Usar o Proxy de Aplicativo do Azure AD para publicar aplicativos locais para usuários remotosUsing Azure AD Application Proxy to publish on-premises apps for remote users

O Azure Active Directory (Azure AD) oferece vários recursos para proteger usuários, aplicativos e dados na nuvem e locais.Azure Active Directory (Azure AD) offers many capabilities for protecting users, apps, and data in the cloud and on-premises. Em particular, o recurso Proxy de Aplicativo do Azure AD pode ser implementado por profissionais de TI que desejam publicar aplicativos Web locais externamente.In particular, the Azure AD Application Proxy feature can be implemented by IT professionals who want to publish on-premises web applications externally. Os usuários remotos que precisarem acessar aplicativos internos poderão acessá-los de maneira segura.Remote users who need access to internal apps can then access them in a secure manner.

A capacidade de acessar com segurança aplicativos internos do lado de fora da rede torna-se ainda mais crítica no ambiente de trabalho moderno.The ability to securely access internal apps from outside your network becomes even more critical in the modern workplace. Com cenários como BYOD (Traga seu próprio dispositivo) e dispositivos móveis, os profissionais de TI são desafiados a atingir duas metas:With scenarios such as BYOD (Bring Your Own Device) and mobile devices, IT professionals are challenged to meet two goals:

  • Capacitar os usuários finais para serem produtivos sempre e em qualquer lugarEmpower end users to be productive anytime and anywhere
  • Proteger ativos corporativos a todo momentoProtect corporate assets at all times

Muitas organizações acreditam que eles estão controlados e protegidos quando existem recursos dentro dos limites das redes corporativas.Many organizations believe they are in control and protected when resources exist within the boundaries of their corporate networks. No entanto, no local de trabalho digital atual, esse limite foi expandido com recursos e dispositivos móveis gerenciados e serviços na nuvem.But in today's digital workplace, that boundary has expanded with managed mobile devices and resources and services in the cloud. Agora você precisa gerenciar a complexidade da proteção das identidades e dados de seus usuários armazenados nos dispositivos e aplicativos.Now you need to manage the complexity of protecting your users' identities and data stored on their devices and apps.

Talvez você já esteja usando o Azure AD para gerenciar usuários na nuvem que precisam acessar Microsoft 365 e outros aplicativos SaaS, bem como aplicativos Web hospedados localmente.Perhaps you're already using Azure AD to manage users in the cloud who need to access Microsoft 365 and other SaaS applications, as well as web apps hosted on-premises. Se você já tiver o Azure AD, poderá aproveitá-lo como um plano de controle para permitir acesso transparente e seguro aos aplicativos locais.If you already have Azure AD, you can leverage it as one control plane to allow seamless and secure access to your on-premises applications. Ou, talvez, você ainda esteja considerando uma mudança para a nuvem.Or, maybe you're still contemplating a move to the cloud. Se for esse o caso, você pode começar sua jornada para a nuvem implementando o Proxy de Aplicativo e dar o primeiro passo para a criação de uma forte base de identidade.If so, you can begin your journey to the cloud by implementing Application Proxy and taking the first step towards building a strong identity foundation.

Embora não seja abrangente, a lista abaixo ilustra algumas das coisas que você pode ativar implementando o Proxy de Aplicativo em um cenário híbrido de coexistência:While not comprehensive, the list below illustrates some of the things you can enable by implementing App Proxy in a hybrid coexistence scenario:

  • Publicar aplicativos Web locais externamente de maneira simplificada sem uma DMZPublish on-premises web apps externally in a simplified way without a DMZ
  • Dar suporte ao logon único (SSO) em dispositivos, recursos e aplicativos na nuvem e locaisSupport single sign-on (SSO) across devices, resources, and apps in the cloud and on-premises
  • Dar suporte à autenticação multifator para aplicativos em nuvem e locaisSupport multi-factor authentication for apps in the cloud and on-premises
  • Aproveitar imediatamente os recursos de nuvem com a segurança do Microsoft CloudQuickly leverage cloud features with the security of the Microsoft Cloud
  • Centralizar o gerenciamento de conta de usuárioCentralize user account management
  • Centralizar o controle de identidade e segurançaCentralize control of identity and security
  • Adicionar ou remover automaticamente o acesso de usuário para aplicativos com base na associação de grupoAutomatically add or remove user access to applications based on group membership

Este artigo explica como o Azure AD e o Proxy de Aplicativo oferecem aos usuários remotos uma experiência de logon único (SSO).This article explains how Azure AD and Application Proxy give remote users a single sign-on (SSO) experience. Os usuários se conectam com segurança a aplicativos locais sem uma VPN ou servidores de hospedagem dupla e regras de firewall.Users securely connect to on-premises apps without a VPN or dual-homed servers and firewall rules. Este artigo ajuda você a entender como o Proxy de Aplicativo traz os recursos e as vantagens de segurança da nuvem para os aplicativos Web locais.This article helps you understand how Application Proxy brings the capabilities and security advantages of the cloud to your on-premises web applications. Ele também descreve a arquitetura e as topologias possíveis.It also describes the architecture and topologies that are possible.

