Single Sign-On (SSO) basato su intestazione per le app locali con il proxy dell'applicazione Microsoft Entra
Microsoft Entra application proxy supporta in modo nativo l'accesso Single Sign-On (SSO) alle applicazioni che usano intestazioni per l'autenticazione. Configurare i valori di intestazione richiesti dall'applicazione in Microsoft Entra ID. I valori dell'intestazione vengono inviati all'applicazione tramite il proxy dell'applicazione. I vantaggi dell'uso del supporto nativo per l'autenticazione basata su intestazione con il proxy dell'applicazione includono:
Semplificare l'accesso remoto alle app locali: il proxy dell'applicazione semplifica l'architettura di accesso remoto esistente. Sostituire l'accesso vpn (Virtual Private Network) a queste app. Si rimuovono le dipendenze dalle soluzioni di identità locali per l'autenticazione. È possibile semplificare l'esperienza per gli utenti e non notare nulla di diverso quando usano applicazioni aziendali. Gli utenti possono lavorare ovunque su qualsiasi dispositivo.
Nessun software aggiuntivo o modifiche alle app : si usano i connettori di rete privata esistenti. Non è necessario alcun software aggiuntivo.
Elenco completo di attributi e trasformazioni disponibili : tutti i valori di intestazione disponibili sono basati su attestazioni standard rilasciate da Microsoft Entra ID. Tutti gli attributi e le trasformazioni disponibili per la configurazione delle attestazioni per le applicazioni SAML (Security Assertion Markup Language) o OpenID Connessione (OIDC) sono disponibili anche come valori di intestazione.
Prerequisiti
Abilitare il proxy dell'applicazione e installare un connettore con accesso diretto alla rete alle applicazioni. Per altre informazioni, vedere Aggiungere un'applicazione locale per l'accesso remoto tramite il proxy dell'applicazione.
Funzionalità supportate
Nella tabella sono elencate le funzionalità comuni necessarie per le applicazioni di autenticazione basate su intestazione.
| Requisito | Descrizione |
|---|---|
| SSO federato | In modalità preautenticazione, tutte le applicazioni sono protette con l'autenticazione Di Microsoft Entra e gli utenti hanno l'accesso Single Sign-On. |
| Accesso remoto | Il proxy dell'applicazione fornisce l'accesso remoto all'app. Gli utenti accedono all'applicazione da Internet in qualsiasi Web browser usando l'URL (Uniform Resource Locator) esterno. Il proxy di applicazione non è destinato all'accesso aziendale generale. Per l'accesso aziendale generale, vedere Accesso privato Microsoft Entra. |
| Integrazione basata su intestazione | Il proxy di applicazione gestisce l'integrazione dell'accesso Single Sign-On con Microsoft Entra ID e quindi passa l'identità o altri dati dell'applicazione come intestazioni HTTP all'applicazione. |
| Autorizzazione dell'applicazione | I criteri comuni vengono specificati in base all'applicazione a cui si accede, all'appartenenza al gruppo dell'utente e ad altri criteri. In Microsoft Entra ID i criteri vengono implementati usando l'accesso condizionale. I criteri di autorizzazione dell'applicazione si applicano solo alla richiesta di autenticazione iniziale. |
| Autenticazione dell'aggiornamento all'edizione superiore | I criteri vengono definiti per forzare l'autenticazione aggiunta, ad esempio, per ottenere l'accesso alle risorse sensibili. |
| Autorizzazione con granularità fine | Fornisce il controllo di accesso a livello di URL. I criteri aggiunti possono essere applicati in base all'URL a cui si accede. L'URL interno configurato per l'app definisce l'ambito dell'app a cui viene applicato il criterio. Vengono applicati i criteri configurati per il percorso più granulare. |
Nota
Questo articolo descrive la connessione tra applicazioni di autenticazione basate su intestazione e ID Microsoft Entra usando il proxy di applicazione ed è il modello consigliato. In alternativa, esiste un modello di integrazione che usa PingAccess con Microsoft Entra ID per abilitare l'autenticazione basata su intestazione. Per altre informazioni, vedere Autenticazione basata su intestazione per l'accesso Single Sign-On con il proxy dell'applicazione e PingAccess.
Funzionamento
- Il Amministrazione personalizza i mapping degli attributi richiesti dall'applicazione nell'interfaccia di amministrazione di Microsoft Entra.
