Logon único para aplicativos no Azure Active DirectorySingle sign-on to applications in Azure Active Directory

O SSO (logon único) adiciona segurança e conveniência quando os usuários se conectam a aplicativos no Azure Active Directory.Single sign-on (SSO) adds security and convenience when users sign-on to applications in Azure Active Directory (Azure AD). Este artigo descreve os métodos de logon único e ajuda você a escolher o método de SSO mais adequado ao configurar os seus aplicativos.This article describes the single sign-on methods, and helps you choose the most appropriate SSO method when configuring your applications.

  • Com o logon único, os usuários entram uma vez com uma conta para acessar os dispositivos ingressados no domínio, recursos da empresa, aplicativos de SaaS (software como serviço) e aplicativos Web.With single sign-on, users sign in once with one account to access domain-joined devices, company resources, software as a service (SaaS) applications, and web applications. Depois de entrar, o usuário pode iniciar os aplicativos no portal do Office 365 ou no painel de acesso MyApps do Azure AD.After signing in, the user can launch applications from the Office 365 portal or the Azure AD MyApps access panel. Os administradores podem centralizar o gerenciamento da conta de usuário e automaticamente adicionar ou remover o acesso de usuário para aplicativos com base na associação de grupo.Administrators can centralize user account management, and automatically add or remove user access to applications based on group membership.

  • Sem o logon único, os usuários devem se lembrar de senhas específicas do aplicativo e entrar em cada aplicativo.Without single sign-on, users must remember application-specific passwords and sign in to each application. A equipe de TI precisa criar e atualizar as contas de usuário para cada aplicativo, como o Office 365, o Box e o Salesforce.IT staff needs to create and update user accounts for each application such as Office 365, Box, and Salesforce. Os usuários precisam se lembrar de suas senhas, além de gastar tempo para entrar em cada aplicativo.Users need to remember their passwords, plus spend the time to sign in to each application.

Escolhendo um método de logon únicoChoosing a single sign-on method

Há várias maneiras de configurar um aplicativo para logon único.There are several ways to configure an application for single sign-on. A escolha de um método de logon único depende de como o aplicativo está configurado para autenticação.Choosing a single sign-on method depends on how the application is configured for authentication.

  • Os aplicativos de nuvem podem usar os métodos OpenID Connect, OAuth, SAML, baseado em senha, vinculado ou desabilitado para o logon único.Cloud applications can use OpenID Connect, OAuth, SAML, password-based, linked, or disabled methods for single sign-on.
  • Os aplicativos locais podem usar os métodos baseado em senha, de Autenticação Integrada do Windows, baseado em cabeçalho, vinculado ou desabilitado para o logon único.On-premises applications can use password-based, Integrated Windows Authentication, header-based, linked, or disabled methods for single sign-on. As opções locais funcionam quando os aplicativos são configurados para Proxy de Aplicativo.The on-premises choices work when applications are configured for Application Proxy.

Este fluxograma ajuda você a decidir qual método de logon único é melhor para sua situação.This flowchart helps you decide which single sign-on method is best for your situation.

Fluxograma de decisão para o método de logon único

A tabela a seguir resume os métodos de logon único e os links para obter mais detalhes.The following table summarizes the single sign-on methods, and links to more details.