Acesso remoto no passadoRemote access in the past

Anteriormente, seu plano de controle para proteger recursos internos contra invasores e facilitar o acesso de usuários remotos estava todo na rede DMZ ou de perímetro.Previously, your control plane for protecting internal resources from attackers while facilitating access by remote users was all in the DMZ, or perimeter network. No entanto, as soluções de VPN e proxy reverso implantadas na DMZ usadas por clientes externos para acessar recursos corporativos não são adequadas para o mundo da nuvem.But the VPN and reverse proxy solutions deployed in the DMZ used by external clients to access corporate resources aren't suited to the cloud world. Eles normalmente têm as seguintes desvantagens:They typically suffer from the following drawbacks:

  • Custos de hardwareHardware costs
  • Manutenção da segurança (aplicação de patches, monitoramento de portas, etc.)Maintaining security (patching, monitoring ports, etc.)
  • Autenticação de usuários na bordaAuthenticating users at the edge
  • Autenticação de usuários em servidores Web na rede de perímetroAuthenticating users to web servers in the perimeter network
  • Manter o acesso VPN para usuários remotos com a distribuição e a configuração do software do cliente VPN.Maintaining VPN access for remote users with the distribution and configuration of VPN client software. Além disso, manter servidores associados ao domínio na DMZ que podem estar vulneráveis a ataques externos.Also, maintaining domain-joined servers in the DMZ, which can be vulnerable to outside attacks.

No atual mundo da nuvem, o Azure AD é o recurso ideal para controlar quem e o que entra na sua rede.In today's cloud-first world, Azure AD is best suited to control who and what gets into your network. O Proxy de Aplicativo do Azure AD se integra à autenticação moderna e às tecnologias baseadas na nuvem, como aplicativos SaaS e provedores de identidade.Azure AD Application Proxy integrates with modern authentication and cloud-based technologies, like SaaS applications and identity providers. Essa integração permite que os usuários acessem aplicativos de qualquer lugar.This integration enables users to access apps from anywhere. O Proxy de Aplicativo não só é mais adequado para o local de trabalho digital atual como também é mais seguro que as soluções de VPN e proxy reverso. Além disso, é mais fácil de implementar.Not only is App Proxy more suited for today's digital workplace, it's more secure than VPN and reverse proxy solutions and easier to implement. Os usuários remotos podem acessar seus aplicativos locais da mesma forma que acessam o Microsoft e outros aplicativos SaaS integrados ao Azure AD.Remote users can access your on-premises applications the same way they access Microsoft and other SaaS apps integrated with Azure AD. Você não precisa alterar ou atualizar seus aplicativos para que funcionem com o Proxy de Aplicativo.You don't need to change or update your applications to work with Application Proxy. Além disso, o Proxy de Aplicativo não exige que você abra conexões de entrada por meio do firewall.Furthermore, App Proxy doesn't require you to open inbound connections through your firewall. Com o Proxy de Aplicativo, basta definir e pronto.With App Proxy, you simply set it and forget it.

O futuro do acesso remotoThe future of remote access

No espaço de trabalho digital atual, os usuários trabalham em qualquer lugar com vários dispositivos e aplicativos.In today's digital workplace, users work anywhere with multiple devices and apps. A única constante é a identidade do usuário.The only constant is user identity. É por isso que, atualmente, o primeiro passo para se ter uma rede segura é usar os recursos de gerenciamento de identidades do Azure AD como seu plano de controle de segurança.That's why the first step to a secure network today is to use Azure AD's identity management capabilities as your security control plane. Um modelo que usa a identidade como plano de controle geralmente é composto pelos seguintes componentes:A model that uses identity as your control plane is typically comprised of the following components:

  • Um provedor de identidade para controlar os usuários e informações relacionadas ao usuário.An identity provider to keep track of users and user-related information.
  • Um diretório de dispositivos para manter uma lista de dispositivos que têm acesso aos recursos corporativos.Device directory to maintain a list of devices that have access to corporate resources. Esse diretório inclui informações sobre dispositivo correspondente (por exemplo, tipo de dispositivo, integridade etc.).This directory includes corresponding device information (for example, type of device, integrity etc.).
  • O serviço de avaliação de políticas para determinar se um usuário e um dispositivo estão em conformidade com a política definida pelos administradores de segurança.Policy evaluation service to determine if a user and device conforms to the policy set forth by security admins.
  • A capacidade de conceder ou negar acesso aos recursos organizacionais.The ability to grant or deny access to organizational resources.

Com o Proxy de Aplicativo, o Azure AD controla os usuários que precisam acessar aplicativos Web publicados no local e na nuvem.With Application Proxy, Azure AD keeps track of users who need to access web apps published on-premises and in the cloud. Ele oferece um ponto de gerenciamento central para esses aplicativos.It provides a central management point for those apps. Embora não seja necessário, também é recomendável habilitar o acesso condicional do Azure Active Directory.While not required, it's recommended you also enable Azure AD Conditional Access. Definindo as condições de como os usuários se autenticam e obtêm acesso, você garantirá que as pessoas certas terão acesso aos aplicativos.By defining conditions for how users authenticate and gain access, you further ensure the right people have access to applications.

Observação: É importante entender que o Proxy de Aplicativo do Azure AD destina-se a ser um substituto da VPN ou proxy reverso para usuários de roaming (ou remotos) que precisam de acesso a recursos internos.Note: It's important to understand that Azure AD Application Proxy is intended as a VPN or reverse proxy replacement for roaming (or remote) users who need access to internal resources. Não é destinado a usuários internos na rede corporativa.It's not intended for internal users on the corporate network. Os usuários internos que usam desnecessariamente o Proxy de Aplicativo podem apresentar problemas de desempenho inesperados e indesejados.Internal users who unnecessarily use Application Proxy can introduce unexpected and undesirable performance issues.

