Publicar aplicativos em redes e locais separados usando grupos de conectoresPublish applications on separate networks and locations using connector groups

Os clientes utilizam o Proxy de Aplicativo Azure AD para cada vez mais cenários e aplicativos.Customers utilize Azure AD's Application Proxy for more and more scenarios and applications. Então, tornamos o Proxy de Aplicativo ainda mais flexível por meio de mais topologias.So we've made App Proxy even more flexible by enabling more topologies. Você pode criar grupos de conectores de Proxy de Aplicativo para poder atribuir conectores específicos a fim de atender a aplicativos específicos.You can create Application Proxy connector groups so that you can assign specific connectors to serve specific applications. Esse recurso fornece a você mais controle e mais formas de otimizar a implantação do Proxy de Aplicativo.This capability gives you more control and ways to optimize your Application Proxy deployment.

Cada conector do Proxy de Aplicativo é atribuído a um grupo de conectores.Each Application Proxy connector is assigned to a connector group. Todos os conectores que pertencem ao mesmo grupo de conectores agem como uma unidade separada em relação à alta disponibilidade e ao balanceamento de carga.All the connectors that belong to the same connector group act as a separate unit for high-availability and load balancing. Todos os conectores pertencem a um grupo de conectores.All connectors belong to a connector group. Se você não criar grupos, todos os seus conectores estão em um grupo padrão.If you don't create groups, then all your connectors are in a default group. O administrador pode criar novos grupos e atribuir conectores a esses grupos no portal do Azure.Your admin can create new groups and assign connectors to them in the Azure portal.

Todos os aplicativos são atribuídos a um grupo de conectores.All applications are assigned to a connector group. Se você não criar grupos, todos os seus aplicativos são atribuídos a um grupo padrão.If you don't create groups, then all your applications are assigned to a default group. Mas se você organizar seus conectores em grupos, poderá configurar cada aplicativo para trabalhar com um grupo específico de conectores.But if you organize your connectors into groups, you can set each application to work with a specific connector group. Neste caso, apenas os conectores nesse grupo atendem ao aplicativo mediante solicitação.In this case, only the connectors in that group serve the application upon request. Esse recurso é útil se os seus aplicativos estiverem hospedados em diferentes locais.This feature is useful if your applications are hosted in different locations. Você pode criar grupos de conectores com base no local, para que os aplicativos sejam sempre atendidos pelos conectores que estão fisicamente próximos deles.You can create connector groups based on location, so that applications are always served by connectors that are physically close to them.

Dica

Se você tiver uma grande implantação de Proxy de Aplicativo, não atribua nenhum aplicativo ao grupo de conectores padrão.If you have a large Application Proxy deployment, don't assign any applications to the default connector group. Dessa forma, novos conectores não recebem nenhum tráfego ao vivo até você atribuí-los a um grupo de conectores ativo.That way, new connectors don't receive any live traffic until you assign them to an active connector group. Essa configuração permite que você coloque conectores em um modo ocioso, movendo-os de volta ao grupo padrão, para que você possa executar manutenções sem afetar os usuários.This configuration also enables you to put connectors in an idle mode by moving them back to the default group, so that you can perform maintenance without impacting your users.

Pré-requisitosPrerequisites

Para agrupar seus conectores, você precisa assegurar-se de ter instalado vários conectores.To group your connectors, you have to make sure you installed multiple connectors. Quando você instala um novo conector, ele automaticamente se junta ao grupo de conector Padrão .When you install a new connector, it automatically joins the Default connector group.

Criar grupos de conectoresCreate connector groups

Siga estas etapas para criar quantos grupos de conectores desejar.Use these steps to create as many connector groups as you want.

  1. Entre no Portal do Azure.Sign in to the Azure portal.

  2. Selecione Azure Active Directory > Aplicativos empresariais > Proxy de aplicativo.Select Azure Active Directory > Enterprise applications > Application proxy.

  3. Selecione Novo grupo de conectores.Select New connector group. A folha Novo Grupo de Conectores é exibida.The New Connector Group blade appears.

    Mostra a tela para selecionar um novo grupo de conectores

  4. Nomeie o novo grupo de conectores e use o menu suspenso para selecionar quais conectores pertencem a esse grupo.Give your new connector group a name, then use the dropdown menu to select which connectors belong in this group.

  5. Selecione Salvar.Select Save.

Atribuir aplicativos aos grupos de conectoresAssign applications to your connector groups

Siga estas etapas para cada aplicativo publicado com Proxy de Aplicativo.Use these steps for each application that you've published with Application Proxy. Você pode atribuir um aplicativo a um grupo de conectores quando você o publica pela primeira vez, ou você pode usar estas etapas para alterar a atribuição sempre que desejar.You can assign an application to a connector group when you first publish it, or you can use these steps to change the assignment whenever you want.