Método de logon únicoSingle sign-on method Tipos de aplicativosApplication types Quando usarWhen to use
OpenID Connect e OAuthOpenID Connect and OAuth somente na nuvemcloud only Use o OpenID Connect e o OAuth ao desenvolver um novo aplicativo.Use OpenID Connect and OAuth when developing a new application. Esse protocolo simplifica a configuração de aplicativo, tem SDKs fáceis de usar e permite que seu aplicativo use o MS Graph.This protocol simplifies application configuration, has easy-to-use SDKs, and enables your application to use MS Graph.
SAMLSAML nuvem e localcloud and on-premises Escolha SAML sempre que possível para aplicativos existentes que não usam o OpenID Connect nem o OAuth.Choose SAML whenever possible for existing applications that do not use OpenID Connect or OAuth. O SAML funciona para aplicativos que são autenticados usando um dos protocolos SAML.SAML works for applications that authenticate using one of the SAML protocols.
Baseado em senhaPassword-based nuvem e localcloud and on-premises Escolha o método baseado em senha quando o aplicativo é autenticado com o nome de usuário e senha.Choose password-based when the application authenticates with username and password. O logon único baseado em senha permite o armazenamento e a reprodução segura de senhas do aplicativo usando uma extensão de navegador da Web ou aplicativo móvel.Password-based single sign-on enables secure application password storage and replay using a web browser extension or mobile app. Esse método utiliza o processo de entrada existente fornecido pelo aplicativo, mas permite que um administrador gerencie as senhas.This method uses the existing sign-in process provided by the application, but enables an administrator to manage the passwords.
VinculadoLinked nuvem e localcloud and on-premises Escolha logon vinculado quando o aplicativo estiver configurado para logon único em outro serviço de provedor de identidade.Choose linked sign-on when the application is configured for single sign-on in another identity provider service. Essa opção não adiciona o logon único ao aplicativo.This option doesn't add single sign-on to the application. No entanto, o aplicativo pode já ter o logon único implementado usando outro serviço, como Serviços de Federação do Active Directory (AD FS).However, the application might already have single sign-on implemented using another service such as Active Directory Federation Services.
DesabilitadoDisabled nuvem e localcloud and on-premises Escolha o logon único desabilitado quando o aplicativo não estiver pronto para ser configurado para logon único.Choose disabled single sign-on when the app isn't ready to be configured for single sign-on. Os usuários precisam inserir seu nome de usuário e senha toda vez que iniciarem este aplicativo.Users need to enter their username and password every time they launch this application.
IWA (Autenticação Integrada do Windows)Integrated Windows Authentication (IWA) apenas localon-premises only Escolha esse logon único de IWA para aplicativos que usam a IWA (Autenticação Integrada do Windows) ou aplicativos com reconhecimento de declaração.Choose IWA single sign-on for applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Para IWA, os conectores de Proxy de Aplicativo usam a KCD (Delegação Restrita de Kerberos) para autenticar os usuários no aplicativo.For IWA, the Application Proxy connectors use Kerberos Constrained Delegation (KCD) to authenticate users to the application.
Baseado em cabeçalhoHeader-based apenas localon-premises only Use o logon único baseado em cabeçalho quando o aplicativo usar cabeçalhos para autenticação.Use header-based single sign-on when the application uses headers for authentication. O logon único baseado em cabeçalho requer o PingAccess para o Azure AD.Header-based single sign-on requires PingAccess for Azure AD. O Proxy de Aplicativo usa o Azure AD para autenticar o usuário e, em seguida, passa o tráfego pelo serviço de conector.Application Proxy uses Azure AD to authenticate the user and then passes traffic through the connector service.

OpenID Connect e OAuthOpenID Connect and OAuth

Ao desenvolver novos aplicativos, use protocolos modernos, como OpenID Connect e OAuth, para obter a melhor experiência de logon único para seu aplicativo em várias plataformas de dispositivo.When developing new applications, use modern protocols like OpenID Connect and OAuth to achieve the best single sign-on experience for your app across multiple device platforms. O OAuth permite que usuários ou administradores concedam consentimento para recursos protegidos, como Microsoft Graph.OAuth enables users or admins to grant consent for protected resources like Microsoft Graph. Fornecemos SDKs fáceis de adotar para seu aplicativo e, além disso, seu aplicativo estará pronto para usar Microsoft Graph.We provide easy to adopt SDKs for your app, and additionally, your app will be ready to use Microsoft Graph.

Para obter mais informações, consulte:For more information, see:

SSO do SAMLSAML SSO

Com o logon único SAML, o Azure AD realiza a autenticação para o aplicativo usando a conta do Azure AD do usuário.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. O Azure AD comunica as informações do logon para o aplicativo por meio de um protocolo de conexão.Azure AD communicates the sign-on information to the application through a connection protocol. Com o logon único baseado em SAML, você pode mapear os usuários para funções de aplicativo específicas com base nas regras definidas nas suas declarações SAML.With SAML-based single sign-on, you can map users to specific application roles based on rules you define in your SAML claims.

Escolha o logon único baseado em SAML quando o aplicativo der suporte a ele.Choose SAML-based single sign-on when the application supports it.

O logon único baseado em SAML é compatível com aplicativos que usam qualquer um desses protocolos:SAML-based single sign-on is supported for applications that use any of these protocols:

  • SAML 2.0SAML 2.0
  • Web Services FederationWS-Federation

Para configurar um aplicativo SaaS para logon único baseado em SAML, consulte Configurar logon único baseado em SAML.To configure a SaaS application for SAML-based single sign-on, see Configure SAML-based single sign-on. Além disso, muitos aplicativos SaaS (Software como Serviço) têm um tutorial específico de aplicativo que explica a configuração para logon único baseado em SAML.Also, many Software as a Service (SaaS) applications have an application-specific tutorial that step you through the configuration for SAML-based single sign-on.