Azure Active Directory e todos os seus aplicativos

Uma visão geral de como o Proxy de Aplicativo funcionaAn overview of how App Proxy works

O Proxy de Aplicativo é um serviço do Azure AD que você configura no portal do Azure.Application Proxy is an Azure AD service you configure in the Azure portal. Ele permite que você publique o ponto de extremidade de uma URL HTTP/HTTPS pública externa na Nuvem do Azure que se conecta a uma URL do servidor de aplicativos interno em sua organização.It enables you to publish an external public HTTP/HTTPS URL endpoint in the Azure Cloud, which connects to an internal application server URL in your organization. Esses aplicativos Web locais podem ser integrados ao Azure AD para dar suporte ao logon único.These on-premises web apps can be integrated with Azure AD to support single sign-on. Os usuários finais podem acessar os aplicativos Web locais da mesma maneira que acessam Microsoft 365 e outros aplicativos SaaS.End users can then access on-premises web apps in the same way they access Microsoft 365 and other SaaS apps.

Os componentes desse recurso incluem o serviço Proxy de Aplicativo, executado na nuvem, o conector do Proxy de Aplicativo, que é um agente leve executado em um servidor local, e o Azure AD, que é o provedor de identidade.Components of this feature include the Application Proxy service, which runs in the cloud, the Application Proxy connector, which is a lightweight agent that runs on an on-premises server, and Azure AD, which is the identity provider. Todos os três componentes trabalham em conjunto para fornecer ao usuário uma experiência de logon único para acessar aplicativos Web locais.All three components work together to provide the user with a single sign-on experience to access on-premises web applications.

Depois de entrar, os usuários externos podem acessar aplicativos Web locais usando uma URL familiar ou meus aplicativos de seus dispositivos de área de trabalho ou Ios/Mac.After signing in, external users can access on-premises web applications by using a familiar URL or My Apps from their desktop or iOS/MAC devices. Por exemplo, o Proxy de Aplicativo pode fornecer acesso remoto e o logon único para a Área de Trabalho Remota, o SharePoint, o Tableau, o Qlik, o Outlook na Web e aplicativos LOB (linha de negócios).For example, App Proxy can provide remote access and single sign-on to Remote Desktop, SharePoint sites, Tableau, Qlik, Outlook on the web, and line-of-business (LOB) applications.

Arquitetura do Proxy de Aplicativo do Azure AD

AutenticaçãoAuthentication

Há várias maneiras de configurar um aplicativo para logon único e o método escolhido depende da autenticação que seu aplicativo usa.There are several ways to configure an application for single sign-on and the method you select depends on the authentication your application uses. O Proxy de Aplicativo dá suporte aos seguintes tipos de aplicativos:Application Proxy supports the following types of applications:

  • Aplicativos WebWeb applications
  • APIs Web que você deseja expor a aplicativos avançados em diferentes dispositivosWeb APIs that you want to expose to rich applications on different devices
  • Aplicativos hospedados por trás de um Gateway de Área de Trabalho RemotaApplications hosted behind a Remote Desktop Gateway
  • Aplicativos cliente avançados integrados com a MSAL (Biblioteca de Autenticação da Microsoft)Rich client apps that are integrated with the Microsoft Authentication Library (MSAL)

O Proxy de Aplicativo funciona com aplicativos que usam o seguinte protocolo de autenticação nativa:App Proxy works with apps that use the following native authentication protocol:

O Proxy de Aplicativo também é compatível com os seguintes protocolos de autenticação com integração de terceiros ou em cenários específicos de configuração:App Proxy also supports the following authentication protocols with third-party integration or in specific configuration scenarios:

  • Autenticação baseada em cabeçalho.Header-based authentication. Esse método de logon usa um serviço de autenticação de terceiros chamado PingAccess e é usado quando o aplicativo usa cabeçalhos para autenticações.This sign-on method uses a third-party authentication service called PingAccess and is used when the application uses headers for authentication. Nesse cenário, a autenticação é manipulada pelo PingAccess.In this scenario, authentication is handled by PingAccess.
  • Autenticação baseada em senha ou formulários.Forms- or password-based authentication. Com esse método de autenticação, os usuários entram no aplicativo com um nome de usuário e uma senha na primeira vez que o acessam.With this authentication method, users sign on to the application with a username and password the first time they access it. Após o primeiro logon, o Azure AD fornece o nome de usuário e a senha ao aplicativo.After the first sign-on, Azure AD supplies the username and password to the application. Nesse cenário, a autenticação é manipulada pelo Azure AD.In this scenario, authentication is handled by Azure AD.
  • Autenticação de SAML.SAML authentication. O logon único baseado em SAML é compatível com aplicativos que usam protocolos SAML 2.0 ou WS-Federation.SAML-based single sign-on is supported for applications that use either SAML 2.0 or WS-Federation protocols. Com o logon único SAML, o Azure AD realiza a autenticação do aplicativo usando a conta do Azure AD do usuário.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account.

Para obter mais informações sobre métodos com suporte, consulte Escolhendo um método de logon único.For more information on supported methods, see Choosing a single sign-on method.

