las aplicaciones con comodín.

Formatos aceptados

Para las aplicaciones con comodín, la URL interna debe tener el formato http(s)://*.<domain>.

For internal URL, use the format http(s)://*.<domain>

Al configurar una dirección URL externa, debe utilizar el formato siguiente: https://*.<custom domain>

For external URL, use the format https://*.<custom domain>

No se admiten otras posiciones de comodín, varios comodines ni otras cadenas de expresiones regulares, que provocan errores.

Exclusión de aplicaciones del comodín

Para excluir una aplicación de la aplicación con comodín:

  • Publique la excepción de aplicación como aplicación normal
  • Habilite el comodín solo para aplicaciones específicas mediante la configuración del servicio de nombres de dominio

La publicación de una aplicación como aplicación normal es el método preferido para excluir una aplicación de un comodín. Debe publicar las aplicaciones excluidas antes que las aplicaciones con comodín para asegurarse de que las excepciones se aplican desde el principio. La aplicación más específica siempre tiene prioridad: una aplicación que se publica como budgets.finance.adventure-works.com tiene prioridad sobre *.finance.adventure-works.com, que a su vez tiene prioridad sobre *.adventure-works.com.

También puede limitar el carácter comodín para que funcione solo para aplicaciones específicas mediante la administración del servicio de nombres de dominio. Como procedimiento recomendado, debe crear una entrada CNAME que incluya un carácter comodín y coincida con el formato de la dirección URL externa configurada. Sin embargo, en su lugar puede hacer que las direcciones URL de aplicación específica apunten a los caracteres comodín. Por ejemplo, en lugar de *.adventure-works.com, haga que hr.adventure-works.com, expenses.adventure-works.com y travel.adventure-works.com individually apunten a 000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.net.

Si utiliza esta opción, necesitará otra entrada CNAME para el valor AppId.domain, por ejemplo, 00000000-1a11-22b2-c333-444d4d4dd444.adventure-works.com, que apunte a la misma ubicación. AppId se encuentra en la página de propiedades de la aplicación de la aplicación con comodín:

Find the application ID on the app's property page

Configuración de la dirección URL de página de inicio para el panel MyApps

La aplicación con comodín se representa con un solo icono en el panel MyApps. De forma predeterminada, este icono está oculto. Para mostrar el icono y que los usuarios vayan a una página específica:

  1. Siga las directrices para configurar una dirección URL de página principal.
  2. Establezca Show Application en true en la página de propiedades de la aplicación.

Delegación limitada de Kerberos

Para las aplicaciones que usan la delegación restringida de Kerberos (KCD) como método de inicio de sesión único, el nombre de entidad de seguridad de servicio que aparece para el método de inicio de sesión único necesita un carácter comodín. Por ejemplo, el nombre de entidad de seguridad de servicio podría ser: HTTP/*.adventure-works.com. Debe tener los nombres de entidad de seguridad de servicio individuales configurados en los servidores back-end (por ejemplo, HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).

Escenario 1: aplicación con comodín general

En este escenario, tiene tres aplicaciones que desea publicar:

  • expenses.adventure-works.com
  • hr.adventure-works.com
  • travel.adventure-works.com

Las tres aplicaciones:

  • Las utilizan todos los usuarios
  • Usan la autenticación integrada de Windows
  • Tienen las mismas propiedades

Puede publicar la aplicación comodín siguiendo los pasos descritos en Publicación de aplicaciones mediante el proxy de aplicaciones de Microsoft Entra. En este escenario se presupone que:

  • Hay un inquilino con el identificador: 000aa000-11b1-2ccc-d333-4444eee4444e.
  • Se ha configurado un dominio comprobado denominado adventure-works.com.
  • Se ha creado una entrada CNAME que hace que *.adventure-works.com apunte a 000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.net.

Al seguir los pasos documentados, se crea una aplicación de proxy de aplicación en el inquilino. En este ejemplo, el carácter comodín se encuentra en los campos siguientes:

  • Dirección URL interna:

    Example: Wildcard in internal URL

  • Dirección URL externa:

    Example: Wildcard in external URL

  • Nombre de entidad de seguridad de servicio de la aplicación interno:

    Example: Wildcard in SPN configuration

Al publicar la aplicación con comodín, ahora tendrá acceso a las tres aplicaciones; para ello, vaya a las direcciones URL habituales (por ejemplo, travel.adventure-works.com).

La configuración implementa la siguiente estructura:

Shows the structure implemented by the example configuration

Color Descripción
Azul Aplicaciones publicadas y visibles explícitamente en el centro de administración de Microsoft Entra.
Gris Aplicaciones a las que puede acceder desde la aplicación primaria.

Escenario 2: aplicación con comodín general con excepción

En este escenario, además de las tres aplicaciones generales tiene otra, finance.adventure-works.com, que solo debe ser accesible para el departamento financiero. Con la estructura de aplicación actual, la aplicación financiera sería accesible mediante la aplicación con comodín y para todos los empleados. Para cambiar esto, excluya la aplicación de la aplicación con comodín; para ello, configure la financiera como aplicación independiente con permisos más restrictivos.

Asegúrese de que existe un registro CNAME que hace que finance.adventure-works.com apunte al punto de conexión específico de la aplicación (que se especifica en la página del proxy de aplicación de esta). En este escenario, finance.adventure-works.comapunta a https://finance-awcycles.msappproxy.net/.

Al seguir los pasos documentados, este escenario requiere la siguiente configuración:

  • En la dirección URL interna, establezca finance en lugar de un carácter comodín.

    Example: Set finance instead of a wildcard in internal URL

  • En la dirección URL externa, establezca finance en lugar de un carácter comodín.

    Example: Set finance instead of a wildcard in external URL

  • En el nombre de entidad de seguridad de servicio interno de la aplicación, establezca finance en lugar de un carácter comodín.

    Example: Set finance instead of a wildcard in SPN configuration

La configuración implementa el siguiente escenario:

Shows the configuration implemented by the sample scenario

La dirección URL finance.adventure-works.com es específica. La dirección URL *.adventure-works.com no es específica. La dirección URL más específica tiene prioridad. Los usuarios que visiten finance.adventure-works.com tiene la experiencia que se especifica en la aplicación Finance Resources. En este caso, solo los empleados del departamento financiero tienen acceso a finance.adventure-works.com.

Si tiene varias aplicaciones financieras publicadas y finance.adventure-works.com como dominio comprobado, puede publicar otra aplicación con comodín *.finance.adventure-works.com. Dado que esta es más específico que la dirección *.adventure-works.com genérica, tiene prioridad si un usuario accede a una aplicación del dominio financiero.

Pasos siguientes