Para configurar um aplicativo para o WS-Federation, siga as mesmas diretrizes para configurar o aplicativo para logon único baseado em SAML, consulte Configurar logon único baseado em SAML.To configure an application for WS-Federation, follow the same guidance to configure application for SAML-based single sign-on, see Configure SAML-based single sign-on. Na etapa de configurar o aplicativo para usar o Azure AD, você precisará substituir a URL de logon do Azure AD para o ponto https://login.microsoftonline.com/<tenant-ID>/wsfedde extremidade do WS-Federation.In the step to configure the application to use Azure AD, you will need to replace the Azure AD login URL for the WS-Federation end-point https://login.microsoftonline.com/<tenant-ID>/wsfed.

Para configurar um aplicativo local para logon único baseado em SAML, consulte logon único do SAML para aplicativos locais com o proxy de aplicativo.To configure an on-premises application for SAML-based single sign-on, see SAML single-sign-on for on-premises applications with Application Proxy.

Para saber mais sobre o protocolo SAML, confira Protocolo SAML de logon único.For more information about the SAML protocol, see Single sign-on SAML protocol.

SSO baseado em senhaPassword-based SSO

Com o logon baseado em senha, os usuários entram no aplicativo com um nome de usuário e uma senha na primeira vez que o acessam.With password-based sign-on, users sign on to the application with a username and password the first time they access it. Após o primeiro logon, o Azure AD fornece o nome de usuário e a senha ao aplicativo.After the first sign-on, Azure AD supplies the username and password to the application.

O logon único baseado em senha usa os processos de autenticação existentes fornecidos pelo aplicativo.Password-based single sign-on uses the existing authentication process provided by the application. Quando você habilita o logon único de senha para um aplicativo, o Azure AD coleta e armazena de forma segura os nomes de usuário e senhas do aplicativo.When you enable password single sign-on for an application, Azure AD collects and securely stores user names and passwords for the application. As credenciais do usuário são armazenadas em um estado criptografado no diretório.User credentials are stored in an encrypted state in the directory.

Escolha o logon único baseado em senha quando:Choose password-based single sign-on when:

  • Um aplicativo não for compatível com o protocolo de logon único SAML.An application doesn't support SAML single sign-on protocol.
  • Um aplicativo for autenticado com um nome de usuário e senha em vez de tokens de acesso e cabeçalhos.An application authenticates with a username and password instead of access tokens and headers.

O logon único baseado em senha for compatível com qualquer aplicativo baseado em nuvem que tenha uma página de entrada baseada em HTML.Password-based single sign-on is supported for any cloud-based application that has an HTML-based sign-in page. O usuário pode usar qualquer um dos seguintes navegadores:The user can use any of the following browsers:

  • Internet Explorer 11 no Windows 7 ou posteriorInternet Explorer 11 on Windows 7 or later

    Observação

    O Internet Explorer está com suporte limitado e já não recebe mais atualizações de software.Internet Explorer is on limited support and no longer receives new software updates. O Microsoft Edge é o navegador recomendado.Microsoft Edge is the recommended browser.

  • O Microsoft Edge na Edição de Aniversário do Windows 10 ou posteriorMicrosoft Edge on Windows 10 Anniversary Edition or later

  • Chrome no Windows 7 ou posterior e no MacOS X ou posteriorChrome on Windows 7 or later, and on MacOS X or later

  • Firefox 26.0 ou posterior no Windows XP SP2 ou posterior e no Mac OS X 10.6 ou posteriorFirefox 26.0 or later on Windows XP SP2 or later, and on Mac OS X 10.6 or later

Para configurar um aplicativo de nuvem para logon único baseado em senha, consulte Configurar logon único com senha.To configure an cloud application for password-based single sign-on, see Configure password single sign-on.