Benefícios de segurançaSecurity benefits

A solução de acesso remoto oferecida pelo Proxy de Aplicativo e o Azure AD dá suporte a várias vantagens de segurança que os clientes podem aproveitar, incluindo:The remote access solution offered by Application Proxy and Azure AD support several security benefits customers may take advantage of, including:

  • Acesso autenticado.Authenticated access. O Proxy de Aplicativo é mais adequado para publicar aplicativos com pré-autenticação para garantir que somente conexões autenticadas atinjam sua rede.Application Proxy is best suited to publish applications with pre-authentication to ensure that only authenticated connections hit your network. Para aplicativos publicados com pré-autenticação, não é permitido que nenhum tráfego passe para seu ambiente local pelo serviço Proxy de Aplicativo sem um token válido.For applications published with pre-authentication, no traffic is allowed to pass through the App Proxy service to your on-premises environment, without a valid token. A pré-autenticação, por sua própria natureza, bloqueia um número significativo de ataques direcionados, pois somente identidades autenticadas podem acessar o aplicativo de back-end.Pre-authentication, by its very nature, blocks a significant number of targeted attacks, as only authenticated identities can access the backend application.

  • Acesso condicional.Conditional Access. Controles de política mais rígidos podem ser aplicados antes que as conexões com sua rede sejam estabelecidas.Richer policy controls can be applied before connections to your network are established. Com acesso condicional, você pode definir restrições em relação ao que o tráfego pode acessar nos seus aplicativos de back-end.With Conditional Access, you can define restrictions on the traffic that you allow to hit your backend application. Crie políticas que restrinjam entradas com base no local, na força da autenticação e no perfil de risco do usuário.You create policies that restrict sign-ins based on location, strength of authentication, and user risk profile. À medida que o acesso condicional evolui, mais controles são adicionados para fornecer segurança adicional, como a integração com o Microsoft Cloud App Security (MCAS).As Conditional Access evolves, more controls are being added to provide additional security such as integration with Microsoft Cloud App Security (MCAS). A integração com o MCAS permite configurar um aplicativo local para monitoramento em tempo real aproveitando o acesso condicional para monitorar e controlar sessões em tempo real com base em políticas de acesso condicional.MCAS integration enables you to configure an on-premises application for real-time monitoring by leveraging Conditional Access to monitor and control sessions in real-time based on Conditional Access policies.

  • Encerramento de tráfego.Traffic termination. Todo o tráfego para o aplicativo de back-end é encerrado no serviço do Proxy de Aplicativo na nuvem enquanto a sessão é restabelecida com o servidor de back-end.All traffic to the backend application is terminated at the Application Proxy service in the cloud while the session is re-established with the backend server. Essa estratégia de conexão significa que os servidores de back-end não são expostos ao tráfego HTTP direto.This connection strategy means that your backend servers are not exposed to direct HTTP traffic. Eles têm mais proteção contra ataques DoS (ataque de negação de serviço) direcionados já que seu firewall não está sob ataque.They are better protected against targeted DoS (denial-of-service) attacks because your firewall isn't under attack.

  • Todo acesso é de saída.All access is outbound. Os conectores do Proxy de Aplicativo só usam conexões de saída para o serviço do Proxy de Aplicativo na nuvem pelas portas 80 e 443.The Application Proxy connectors only use outbound connections to the Application Proxy service in the cloud over ports 80 and 443. Sem conexões de entrada, não é necessário abrir portas de firewall para conexões de entrada ou componentes na DMZ.With no inbound connections, there's no need to open firewall ports for incoming connections or components in the DMZ. Todas as conexões são de saída e em um canal seguro.All connections are outbound and over a secure channel.

  • Inteligência baseada na Análise de Segurança e Machine Learning (ML) .Security Analytics and Machine Learning (ML) based intelligence. Como faz parte do Azure Active Directory, o Proxy de Aplicativo pode aproveitar a Azure AD Identity Protection (exige o licenciamento Premium P2).Because it's part of Azure Active Directory, Application Proxy can leverage Azure AD Identity Protection (requires Premium P2 licensing). O Azure AD Identity Protection combina a inteligência de segurança de aprendizado de máquina com feeds de dados da Unidade de Crimes Digitais e Microsoft Security Response Center da Microsoft para identificar proativamente contas comprometidas.Azure AD Identity Protection combines machine-learning security intelligence with data feeds from Microsoft's Digital Crimes Unit and Microsoft Security Response Center to proactively identify compromised accounts. O Identity Protection oferece proteção em tempo real contra logons de alto risco. Ele leva em consideração fatores como acessos de dispositivos infectados por meio de redes anônimas ou de locais atípicos e improváveis para aumentar o perfil de risco de uma sessão.Identity Protection offers real-time protection from high-risk sign-ins. It takes into consideration factors like accesses from infected devices, through anonymizing networks, or from atypical and unlikely locations to increase the risk profile of a session. Este perfil de risco é usado para proteção em tempo real.This risk profile is used for real-time protection. Muitos desses relatórios e eventos já estão disponíveis por meio de uma API para integração aos sistemas SIEM.Many of these reports and events are already available through an API for integration with your SIEM systems.

  • Acesso remoto como um serviço.Remote access as a service. Você não precisa se preocupar com a manutenção e a aplicação de patches em servidores locais para habilitar o acesso remoto.You don't have to worry about maintaining and patching on-premises servers to enable remote access. O Proxy de Aplicativo é um serviço em escala de Internet da Microsoft. Sendo assim, você sempre obterá os patches e as atualizações de segurança mais recentes.Application Proxy is an internet scale service that Microsoft owns, so you always get the latest security patches and upgrades. A não aplicação de patches no software ainda é responsável por um grande número de ataques.Unpatched software still accounts for a large number of attacks. Segundo o Departamento de Segurança Interna, até 85% dos ataques direcionados podem ser evitados.According to the Department of Homeland Security, as many as 85 percent of targeted attacks are preventable. Com este modelo de serviço, você já não precisa carregar a responsabilidade de ter que gerenciar servidores de borda e se esforçar para corrigi-los sempre que necessário.With this service model, you don't have to carry the heavy burden of managing your edge servers anymore and scramble to patch them as needed.

