Experiências do usuário final para aplicativos no Active Directory Domain Services do AzureEnd-user experiences for applications in Azure Active Directory

Azure Active Directory Domain Services (Azure AD) fornece várias maneiras personalizáveis para implantar aplicativos para usuários finais em sua organização:Azure Active Directory (Azure AD) provides several customizable ways to deploy applications to end users in your organization:

  • Painel de acesso do AD do AzureAzure AD access panel
  • Iniciador de aplicativos do Office 365Office 365 application launcher
  • Logon direto a aplicativos federadosDirect sign-on to federated apps
  • Links profundos a aplicativos federados, baseado em senha, ou existentesDeep links to federated, password-based, or existing apps

A escolha dos métodos para implantação de sua organização fica seu critério.Which method(s) you choose to deploy in your organization is your discretion.

Painel de acesso do AD do AzureAzure AD access panel

O Painel de Acesso em https://myapps.microsoft.com é um portal baseado na Web que permite a um usuário final com conta organizacional no Azure Active Directory exibir e inicializar aplicativos baseados em nuvem aos quais tenham recebido acesso pelo administrador do Microsoft Azure AD.The Access Panel at https://myapps.microsoft.com is a web-based portal that allows an end user with an organizational account in Azure Active Directory to view and launch cloud-based applications to which they have been granted access by the Azure AD administrator. Se for um usuário final com o Azure Active Directory Premium, você também poderá utilizar recursos de gerenciamento do grupo de autoatendimento por meio do Painel de acesso.If you are an end user with Azure Active Directory Premium, you can also utilize self-service group management capabilities through the Access Panel.

Captura de tela mostra o portal do painel de acesso do AD do Azure

O Painel de acesso é separado do portal do Azure e não requer que os usuários tenham uma assinatura do Azure ou do Office 365.The Access Panel is separate from the Azure portal and does not require users to have an Azure subscription or Office 365 subscription.

Para obter mais informações sobre o painel de acesso do AD do Azure, consulte a Introdução ao painel de acesso.For more information on the Azure AD access panel, see the introduction to the access panel.

Iniciador de aplicativos do Office 365Office 365 application launcher

Para organizações que implantaram o Office 365, aplicativos atribuídos aos usuários por meio do Azure AD também aparecerão no portal do Office 365 em https://portal.office.com/myapps .For organizations that have deployed Office 365, applications assigned to users through Azure AD will also appear in the Office 365 portal at https://portal.office.com/myapps. Isso torna simples e fácil para os usuários em uma organização para iniciar seus aplicativos sem precisar usar um segundo portal e é a solução de inicialização do aplicativo recomendada para organizações que usam o Office 365.This makes it easy and convenient for users in an organization to launch their apps without having to use a second portal, and is the recommended app launching solution for organizations using Office 365.

Captura de tela mostra o portal do Office 365

Para obter mais informações sobre o iniciador do aplicativo Office 365, consulte Faça o seu aplicativo ser exibido no iniciador do aplicativo do Office 365.For more information about the Office 365 application launcher, see Have your app appear in the Office 365 app launcher.

Logon direto a aplicativos federadosDirect sign-on to federated apps

A maioria dos aplicativos federados que oferecem suporte à conexão SAML 2.0, WS-Federation ou OpenID também oferecem suporte à capacidade dos usuários de iniciar o aplicativo e, em seguida, obter conexão por meio do AD do Azure pelo redirecionamento automático ou clicando em um link para entrar.Most federated applications that support SAML 2.0, WS-Federation, or OpenID connect also support the ability for users to start at the application, and then get signed in through Azure AD either by automatic redirection or by clicking on a link to sign in. Isso é conhecido como serviço de logon iniciado pelo provedor e a maioria dos aplicativos federados na Galeria de aplicativos do Azure AD oferece suporte a eles (consulte a documentação vinculada do Assistente de configuração de logon único do aplicativo no portal do Azure para obter detalhes).This is known as service provider -initiated sign-on, and most federated applications in the Azure AD application gallery support this (see the documentation linked from the app’s single sign-on configuration wizard in the Azure portal for details).