Para configurar um aplicativo local para logon único por meio do Proxy de Aplicativo, confira Cofre para senhas para logon único com o Proxy de AplicativoTo configure an on-premises application for single sign-on through Application Proxy, see Password vaulting for single sign-on with Application Proxy

Como a autenticação funciona para SSO baseado em senhaHow authentication works for password-based SSO

Para autenticar um usuário em um aplicativo, o Azure AD recupera as credenciais do usuário do diretório e as insere na página de entrada do aplicativo.To authenticate a user to an application, Azure AD retrieves the user's credentials from the directory and enters them into the application's sign-on page. O Azure AD passa com segurança as credenciais do usuário por meio de uma extensão de navegador da Web ou aplicativo móvel.Azure AD securely passes the user credentials via a web browser extension or mobile app. Esse processo permite que um administrador gerencie as credenciais do usuário e não exige que os usuários se lembrem de sua senha.This process enables an administrator to manage user credentials, and doesn't require users to remember their password.

Importante

As credenciais são ocultadas do usuário durante o processo de logon automatizado.The credentials are obfuscated from the user during the automated sign-on process. No entanto, as credenciais são detectáveis usando ferramentas de depuração da Web.However, the credentials are discoverable by using web-debugging tools. Os usuários e administradores precisam seguir as mesmas políticas de segurança como se as credenciais fossem inseridas diretamente pelo usuário.Users and administrators need to follow the same security policies as if credentials were entered directly by the user.

Gerenciando credenciais para o SSO baseado em senhaManaging credentials for password-based SSO

As senhas de cada aplicativo podem ser gerenciadas pelo administrador do Azure AD ou pelos usuários.Passwords for each application can either be managed by the Azure AD administrator or by the users.

Quando o administrador do Azure AD gerencia as credenciais:When the Azure AD administrator manages the credentials:

  • O usuário não precisa redefinir ou lembrar o nome de usuário e senha.The user doesn't need to reset or remember the user name and password. O usuário pode acessar o aplicativo clicando no seu painel de acesso ou por meio de um link fornecido.The user can access the application by clicking on it in their access panel or via a provided link.
  • O administrador pode realizar tarefas de gerenciamento nas credenciais.The administrator can do management tasks on the credentials. Por exemplo, o administrador pode atualizar o acesso de aplicativo de acordo com as associações de grupo do usuário e o status do funcionário.For example, the administrator can update application access according to user group memberships and employee status.
  • O administrador pode usar as credenciais administrativas para fornecer acesso aos aplicativos compartilhados entre vários usuários.The administrator can use administrative credentials to provide access to applications shared among many users. Por exemplo, o administrador pode permitir que qualquer pessoa que pode acessar um aplicativo tenha acesso a uma mídia social ou o aplicativo de compartilhamento de documentos.For example, the administrator can allow everyone who can access an application to have access to a social media or document sharing application.

Quando o usuário final gerencia as credenciais:When the end user manages the credentials:

  • Os usuários podem gerenciar as senhas atualizando-as ou excluindo-as, conforme necessário.Users can manage their passwords by updating or deleting them as needed.
  • Os administradores ainda são capazes de definir novas credenciais para o aplicativo.Administrators are still able to set new credentials for the application.

Logon vinculadoLinked sign-on

O logon vinculado permite que o Azure AD forneça o logon único para um aplicativo que já está configurado para um logon único em outro serviço.Linked sign-on enables Azure AD to provide single sign-on to an application that is already configured for single sign-on in another service. O aplicativo vinculado pode aparecer para os usuários finais no portal do Office 365 ou portal MyApps do Azure AD.The linked application can appear to end users in the Office 365 portal or Azure AD MyApps portal. Por exemplo, um usuário pode iniciar um aplicativo que está configurado para logon único no Serviços de Federação do Active Directory (AD FS) 2.0 no portal do Office 365.For example, a user can launch an application that is configured for single sign-on in Active Directory Federation Services 2.0 (AD FS) from the Office 365 portal. Relatórios adicionais também estão disponíveis para aplicativos vinculados que são iniciados no portal do Office 365 ou no portal MyApps do Azure AD.Additional reporting is also available for linked applications that are launched from the Office 365 portal or the Azure AD MyApps portal. Para configurar um aplicativo para logon vinculado, consulte Configurar logon vinculado.To configure an application for linked sign-on, see Configure linked sign-on.