  • Integração com o Intune.Intune integration. Com o Intune, o tráfego corporativo é roteado separadamente do tráfego pessoal.With Intune, corporate traffic is routed separately from personal traffic. O Proxy de Aplicativo garante que o tráfego corporativo seja autenticado.Application Proxy ensures that the corporate traffic is authenticated. O Proxy de Aplicativo e o Intune Managed Browser também podem ser usados em conjunto para permitir que usuários remotos acessem sites internos com segurança em dispositivos iOS e Android.Application Proxy and the Intune Managed Browser capability can also be used together to enable remote users to securely access internal websites from iOS and Android devices.

Roteiro para a nuvemRoadmap to the cloud

Outro benefício importante da implementação do Proxy de Aplicativo é estender o Azure AD ao ambiente local.Another major benefit of implementing Application Proxy is extending Azure AD to your on-premises environment. Na verdade, a implementação do Proxy de Aplicativo é uma etapa importante na mudança de sua organização e aplicativos para a nuvem.In fact, implementing App Proxy is a key step in moving your organization and apps to the cloud. Com a migração para a nuvem, afastando-se da autenticação local, você reduz o espaço ocupado no local e usa os recursos de gerenciamento de identidades do Azure AD como plano de controle.By moving to the cloud and away from on-premises authentication, you reduce your on-premises footprint and use Azure AD's identity management capabilities as your control plane. Sem atualizações ou com atualizações mínimas de aplicativos existentes, você tem acesso a recursos da nuvem, como logon único, autenticação multifator e gerenciamento central.With minimal or no updates to existing applications, you have access to cloud capabilities such as single sign-on, multi-factor authentication, and central management. É fácil instalar os componentes necessários no Proxy de Aplicativo para estabelecer uma estrutura de acesso remoto.Installing the necessary components to App Proxy is a simple process for establishing a remote access framework. E, migrando para a nuvem, você terá acesso aos recursos, atualizações e funcionalidades mais recentes do Azure AD, como alta disponibilidade e recuperação de desastre.And by moving to the cloud, you have access to the latest Azure AD features, updates, and functionality, such as high availability and the disaster recovery.

Para saber mais sobre como migrar seus aplicativos para o Azure AD, confira o white paper Migrar seus aplicativos para o Azure Active Directory.To learn more about migrating your apps to Azure AD, see the Migrating Your Applications to Azure Active Directory white paper.

ArquiteturaArchitecture

O diagrama a seguir ilustra, de forma geral, como os serviços de autenticação do Azure AD e o Proxy de Aplicativo trabalham em conjunto para fornecer logon único a aplicativos locais para usuários finais.The following diagram illustrates in general how Azure AD authentication services and Application Proxy work together to provide single sign-on to on-premises applications to end users.