  1. No painel de gerenciamento do seu diretório, selecione Aplicativos empresariais > Todos os aplicativos > o aplicativo que você deseja atribuir a um grupo de conectores > Proxy de Aplicativo.From the management dashboard for your directory, select Enterprise applications > All applications > the application you want to assign to a connector group > Application Proxy.
  2. No menu suspenso Grupo de Conectores, selecione o grupo que você deseja que o aplicativo use.Use the Connector Group dropdown menu to select the group you want the application to use.
  3. Clique em Salvar para aplicar a alteração.Select Save to apply the change.

Casos de uso para grupos de conectoresUse cases for connector groups

Os grupos de conectores são úteis para diversos cenários, incluindo:Connector groups are useful for various scenarios, including:

Sites com vários datacenters interconectadosSites with multiple interconnected datacenters

Muitas organizações têm um número de datacenters interconectados.Many organizations have a number of interconnected datacenters. Nesses casos, você deseja manter o tráfego dentro do datacenter o máximo possível, porque links entre datacenters são caros e lentos.In this case, you want to keep as much traffic within the datacenter as possible because cross-datacenter links are expensive and slow. Você pode implantar conectores em cada datacenter para servir apenas os aplicativos que residem dentro do datacenter.You can deploy connectors in each datacenter to serve only the applications that reside within the datacenter. Essa abordagem minimiza os links entre datacenters e fornece uma experiência totalmente transparente para os usuários.This approach minimizes cross-datacenter links and provides an entirely transparent experience to your users.

Aplicativos instalados em redes isoladasApplications installed on isolated networks

Os aplicativos podem ser hospedados em redes que não fazem parte da rede corporativa principal.Applications can be hosted in networks that are not part of the main corporate network. Você pode usar grupos de conectores para instalar conectores dedicados em redes isoladas para isolar também os aplicativos para a rede.You can use connector groups to install dedicated connectors on isolated networks to also isolate applications to the network. Isso geralmente acontece quando um fornecedor terceiro mantém um aplicativo específico para sua organização.This usually happens when a third-party vendor maintains a specific application for your organization.

Os grupos de conectores permitem que você instale conectores dedicados para redes que publicam apenas aplicativos específicos, facilitando e protegendo a terceirização do gerenciamento de aplicativos para os fornecedores terceiros.Connector groups allow you to install dedicated connectors for those networks that publish only specific applications, making it easier and more secure to outsource application management to third-party vendors.

Aplicativos instalados no IaaSApplications installed on IaaS

Para aplicativos instalados no IaaS para acesso à nuvem, os grupos de conector fornecem um serviço comum para proteger o acesso a todos os aplicativos.For applications installed on IaaS for cloud access, connector groups provide a common service to secure the access to all the apps. Os grupos de conectores não criam dependência adicional em sua rede corporativa nem fragmentam a experiência de aplicativo.Connector groups don't create additional dependency on your corporate network, or fragment the app experience. Conectores podem ser instalados em cada datacenter na nuvem e servir apenas os aplicativos que residem nessa rede.Connectors can be installed on every cloud datacenter and serve only applications that reside in that network. Você pode instalar vários conectores para obter alta disponibilidade.You can install several connectors to achieve high availability.

Veja um exemplo de uma organização que tem diversas máquinas virtuais conectadas à própria rede virtual IaaS hospedada.Take as an example an organization that has several virtual machines connected to their own IaaS hosted virtual network. Para permitir que os funcionários usem esses aplicativos, essas redes privadas são conectadas à rede corporativa usando VPN site a site.To allow employees to use these applications, these private networks are connected to the corporate network using site-to-site VPN. Isso proporciona uma boa experiência para os funcionários locais.This provides a good experience for employees that are located on-premises. Mas, talvez não seja ideal para funcionários remotos, pois exige uma infraestrutura local adicional para rotear o acesso, como você pode ver no diagrama a seguir:But, it may not be ideal for remote employees, because it requires additional on-premises infrastructure to route access, as you can see in the diagram below:

Diagrama que ilustra a rede IaaS do Azure AD

Com os grupos de conectores do Proxy de Aplicativo Azure AD, você pode permitir que um serviço comum proteja o acesso a todos os aplicativos sem criar dependências adicionais em sua rede corporativa:With Azure AD Application Proxy connector groups, you can enable a common service to secure the access to all applications without creating additional dependency on your corporate network:

Vários fornecedores de nuvem do Azure AD IaaS

Várias florestas – grupos de conectores diferentes para cada florestaMulti-forest – different connector groups for each forest

A maioria dos clientes que implantou o Proxy de Aplicativo usa seus recursos de SSO (Logon Único) executando a KCD (Delegação restrita de Kerberos).Most customers who have deployed Application Proxy are using its single-sign-on (SSO) capabilities by performing Kerberos Constrained Delegation (KCD). Para conseguir isso, as máquinas do conector precisam ser associadas a um domínio que possa delegar os usuários para o aplicativo.To achieve this, the connector’s machines need to be joined to a domain that can delegate the users toward the application. O KCD oferece suporte a recursos entre florestas.KCD supports cross-forest capabilities. Porém, para as empresas que possuem ambientes diferentes de várias florestas sem qualquer relação de confiança entre eles, é possível usar um único conector para todas as florestas.But for companies who have distinct multi-forest environments with no trust between them, a single connector cannot be used for all forests.