Logon vinculado para migração de aplicativoLinked sign-on for application migration

O logon vinculado pode fornecer uma experiência de usuário consistente enquanto você migra aplicativos durante um período de tempo.Linked sign-on can provide a consistent user experience while you migrate applications over a period of time. Se estiver migrando aplicativos para Azure Active Directory, você poderá usar o logon vinculado para publicar links rapidamente para todos os aplicativos que pretende migrar.If you're migrating applications to Azure Active Directory, you can use linked sign-on to quickly publish links to all the applications you intend to migrate. Os usuários podem encontrar todos os links no portal MyApps ou no iniciador de aplicativos do Office 365.Users can find all the links in the MyApps portal or the Office 365 application launcher. Os usuários não saberão que estão acessando um aplicativo vinculado ou migrado.Users won't know they're accessing a linked application or a migrated application.

Depois que um usuário for autenticado com um aplicativo vinculado, um registro de conta precisa ser criado antes que o usuário final receba o acesso de logon único.Once a user has authenticated with a linked application, an account record needs to be created before the end user is provided single sign-on access. O provisionamento deste registro de conta pode ocorrer automaticamente ou manualmente por um administrador.Provisioning this account record can either occur automatically, or it can occur manually by an administrator.

SSO desabilitadoDisabled SSO

O modo desabilitado significa que o logon único não é usado para o aplicativo.Disabled mode means single sign-on isn't used for the application. Quando o logon único está desabilitado, pode ser necessário que os usuários se autentiquem duas vezes.When single sign-on is disabled, users might need to authenticate twice. Primeiro, os usuários se autenticam no Azure AD e, em seguida, entram no aplicativo.First, users authenticate to Azure AD, and then they sign in to the application.

Use o modo de logon único desabilitado:Use disabled single sign-on mode:

  • Se você não estiver pronto para integrar este aplicativo ao logon único do Azure AD,If you're not ready to integrate this application with Azure AD single sign-on, or
  • Se você estiver testando outros aspectos do aplicativo ouIf you're testing other aspects of the application, or
  • Como uma camada de segurança para um aplicativo local que não exige que os usuários se autentiquem.As a layer of security to an on-premises application that doesn't require users to authenticate. Com logon único desabilitado, o usuário precisa se autenticar.With disabled, the user needs to authenticate.

SSO de IWA (Autenticação Integrada do Windows)Integrated Windows Authentication (IWA) SSO

O Proxy de Aplicativo oferece SSO (logon único) para aplicativos que usam a IWA (Autenticação Integrada do Windows) ou aplicativos com reconhecimento de declaração.Application Proxy provides single sign-on (SSO) to applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Se o aplicativo usar a IWA, o Proxy de Aplicativo autenticará o aplicativo usando a KCD (Delegação Restrita de Kerberos).If your application uses IWA, Application Proxy authenticates to the application by using Kerberos Constrained Delegation (KCD). Para um aplicativo com reconhecimento de declaração que confia no Azure Active Directory, o logon único funciona porque o usuário já foi autenticado usando o Azure AD.For a claims-aware application that trusts Azure Active Directory, single sign-on works because the user was already authenticated by using Azure AD.

Escolha o modo de logon único da autenticação integrada do Windows para fornecer logon único a um aplicativo local que é autenticado com o IWA.Choose Integrated Windows Authentication single sign-on mode to provide single sign-on to an on-premises app that authenticates with IWA.

Para configurar um aplicativo local para IWA, confira Delegação restrita de Kerberos para logon único em seus aplicativos com o Proxy de Aplicativo.To configure an on-premises app for IWA, see Kerberos Constrained Delegation for single sign-on to your applications with Application Proxy.

Como funciona o logon único com a KCDHow single sign-on with KCD works

Este diagrama explica o fluxo de quando um usuário acessa um aplicativo local que usa IWA.This diagram explains the flow when a user accesses an on-premises application that uses IWA.