Exemplo de uma página de entrada do aplicativo móvel

O Microsoft Azure Active Directory também oferece suporte a links de logon únicos diretos para aplicativos individuais que oferecem suporte baseado em senha de logon único, logon único vinculado e qualquer forma de logon único federado.Azure AD also supports direct single sign-on links to individual applications that support password-based single sign-on, linked single sign-on, and any form of federated single sign-on.

Esses links são URLs criadas especificamente que enviam um usuário por meio do processo de entrada do Azure AD para um aplicativo específico sem exigir que o usuário as inicie do painel de acesso do Azure AD ou do Office 365.These links are specifically crafted URLs that send a user through the Azure AD sign-in process for a specific application without requiring the user launch them from the Azure AD access panel or Office 365. Eles URLs de acesso do usuário podem ser encontradas nas propriedades de aplicativos corporativos disponíveis.These User access URLs can be found under the properties of available enterprise applications. No portal do Azure, selecione Azure Active Directory > aplicativos empresariais.In the Azure portal, select Azure Active Directory > Enterprise applications. Selecione o aplicativo e, em seguida, selecione propriedades.Select the application, and then select Properties.

Exemplo de como a URL de acesso do usuário nas propriedades do Twitter

Esses links podem ser copiados e colados em qualquer lugar em que você deseja fornecer um link de entrada para o aplicativo selecionado.These links can be copied and pasted anywhere you want to provide a sign-in link to the selected application. Essa entrada poderia ser em um email ou em qualquer portal personalizado baseado na Web que você configurou o aplicativo para acesso de usuário.This could be in an email, or in any custom web-based portal that you have set up for user application access. Aqui está um exemplo de uma URL de logon único direto do AD do Azure para o Twitter:Here's an example of an Azure AD direct single sign-on URL for Twitter:

https://myapps.microsoft.com/signin/Twitter/230848d52c8745d4b05a60d29a40fced

Semelhante a URLs específicas da organização para o painel de acesso, você pode personalizar ainda mais essa URL adicionando um dos domínios para seu diretório ativos ou verificados após o domínio myapps.microsoft.com.Similar to organization-specific URLs for the access panel, you can further customize this URL by adding one of the active or verified domains for your directory after the myapps.microsoft.com domain. Isso garante que qualquer identidade visual organizacional seja carregada imediatamente na página de entrada sem que o usuário precise inserir sua ID de usuário pela primeira vez:This ensures any organizational branding is loaded immediately on the sign-in page without the user needing to enter their user ID first:

https://myapps.microsoft.com/contosobuild.com/signin/Twitter/230848d52c8745d4b05a60d29a40fced

Quando um usuário autorizado clica em um desses links específicos do aplicativo, ele primeiro consulta sua página de entrada organizacional (supondo que eles não ainda tenha entrados) e depois de entrada é redirecionado para seu aplicativo sem parar no primeiro painel de acesso.When an authorized user clicks on one of these application-specific links, they first see their organizational sign-in page (assuming they are not already signed in), and after sign-in are redirected to their app without stopping at the access panel first. Se o usuário não tiver os pré-requisitos para acessar o aplicativo, como a extensão de navegador de logon único baseado em senha, o link solicitará que o usuário instale a extensão que está faltando.If the user is missing pre-requisites to access the application, such as the password-based single sign browser extension, then the link will prompt the user to install the missing extension. A URL do link também permanece constante se a configuração de logon único para o aplicativo for alterada.The link URL also remains constant if the single sign-on configuration for the application changes.

Esses links usam os mesmos mecanismos de controle de acesso que o painel de acesso e o Office 365, e apenas esses usuários ou grupos que foram atribuídos ao aplicativo no portal do Azure serão capazes de autenticar com êxito.These links use the same access control mechanisms as the access panel and Office 365, and only those users or groups who have been assigned to the application in the Azure portal will be able to successfully authenticate. No entanto, todos os usuários não autorizados receberão uma mensagem explicando que não foi concedido acesso e receberão um link para carregar o painel de acesso para exibir os aplicativos disponíveis para os quais têm acesso.However, any user who is unauthorized will see a message explaining that they have not been granted access, and are given a link to load the access panel to view available applications for which they do have access.

Próximas etapasNext steps

Para planos de implantação, consulte planos de implantação do Azure Active Directory Domain ServicesFor deployment plans, see Azure Active Directory deployment plans