Fluxo de autenticação do Proxy de Aplicativo do Azure AD

  1. Após o usuário ter acessado o aplicativo por meio de um ponto de extremidade, ele será redirecionado para a página de entrada do Azure AD.After the user has accessed the application through an endpoint, the user is redirected to the Azure AD sign-in page. Se você tiver configurado políticas de acesso condicional, as condições específicas serão verificadas no momento para garantir que você esteja em conformidade com os requisitos de segurança da organização.If you've configured Conditional Access policies, specific conditions are checked at this time to ensure that you comply with your organization's security requirements.
  2. Após uma entrada com êxito, o Azure AD envia um token para o dispositivo cliente do usuário.After a successful sign-in, Azure AD sends a token to the user's client device.
  3. O cliente agora envia o token para o serviço Proxy de Aplicativo que recuperará o nome UPN e o SPN (nome da entidade de segurança) do token.The client sends the token to the Application Proxy service, which retrieves the user principal name (UPN) and security principal name (SPN) from the token.
  4. O Proxy de Aplicativo encaminha a solicitação que é escolhida pelo conector do Proxy de Aplicativo.Application Proxy forwards the request, which is picked up by the Application Proxy connector.
  5. O conector executa as autenticações adicionais necessárias em nome do usuário (Opcional, dependendo do método de autenticação), solicita o ponto de extremidade interno do servidor de aplicativos e envia a solicitação ao aplicativo local.The connector performs any additional authentication required on behalf of the user (Optional depending on authentication method), requests the internal endpoint of the application server and sends the request to the on-premises application.
  6. A resposta do servidor de aplicativo é enviada pelo conector para o serviço Proxy de Aplicativo.The response from the application server is sent through the connector to the Application Proxy service.
  7. A resposta é enviada do serviço Proxy de Aplicativo para o usuário.The response is sent from the Application Proxy service to the user.
ComponenteComponent DescriçãoDescription
Ponto de extremidadeEndpoint O ponto de extremidade é uma URL ou um portal do usuário final.The endpoint is a URL or an end-user portal. Os usuários podem acessar aplicativos enquanto estão fora de sua rede ao acessar uma URL externa.Users can reach applications while outside of your network by accessing an external URL. Usuários dentro de sua rede podem acessar o aplicativo por meio de uma URL ou de um portal do usuário final.Users within your network can access the application through a URL or an end-user portal. Quando os usuários acessam um desses pontos de extremidade, eles são autenticados no Azure AD e, em seguida, são direcionados por meio do conector até o aplicativo local.When users go to one of these endpoints, they authenticate in Azure AD and then are routed through the connector to the on-premises application.
AD do AzureAzure AD O Azure AD executa a autenticação usando o diretório do locatário armazenado na nuvem.Azure AD performs the authentication using the tenant directory stored in the cloud.
Serviço do Proxy de AplicativoApplication Proxy service Esse serviço de Proxy de Aplicativo é executado na nuvem como parte do Azure AD.This Application Proxy service runs in the cloud as part of Azure AD. Ele passa o token de logon do usuário para o Conector de Proxy de Aplicativo.It passes the sign-on token from the user to the Application Proxy Connector. O Proxy de Aplicativo encaminha qualquer cabeçalho acessível na solicitação e define os cabeçalhos de acordo com seu protocolo para o endereço IP do cliente.Application Proxy forwards any accessible headers on the request and sets the headers as per its protocol, to the client IP address. Se a solicitação de entrada para o proxy já tiver esse cabeçalho, o endereço IP do cliente será adicionado ao final da lista separada por vírgulas que é o valor do cabeçalho.If the incoming request to the proxy already has that header, the client IP address is added to the end of the comma-separated list that is the value of the header.
Conector do Proxy de AplicativoApplication Proxy connector O conector é um agente leve executado em um Windows Server na sua rede.The connector is a lightweight agent that runs on a Windows Server inside your network. Ele gerencia a comunicação entre o serviço de Proxy de Aplicativo na nuvem e o aplicativo local.The connector manages communication between the Application Proxy service in the cloud and the on-premises application. O conector usa apenas conexões de saída, portanto você não precisa abrir portas de entrada nem colocar nada na DMZ.The connector only uses outbound connections, so you don't have to open any inbound ports or put anything in the DMZ. Os conectores são sem monitoração de estado e efetuam pull de informações da nuvem conforme necessário.The connectors are stateless and pull information from the cloud as necessary. Para obter mais informações sobre conectores, como eles fazem o balanceamento de carga e a autenticação, consulte Noções básicas sobre conectores de Proxy de Aplicativo do Azure AD.For more information about connectors, like how they load-balance and authenticate, see Understand Azure AD Application Proxy connectors.
AD (Active Directory)Active Directory (AD) O Active Directory é executado localmente para realizar a autenticação para contas de domínio.Active Directory runs on-premises to perform authentication for domain accounts. Quando o logon único está configurado, o conector se comunica com o AD para realizar qualquer autenticação adicional necessária.When single sign-on is configured, the connector communicates with AD to perform any additional authentication required.
Aplicativo localOn-premises application Por fim, o usuário é capaz de acessar um aplicativo local.Finally, the user is able to access an on-premises application.

O Proxy de Aplicativo do Azure AD é formado pelo serviço Proxy de Aplicativo baseado em nuvem e um conector local.Azure AD Application Proxy consists of the cloud-based Application Proxy service and an on-premises connector. O conector escuta solicitações do serviço Proxy de Aplicativo e trata das conexões para os aplicativos internos.The connector listens for requests from the Application Proxy service and handles connections to the internal applications. É importante observar que todas as comunicações ocorrem por TLS e sempre originam-se no conector para o serviço do Proxy de Aplicativo.It's important to note that all communications occur over TLS, and always originate at the connector to the Application Proxy service. Ou seja, as comunicações são apenas de saída.That is, communications are outbound only. O conector usa um certificado de cliente para autenticar o serviço Proxy de Aplicativo para todas as chamadas.The connector uses a client certificate to authenticate to the Application Proxy service for all calls. A única exceção desta segurança de conexão é a etapa de configuração inicial em que o certificado de cliente é estabelecido.The only exception to the connection security is the initial setup step where the client certificate is established. Para obter mais detalhes, confira Nos bastidores do Proxy de Aplicativo.See the Application Proxy Under the hood for more details.

Conectores do Proxy de AplicativoApplication Proxy Connectors

Os conectores do Proxy de Aplicativo são agentes leves implantados no local que facilitam a conexão de saída para o serviço Proxy de Aplicativo na nuvem.Application Proxy connectors are lightweight agents deployed on-premises that facilitate the outbound connection to the Application Proxy service in the cloud. Os conectores devem ser instalados em um servidor Windows que tenha acesso ao aplicativo de back-end.The connectors must be installed on a Windows Server that has access to the backend application. Os usuários se conectam ao serviço de nuvem Proxy de Aplicativo que encaminha seu tráfego para os aplicativos por meio dos conectores, conforme ilustrado abaixo.Users connect to the App Proxy cloud service that routes their traffic to the apps via the connectors as illustrated below.

Conexões de rede do Proxy de Aplicativo do Azure AD

A configuração e o registro entre um conector e o serviço Proxy de Aplicativo são realizados da seguinte forma:Setup and registration between a connector and the App Proxy service is accomplished as follows:

  1. O administrador de TI abre as portas 80 e 443 para o tráfego de saída e permite o acesso a várias URLs necessárias para o conector, o serviço Proxy de Aplicativo e o Azure AD.The IT administrator opens ports 80 and 443 to outbound traffic and allows access to several URLs that are needed by the connector, the App Proxy service, and Azure AD.
  2. O administrador entra no portal do Azure e corre um executável para instalar o conector em um servidor Windows local.The admin signs into the Azure portal and runs an executable to install the connector on an on-premises Windows server.
  3. O conector começa a "escutar" o serviço do Proxy de Aplicativo.The connector starts to "listen" to the App Proxy service.
  4. O administrador adiciona o aplicativo local ao Azure AD e define configurações, como as URLs necessárias para se conectar aos aplicativos.The admin adds the on-premises application to Azure AD and configures settings such as the URLs users need to connect to their apps.

