Acesso remoto a aplicativos locais por meio do Proxy de Aplicativo do Azure Active DirectoryRemote access to on-premises applications through Azure Active Directory's Application Proxy

O Proxy de Aplicativo do Azure Active Directory fornece acesso remoto seguro aos aplicativos Web locais.Azure Active Directory's Application Proxy provides secure remote access to on-premises web applications. Após um logon único para o Azure AD, os usuários podem acessar aplicativos locais e de nuvem por meio de uma URL externa ou um portal interno do aplicativo.After a single sign-on to Azure AD, users can access both cloud and on-premises applications through an external URL or an internal application portal. Por exemplo, o Proxy de Aplicativo pode fornecer acesso remoto e o logon único para a Área de Trabalho Remota, o SharePoint, o Teams, o Tableau, o Qlik e aplicativos LOB (linha de negócios).For example, Application Proxy can provide remote access and single sign-on to Remote Desktop, SharePoint, Teams, Tableau, Qlik, and line of business (LOB) applications.

O Proxy de Aplicativo do Azure AD é:Azure AD Application Proxy is:

  • Simples de usar.Simple to use. Os usuários podem acessar seus aplicativos locais da mesma forma que acessam o O365 e outros aplicativos SaaS integrados ao Azure AD.Users can access your on-premises applications the same way they access O365 and other SaaS apps integrated with Azure AD. Você não precisa alterar ou atualizar seus aplicativos para que funcionem com o Proxy de Aplicativo.You don't need to change or update your applications to work with Application Proxy.

  • Seguro.Secure. Os aplicativos locais podem usar os controles de autorização e análise de segurança do Azure.On-premises applications can use Azure's authorization controls and security analytics. Por exemplo, no local os aplicativos podem usar a verificação em duas etapas e acesso condicional.For example, on-premises applications can use Conditional Access and two-step verification. O Proxy de Aplicativo não exige que você abra conexões de entrada através do firewall.Application Proxy doesn't require you to open inbound connections through your firewall.

  • Econômico.Cost-effective. As soluções locais geralmente exigem que você configure e mantenha redes de perímetro, servidores de borda ou outras infraestruturas complexas.On-premises solutions typically require you to set up and maintain demilitarized zones (DMZs), edge servers, or other complex infrastructures. O Proxy de Aplicativo é executado na nuvem, o que o torna fácil de usar.Application Proxy runs in the cloud, which makes it easy to use. Para usar o Proxy de Aplicativo, você não precisa alterar a infraestrutura de rede ou instalar dispositivos adicionais no seu ambiente local.To use Application Proxy, you don't need to change the network infrastructure or install additional appliances in your on-premises environment.

O que é o Proxy de Aplicativo?What is Application Proxy?

O Proxy de Aplicativo é um recurso do Azure AD que permite que os usuários acessem aplicativos Web locais de um cliente remoto.Application Proxy is a feature of Azure AD that enables users to access on-premises web applications from a remote client. O Proxy de Aplicativo inclui o serviço de Proxy de Aplicativo que é executado na nuvem e o conector de Proxy de Aplicativo que é executado em um servidor local.Application Proxy includes both the Application Proxy service which runs in the cloud, and the Application Proxy connector which runs on an on-premises server. O Azure AD, o serviço de Proxy de Aplicativo e o conector de Proxy de Aplicativo trabalham em conjunto para transmitir o token de logon do usuário do Azure AD para o aplicativo Web de forma segura.Azure AD, the Application Proxy service, and the Application Proxy connector work together to securely pass the user sign-on token from Azure AD to the web application.

O Proxy de Aplicativo funciona com:Application Proxy works with:

  • Aplicativos Web que usam a Autenticação Integrada do Windows para autenticaçãoWeb applications that use Integrated Windows Authentication for authentication
  • Aplicativos Web que usam o acesso baseado em formulário ou baseado em cabeçalhoWeb applications that use form-based or header-based access
  • APIs Web que você deseja expor a aplicativos avançados em diferentes dispositivosWeb APIs that you want to expose to rich applications on different devices
  • Aplicativos hospedados por trás de um Gateway de Área de Trabalho RemotaApplications hosted behind a Remote Desktop Gateway
  • Aplicativos cliente avançados que são integrados com a ADAL (Biblioteca de autenticação do Active Directory)Rich client apps that are integrated with the Active Directory Authentication Library (ADAL)

O Proxy de Aplicativo é compatível com o logon único.Application Proxy supports single sign-on. Para obter mais informações sobre métodos com suporte, consulte Escolhendo um método de logon único.For more information on supported methods, see Choosing a single sign-on method.

O Proxy de aplicativo é recomendado para dando a usuários remotos acesso aos recursos internos.Application Proxy is recommended for giving remote users access to internal resources. O Proxy de aplicativo substitui a necessidade de uma VPN ou um proxy reverso.Application Proxy replaces the need for a VPN or reverse proxy. Ele não se destina a usuários internos na rede corporativa.It is not intended for internal users on the corporate network. Esses usuários que usam desnecessariamente o Proxy de aplicativo podem apresentar problemas de desempenho inesperado e indesejado.These users who unnecessarily use Application Proxy can introduce unexpected and undesirable performance issues.