Diagrama de fluxo de autenticação Microsoft Azure AD

  1. O usuário insere a URL para acessar o aplicativo local por meio do proxy de aplicativo.The user enters the URL to access the on premises application through Application Proxy.
  2. O Proxy de Aplicativo redireciona a solicitação para serviços de autenticação do AD do Azure para pré-autenticação.Application Proxy redirects the request to Azure AD authentication services to preauthenticate. Neste ponto, o AD do Azure se aplica a qualquer política de autenticação e autorização aplicável, tal como autenticação multifator.At this point, Azure AD applies any applicable authentication and authorization policies, such as multifactor authentication. Se o usuário for validado, o AD do Azure cria um token e o envia para o usuário.If the user is validated, Azure AD creates a token and sends it to the user.
  3. O usuário passa o token para o Proxy de Aplicativo.The user passes the token to Application Proxy.
  4. O Proxy de Aplicativo valida o token e recupera o nome UPN dele.Application Proxy validates the token and retrieves the User Principal Name (UPN) from the token. Em seguida, ele envia a solicitação, o nome UPN e o SPN (nome da entidade de serviço) para o conector por meio de um canal seguro duplamente autenticado.It then sends the request, the UPN, and the Service Principal Name (SPN) to the Connector through a dually authenticated secure channel.
  5. O conector usa a negociação de KCD (delegação restrita de Kerberos) com o AD local, representando o usuário para obter um token Kerberos para o aplicativo.The connector uses Kerberos Constrained Delegation (KCD) negotiation with the on premises AD, impersonating the user to get a Kerberos token to the application.
  6. O Active Directory envia o token Kerberos do aplicativo para o conector.Active Directory sends the Kerberos token for the application to the connector.
  7. O conector envia a solicitação original para o servidor de aplicativos usando o token Kerberos recebido do AD.The connector sends the original request to the application server, using the Kerberos token it received from AD.
  8. O aplicativo envia a resposta para o conector, que é retornada para o serviço de Proxy de Aplicativo e, finalmente, para o usuário.The application sends the response to the connector, which is then returned to the Application Proxy service and finally to the user.

SSO baseado em cabeçalhoHeader-based SSO

O logon único baseado em cabeçalho funciona para aplicativos que usam cabeçalhos de HTTP para autenticação.Header-based single sign-on works for applications that use HTTP headers for authentication. Esse método de logon usa um serviço de autenticação de terceiros chamado PingAccess.This sign-on method uses a third-party authentication service called PingAccess. O usuário precisa se autenticar apenas no Azure AD.A user only needs to authenticate to Azure AD.

Escolha logon único baseado em cabeçalho quando o proxy de aplicativo e o PingAccess estiverem configurados para o aplicativo.Choose header-based single sign-on when Application Proxy and PingAccess are configured for the application.

Para configurar a autenticação baseada em cabeçalho, confira Autenticação baseada em cabeçalho para logon único com o Proxy de Aplicativo.To configure header-based authentication, see Header-based authentication for single sign-on with Application Proxy.

O que é o PingAccess para Azure AD?What is PingAccess for Azure AD?

Usando o PingAccess para o Azure AD, os usuários podem acessar e realizar o logon único em aplicativos que usam cabeçalhos para autenticação.Using PingAccess for Azure AD, users can access and single sign-on to applications that use headers for authentication. O Proxy de Aplicativo trata esses aplicativos como qualquer outro, usando o Azure AD para autenticar o acesso e, depois, passando o tráfego por meio do serviço de conector.Application Proxy treats these applications like any other, using Azure AD to authenticate access and then passing traffic through the connector service. Após a autenticação, o serviço de PingAccess converte o token de acesso do Azure AD em um formato de cabeçalho que é enviado para o aplicativo.After authentication occurs, the PingAccess service translates the Azure AD access token into a header format that is sent to the application.

Os usuários não perceberão algo diferente quando entrarem para usar seus aplicativos corporativos.Your users won’t notice anything different when they sign in to use your corporate applications. Eles ainda podem trabalhar de qualquer lugar e em qualquer dispositivo.They can still work from anywhere on any device. Os conectores do Proxy de Aplicativo direcionam o tráfego remoto a todos os aplicativos e eles continuarão a balancear a carga automaticamente.The Application Proxy connectors direct remote traffic to all applications, and they’ll continue to load balance automatically.

Como obtenho uma licença para o PingAccess?How do I get a license for PingAccess?

Como esse cenário é oferecido por meio de uma parceria entre o Azure AD e o PingAccess, você precisa de licenças para os dois serviços.Since this scenario is offered through a partnership between Azure AD and PingAccess, you need licenses for both services. No entanto, as assinaturas do Azure AD Premium incluem uma licença básica PingAccess que abrange até 20 aplicativos.However, Azure AD Premium subscriptions include a basic PingAccess license that covers up to 20 applications. Se você precisar publicar mais de 20 aplicativos com base em cabeçalho, poderá adquirir uma licença adicional do PingAccess.If you need to publish more than 20 header-based applications, you can acquire an additional license from PingAccess.

Para obter mais informações, consulte Edições do Active Directory do Azure.For more information, see Azure Active Directory editions.