Para saber mais, confira Planejar uma implantação do Proxy de Aplicativo do Azure AD.For more information, see Plan an Azure AD Application Proxy deployment.

É recomendável que você sempre implante vários conectores para redundância e dimensionamento.It's recommended that you always deploy multiple connectors for redundancy and scale. Os conectores, juntamente com o serviço, cuidam de todas as tarefas de alta disponibilidade e podem ser adicionados ou removidos dinamicamente.The connectors, in conjunction with the service, take care of all the high availability tasks and can be added or removed dynamically. Sempre que uma nova solicitação chega, ela é roteada para um dos conectores que está disponível.Each time a new request arrives it's routed to one of the connectors that is available. Quando um conector está em execução, ele permanece ativo, pois se conecta ao serviço.When a connector is running, it remains active as it connects to the service. Se um conector estiver temporariamente indisponível, ele não responderá a esse tráfego.If a connector is temporarily unavailable, it doesn't respond to this traffic. Os conectores não utilizados são marcados como inativos e são removidos depois de 10 dias de inatividade.Unused connectors are tagged as inactive and removed after 10 days of inactivity.

Os conectores também sondam o servidor para descobrir se há uma versão mais recente do conector.Connectors also poll the server to find out if there is a newer version of the connector. Embora a atualização possa ser feita manualmente, os conectores serão atualizados automaticamente sem tempo de inatividade desde que o serviço de Atualizador do Conector do Proxy de Aplicativo seja executado.Although you can do a manual update, connectors will update automatically as long as the Application Proxy Connector Updater service is running. Para locatários com vários conectores, as atualizações automáticas destinam-se a um conector de cada vez em cada grupo para evitar tempo de inatividade em seu ambiente.For tenants with multiple connectors, the automatic updates target one connector at a time in each group to prevent downtime in your environment.

Observação: assine o feed RSS para monitorar a página do histórico de versões do Proxy de Aplicativo para ser notificado quando as atualizações forem lançadas.Note: You can monitor the Application Proxy version history page to be notified when updates have been released by subscribing to its RSS feed.

Cada conector do Proxy de Aplicativo é atribuído a um grupo de conectores.Each Application Proxy connector is assigned to a connector group. Os conectores que pertencem ao mesmo grupo de conectores agem como uma unidade única em relação à alta disponibilidade e ao balanceamento de carga.Connectors in the same connector group act as a single unit for high availability and load balancing. Você pode criar novos grupos, atribuir conectores aos grupos no portal do Azure e atribuir conectores específicos para atender a aplicativos específicos.You can create new groups, assign connectors to them in the Azure portal, then assign specific connectors to serve specific applications. Para alta disponibilidade, é recomendável ter pelo menos dois conectores em cada grupo de conectores.It's recommended to have at least two connectors in each connector group for high availability.

Os grupos de conectores são úteis quando você precisa dá suporte aos seguintes cenários:Connector groups are useful when you need to support the following scenarios:

  • Publicação de aplicativos geográficosGeographical app publishing
  • Isolamento/segmentação de aplicativosApplication segmentation/isolation
  • Publicar aplicativos Web em execução na nuvem ou no localPublishing web apps running in the cloud or on-premises

Para saber mais sobre como escolher o local de instalação dos conectores e otimizar sua rede, confira Considerações sobre a topologia de rede ao usar o Proxy de Aplicativo do Azure Active Directory.For more information about choosing where to install your connectors and optimizing your network, see Network topology considerations when using Azure Active Directory Application Proxy.

Outros casos de usoOther use cases

Até este ponto, nos concentramos em usar o Proxy de Aplicativo para publicar aplicativos locais externamente também permitindo o logon único em todos os aplicativos na nuvem e no local.Up to this point, we've focused on using Application Proxy to publish on-premises apps externally while enabling single sign-on to all your cloud and on-premises apps. No entanto, vale a pena mencionar outros casos de uso do Proxy de Aplicativo.However, there are other use cases for App Proxy that are worth mentioning. Elas incluem:They include:

  • Publicar APIs REST com segurança.Securely publish REST APIs. Quando você tem lógica de negócios ou APIs em execução no local ou hospedadas em máquinas virtuais na nuvem, o Proxy de Aplicativo fornece um ponto de extremidade público para acesso à API.When you have business logic or APIs running on-premises or hosted on virtual machines in the cloud, Application Proxy provides a public endpoint for API access. O acesso ao ponto de extremidade da API permite controlar a autenticação e a autorização sem exigir portas de entrada.API endpoint access lets you control authentication and authorization without requiring incoming ports. Ele fornece segurança adicional por meio dos recursos do Azure AD Premium, como autenticação multifator e acesso condicional baseado em dispositivo para áreas de trabalho, iOS, MAC e dispositivos Android usando o Intune.It provides additional security through Azure AD Premium features such as multi-factor authentication and device-based Conditional Access for desktops, iOS, MAC, and Android devices using Intune. Para saber mais, confira Como habilitar aplicativos cliente nativos para interagir com aplicativos de proxy e Proteger uma API usando o OAuth 2.0 com o Azure Active Directory e o Gerenciamento de API.To learn more, see How to enable native client applications to interact with proxy applications and Protect an API by using OAuth 2.0 with Azure Active Directory and API Management.
  • RDS (Serviços de Área de Trabalho Remota) .Remote Desktop Services (RDS). As implantações de RDS padrão exigem conexões de entrada abertas.Standard RDS deployments require open inbound connections. No entanto, a implantação de RDS com o Proxy de Aplicativo tem uma conexão permanente de saída no servidor que executa o serviço do conector.However, the RDS deployment with Application Proxy has a permanent outbound connection from the server running the connector service. Dessa forma, você pode oferecer mais aplicativos aos usuários finais publicando aplicativos locais por meio dos Serviços de Área de Trabalho Remota.This way, you can offer more applications to end users by publishing on-premises applications through Remote Desktop Services. Além disso, é possível reduzir a superfície de ataque da implantação com um conjunto limitado de verificação em duas etapas e controles de acesso condicional para o RDS.You can also reduce the attack surface of the deployment with a limited set of two-step verification and Conditional Access controls to RDS.
  • Publicar aplicativos que se conectam usando WebSockets.Publish applications that connect using WebSockets. O suporte ao Qlik Sense está em Versão prévia pública e será expandido para outros aplicativos no futuro.Support with Qlik Sense is in Public Preview and will be expanded to other apps in the future.
  • Habilitar aplicativos cliente nativos para interagir com aplicativos de proxy.Enable native client applications to interact with proxy applications. Você pode usar o Proxy de Aplicativo do Azure AD para publicar aplicativos Web. No entanto, ele também pode ser usado para publicar aplicativos cliente nativos configurados com a ADAL (Biblioteca de Autenticação do AD).You can use Azure AD Application Proxy to publish web apps, but it also can be used to publish native client applications that are configured with the Azure AD Authentication Library (ADAL). Os aplicativos cliente nativos diferem dos aplicativos Web porque eles são instalados em um dispositivo, enquanto os aplicativos Web são acessados por meio de um navegador.Native client applications differ from web apps because they're installed on a device, while web apps are accessed through a browser.

ConclusãoConclusion

O modo como trabalhamos e as ferramentas que usamos têm mudado rapidamente.The way we work and the tools we use are changing rapidly. A forma como as organizações gerenciam e protegem seus dados também deverá evoluir já que cada vez mais os funcionários trazem seus próprios dispositivos para o local de trabalho e o uso de aplicativos SaaS (software como serviço) tem sido cada vez mais difundido.With more employees bringing their own devices to work and the pervasive use of Software-as-a-Service (SaaS) applications, the way organizations manage and secure their data must also evolve. As empresas deixarão de funcionar apenas dentro de seus próprios muros, protegidas por um fosso que circunda suas fronteiras.Companies no longer operate solely within their own walls, protected by a moat that surrounds their border. Os dados trafegam para mais locais do que nunca, em ambientes locais e na nuvem.Data travels to more locations than ever before -- across both on-premises and cloud environments. Essa evolução ajudou a aumentar a produtividade e a capacidade de colaboração dos usuários, mas também tornou a proteção de dados confidenciais mais desafiadora.This evolution has helped increase users' productivity and ability to collaborate, but it also makes protecting sensitive data more challenging.

Se você estiver usando o Azure AD para gerenciar usuários em um cenário de coexistência híbrida ou estiver interessado em iniciar sua jornada para a nuvem, a implementação do Proxy de Aplicativo do Azure AD ajudará a reduzir o tamanho do espaço local fornecendo acesso remoto como um serviço.Whether you're currently using Azure AD to manage users in a hybrid coexistence scenario or are interested in starting your journey to the cloud, implementing Azure AD Application Proxy can help reduce the size of your on-premises footprint by providing remote access as a service.

As organizações devem começar a usufruir do Proxy de Aplicativo hoje mesmo para aproveitar os seguintes benefícios:Organizations should begin taking advantage of App Proxy today to take advantage of the following benefits:

  • Publicar externamente os aplicativos locais sem a sobrecarga associada à manutenção da VPN tradicional ou de outras soluções locais de publicação na Web e a abordagem da DMZPublish on-premises apps externally without the overhead associated with maintaining traditional VPN or other on-premises web publishing solutions and DMZ approach
  • Logon único para todos os aplicativos, sejam eles Microsoft 365 ou outros aplicativos SaaS e incluindo aplicativos locaisSingle sign-on to all applications, be they Microsoft 365 or other SaaS apps and including on-premises applications
  • Segurança de escala de nuvem em que o Azure AD utiliza Microsoft 365 telemetria para impedir o acesso não autorizadoCloud scale security where Azure AD leverages Microsoft 365 telemetry to prevent unauthorized access
  • Integração com o Intune para garantir que o tráfego corporativo seja autenticadoIntune integration to ensure corporate traffic is authenticated
  • Centralização do gerenciamento de conta de usuárioCentralization of user account management
  • Atualizações automáticas para garantir que você tem os patches de segurança mais recentesAutomatic updates to ensure you have the latest security patches
  • Novos recursos assim que eles são lançados; o suporte mais recente para logon único de SAML e gerenciamento mais granular de cookies de aplicativosNew features as they are released; the most recent being support for SAML single sign-on and more granular management of application cookies

Próximas etapasNext steps