Como o Proxy de Aplicativo funcionaHow Application Proxy works

O diagrama a seguir mostra como o Azure AD e o Proxy de Aplicativo trabalham juntos para fornecer o logon único para aplicativos locais.The following diagram shows how Azure AD and Application Proxy work together to provide single sign-on to on-premises applications.

Diagrama do Proxy de Aplicativo do Azure

  1. Após o usuário ter acessado o aplicativo por meio de um ponto de extremidade, ele será direcionado para a página de entrada do Azure AD.After the user has accessed the application through an endpoint, the user is directed to the Azure AD sign-in page.
  2. Após uma entrada com êxito, o Azure AD envia um token para o dispositivo cliente do usuário.After a successful sign-in, Azure AD sends a token to the user's client device.
  3. O cliente agora envia o token para o serviço Proxy de Aplicativo que recuperará o nome UPN e o SPN (nome da entidade de segurança) do token.The client sends the token to the Application Proxy service, which retrieves the user principal name (UPN) and security principal name (SPN) from the token. O Proxy de Aplicativo envia então a solicitação para o conector de Proxy de Aplicativo.Application Proxy then sends the request to the Application Proxy connector.
  4. Se você tiver configurado o logon único, o conector não realizará nenhuma autenticação adicional necessária em nome do usuário.If you have configured single sign-on, the connector performs any additional authentication required on behalf of the user.
  5. O conector envia a solicitação para o aplicativo no local.The connector sends the request to the on-premises application.
  6. A resposta é enviada por meio do conector e do serviço Proxy de Aplicativo para o usuário.The response is sent through the connector and Application Proxy service to the user.
ComponenteComponent DESCRIÇÃODescription
Ponto de extremidadeEndpoint O ponto de extremidade é uma URL ou um portal do usuário final.The endpoint is a URL or an end-user portal. Os usuários podem acessar aplicativos enquanto estão fora de sua rede ao acessar uma URL externa.Users can reach applications while outside of your network by accessing an external URL. Usuários dentro de sua rede podem acessar o aplicativo por meio de uma URL ou de um portal do usuário final.Users within your network can access the application through a URL or an end-user portal. Quando os usuários acessam um desses pontos de extremidade, eles são autenticados no Azure AD e, em seguida, são direcionados por meio do conector até o aplicativo local.When users go to one of these endpoints, they authenticate in Azure AD and then are routed through the connector to the on-premises application.
AD do AzureAzure AD O Azure AD executa a autenticação usando o diretório do locatário armazenado na nuvem.Azure AD performs the authentication using the tenant directory stored in the cloud.
Serviço do Proxy de AplicativoApplication Proxy service Esse serviço de Proxy de Aplicativo é executado na nuvem como parte do Azure AD.This Application Proxy service runs in the cloud as part of Azure AD. Ele passa o token de logon do usuário para o Conector de Proxy de Aplicativo.It passes the sign-on token from the user to the Application Proxy Connector. O Proxy de Aplicativo encaminha qualquer cabeçalho acessível na solicitação e define os cabeçalhos de acordo com seu protocolo para o endereço IP do cliente.Application Proxy forwards any accessible headers on the request and sets the headers as per its protocol, to the client IP address. Se a solicitação de entrada para o proxy já tiver esse cabeçalho, o endereço IP do cliente será adicionado ao final da lista separada por vírgulas que é o valor do cabeçalho.If the incoming request to the proxy already has that header, the client IP address is added to the end of the comma separated list that is the value of the header.
Conector de Proxy de AplicativoApplication Proxy Connector O conector é um agente leve executado em um Windows Server na sua rede.The connector is a lightweight agent that runs on a Windows Server inside your network. Ele gerencia a comunicação entre o serviço de Proxy de Aplicativo na nuvem e o aplicativo local.The connector manages communication between the Application Proxy service in the cloud and the on-premises application. O conector usa apenas conexões de saída, portanto você não precisa abrir portas de entrada nem colocar nada na DMZ.The connector only uses outbound connections, so you don't have to open any inbound ports or put anything in the DMZ. Os conectores são sem monitoração de estado e efetuam pull de informações da nuvem conforme necessário.The connectors are stateless and pull information from the cloud as necessary. Para obter mais informações sobre conectores, como eles fazem o balanceamento de carga e a autenticação, consulte Noções básicas sobre conectores de Proxy de Aplicativo do Azure AD.For more information about connectors, like how they load-balance and authenticate, see Understand Azure AD Application Proxy connectors.
AD (Active Directory)Active Directory (AD) O Active Directory é executado localmente para realizar a autenticação para contas de domínio.Active Directory runs on-premises to perform authentication for domain accounts. Quando o logon único está configurado, o conector se comunica com o AD para realizar qualquer autenticação adicional necessária.When single sign-on is configured, the connector communicates with AD to perform any additional authentication required.
Aplicativo localOn-premises application Por fim, o usuário é capaz de acessar um aplicativo local.Finally, the user is able to access an on-premises application.

Próximas etapasNext steps

Para começar a usar o Proxy de a Aplicativo, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio do Proxy de Aplicativo.To start using Application Proxy, see Tutorial: Add an on-premises application for remote access through Application Proxy.

Para encontrar as últimas notícias e atualizações, confira o blog do Proxy de AplicativoFor the latest news and updates, see the Application Proxy blog