- Il proxy dell'applicazione garantisce che un utente venga autenticato usando Microsoft Entra ID.
- Il servizio cloud di Application Proxy è in grado di riconoscere gli attributi necessari. Il servizio recupera quindi le attestazioni corrispondenti dal token ID ricevuto durante l'autenticazione. Il servizio converte quindi i valori nelle intestazioni HTTP necessarie come parte della richiesta al connettore.
- La richiesta viene quindi passata al connettore, che viene quindi passato all'applicazione back-end.
- L'applicazione riceve le intestazioni e può usarle secondo necessità.
Pubblicare l'applicazione con il proxy dell'applicazione
Pubblicare l'applicazione in base alle istruzioni descritte in Pubblicare applicazioni con il proxy dell'applicazione.
- Il valore dell'URL interno determina l'ambito dell'applicazione. Configurare il valore dell'URL interno nel percorso radice dell'applicazione e tutti i percorsi secondari sotto la radice ricevono la stessa configurazione dell'intestazione e dell'applicazione.
- Creare una nuova applicazione per impostare una configurazione di intestazione o un'assegnazione utente diversa per un percorso più granulare rispetto all'applicazione configurata. Nella nuova applicazione configurare l'URL interno con il percorso specifico necessario e quindi configurare le intestazioni specifiche necessarie per questo URL. Il proxy di applicazione corrisponde sempre alle impostazioni di configurazione al set di percorsi più granulare per un'applicazione.
Selezionare Microsoft Entra ID come metodo di preautenticazione.
Assegnare un utente di test passando a Utenti e gruppi e assegnando gli utenti e i gruppi appropriati.
Aprire un browser e passare all'URL esterno dalle impostazioni del proxy dell'applicazione.
Verificare che sia possibile connettersi all'applicazione. Anche se è possibile connettersi, non è ancora possibile accedere all'app perché le intestazioni non sono configurate.
Configurare Single Sign-On
Prima di iniziare a usare l'accesso Single Sign-On per le applicazioni basate su intestazione, installare un connettore di rete privato. Il connettore deve essere in grado di accedere alle applicazioni di destinazione. Per altre informazioni, vedere Esercitazione: Proxy dell'applicazione Microsoft Entra.
- Dopo che l'applicazione viene visualizzata nell'elenco delle applicazioni aziendali, selezionarla e selezionare Single Sign-On.
- Impostare la modalità Single Sign-On su Intestazione.
- In Configurazione di base, Microsoft Entra ID, è selezionato come predefinito.
- Selezionare la matita di modifica, in Intestazioni per configurare le intestazioni da inviare all'applicazione.
- Selezionare Aggiungi nuova intestazione. Specificare un nome per l'intestazione e selezionare Attributo o Trasformazione e selezionare nell'elenco a discesa l'intestazione necessaria per l'applicazione.
- Per altre informazioni sull'elenco degli attributi disponibili, vedere Personalizzazioni delle attestazioni- Attributi.
- Per altre informazioni sull'elenco delle trasformazioni disponibili, vedere Personalizzazioni delle attestazioni- Trasformazioni attestazioni.
- È possibile aggiungere un'intestazione di gruppo. Per altre informazioni sulla configurazione dei gruppi come valore, vedere Configurare le attestazioni basate su gruppo per le applicazioni.
- Seleziona Salva.
Testare l'app
L'applicazione è ora in esecuzione e disponibile. Per testare l'app:
- Cancellare le intestazioni memorizzate nella cache aprendo una nuova finestra del browser o del browser privato.
- Passare all'URL esterno. Questa impostazione è elencata come URL esterno nelle impostazioni del proxy dell'applicazione.
- Accedere con l'account di test assegnato all'app.
- Verificare che sia possibile caricare e accedere all'applicazione usando SSO.
Considerazioni
- Il proxy dell'applicazione fornisce l'accesso remoto alle app in locale o in un cloud privato. Il proxy di applicazione non è consigliato per il traffico proveniente dalla stessa rete dell'applicazione desiderata.
- L'accesso alle applicazioni di autenticazione basate su intestazione deve essere limitato solo al traffico proveniente dal connettore o da un'altra soluzione di autenticazione basata su intestazioni consentita. La restrizione di accesso viene in genere eseguita usando un firewall o una restrizione IP nel server applicazioni.