Nesse caso, é possível implantar conectores específicos por floresta e configurá-los para atender aos aplicativos publicados para atender apenas aos usuários dessa floresta específica.In this case, specific connectors can be deployed per forest, and set to serve applications that were published to serve only the users of that specific forest. Cada grupo de conectores representa uma floresta diferente.Each connector group represents a different forest. Embora o locatário e a maior parte da experiência sejam unificados para todas as florestas, os usuários podem ser atribuídos aos seus aplicativos de floresta usando os grupos do Azure AD.While the tenant and most of the experience is unified for all forests, users can be assigned to their forest applications using Azure AD groups.

Sites de Recuperação de DesastreDisaster Recovery sites

Há duas abordagens diferentes que podem ser executadas com um site de DR (recuperação de desastres), dependendo de como os sites foram implementados:There are two different approaches you can take with a disaster recovery (DR) site, depending on how your sites are implemented:

  • Se o seu site de DR for criado no modo ativo-ativo, no qual ele é exatamente como o site principal e tem as mesmas configurações de rede e do AD, você poderá criar os conectores no site de DR no mesmo grupo de conectores do site principal.If your DR site is built in active-active mode where it is exactly like the main site and has the same networking and AD settings, you can create the connectors on the DR site in the same connector group as the main site. Isso permite que o Azure AD detecte failovers para você.This enables Azure AD to detect failovers for you.
  • Se o seu site de DR for separado do site principal, você poderá criar um grupo de conectores diferente no site de DR e 1) ter aplicativos de backup ou 2) desviar manualmente o aplicativo existente para o grupo de conectores de DR, conforme necessário.If your DR site is separate from the main site, you can create a different connector group in the DR site, and either 1) have backup applications or 2) manually divert the existing application to the DR connector group as needed.

Atender a várias empresas de um único locatárioServe multiple companies from a single tenant

Há várias maneiras de implementar um modelo no qual um único provedor de serviço implanta e mantém serviços relacionados ao Azure AD para diversas empresas.There are many different ways to implement a model in which a single service provider deploys and maintains Azure AD related services for multiple companies. Os grupos de conectores ajudam o administrador a separar os conectores e os aplicativos em grupos diferentes.Connector groups help the admin segregate the connectors and applications into different groups. Uma maneira, que é adequada para pequenas empresas, é ter um único locatário do Azure AD, e cada empresas têm seu próprio nome de domínio e redes.One way, which is suitable for small companies, is to have a single Azure AD tenant while the different companies have their own domain name and networks. Isso também vale para cenários de fusão e aquisição, e situações nas quais uma única divisão de TI atende a várias empresas por motivos regulatórios ou comerciais.This is also true for M&A scenarios and situations where a single IT division serves several companies for regulatory or business reasons.

Exemplos de configuraçãoSample configurations

Entre os exemplos que você pode implementar, estão os grupos de conectores a seguir.Some examples that you can implement, include the following connector groups.

Configuração padrão – não usa grupos de conectoresDefault configuration – no use for connector groups

Se você não usar grupos de conector, sua configuração terá esta aparência:If you don’t use connector groups, your configuration would look like this:

Exemplo do Azure AD sem grupos de conectores

Essa configuração é suficiente para testes e pequenas implantações.This configuration is sufficient for small deployments and tests. Ela também funcionará bem se a sua organização tiver uma topologia de rede simples.It will also work well if your organization has a flat network topology.

Configuração padrão e uma rede isoladaDefault configuration and an isolated network

Essa configuração é uma evolução da padrão, pois há um aplicativo específico que é executado em uma rede isolada, como a rede virtual IaaS:This configuration is an evolution of the default one, in which there is a specific app that runs in an isolated network such as IaaS virtual network:

Exemplo do Azure AD sem grupos de conectores e uma rede isolada

A configuração recomendada para organizações complexas e de grande porte é ter o grupo de conectores padrão como um grupo que não atende aos aplicativos e é usado para conectores ociosos ou recém-instalados.The recommended configuration for large and complex organizations is to have the default connector group as a group that doesn’t serve any applications and is used for idle or newly installed connectors. Todos os aplicativos são atendidos usando grupos de conectores personalizados.All applications are served using customized connector groups. Isso permite toda a complexidade dos cenários descritos acima.This enables all the complexity of the scenarios described above.

No exemplo abaixo, a empresa tem dois data centers, A e B, com dois conectores que atendem a cada site.In the example below, the company has two datacenters, A and B, with two connectors that serve each site. Cada site possui aplicativos diferentes em execução.Each site has different applications that run on it.

Exemplo de empresa com 2 data centers e 2 conectores

Próximas etapasNext steps