Acesso remoto a aplicações no local através de um Proxy de Aplicações do Azure AD

  • Artigo
  • 5 minutos para ler

Azure Ative Directory's Proxy de Aplicações fornece acesso remoto seguro a aplicações web no local. Após um único s-on para Azure AD, os utilizadores podem aceder a aplicações tanto em nuvem como no local através de um URL externo ou de um portal de aplicações internas. Por exemplo, Proxy de Aplicações podem fornecer acesso remoto e um único acesso às aplicações Remote Desktop, SharePoint, Teams, Tableau, Qlik e linha de negócios (LOB).

O Proxy de Aplicações do Azure AD é:

  • Simples de usar. Os utilizadores podem aceder às suas aplicações no local da mesma forma que acedem Microsoft 365 e outras aplicações SaaS integradas com AZure AD. Não precisa de alterar ou atualizar as suas aplicações para trabalhar com o Proxy de Aplicações.

  • Está seguro. As aplicações no local podem utilizar os controlos de autorização da Azure e a análise de segurança. Por exemplo, as aplicações no local podem utilizar acesso condicional e verificação em duas etapas. Proxy de Aplicações não requer que abra ligações de entrada através da sua firewall.

  • Rentável. As soluções no local normalmente exigem que você crie e mantenha zonas desmilitarizadas (DMZs), servidores de borda ou outras infraestruturas complexas. Proxy de Aplicações corre na nuvem, o que facilita a sua utilização. Para utilizar Proxy de Aplicações, não precisa de alterar a infraestrutura de rede ou de instalar aparelhos adicionais no seu ambiente no local.

O que é o Proxy de Aplicação?

O Proxy de Aplicações é uma funcionalidade do Azure Active Directory que permite aos utilizadores aceder às aplicações Web no local a partir de um cliente remoto. O Proxy de Aplicações inclui o serviço de Proxy de Aplicações que é executado na cloud e a ligação do Proxy de Aplicações que é executada num servidor no local. O Azure Active Directory, o serviço do Proxy de Aplicações e o conector do Proxy de Aplicações trabalham em conjunto para passar de forma segura o token de início de sessão do utilizador a partir do Azure Active Directory para a aplicação Web.

Proxy de Aplicações trabalha com:

  • Aplicações web que utilizam autenticação Windows Integrada para autenticação
  • Aplicações web que usam acesso baseado em formulários ou cabeçalho
  • APIs web que pretende expor a aplicações ricas em diferentes dispositivos
  • Aplicações hospedadas atrás de um Gateway de Desktop Remoto
  • Aplicativos de clientes ricos que estão integrados com a Microsoft Authentication Library (MSAL)

Proxy de Aplicações suporta uma única inscrição. Para obter mais informações sobre métodos suportados, consulte escolher um único método de inscrição.

Proxy de Aplicações é recomendado para dar aos utilizadores remotos acesso a recursos internos. Proxy de Aplicações substitui a necessidade de uma VPN ou procuração inversa. Não se destina a utilizadores internos na rede corporativa. Estes utilizadores que usam desnecessariamente Proxy de Aplicações podem introduzir problemas de desempenho inesperados e indesejáveis.

Como funciona Proxy de Aplicações

O diagrama seguinte mostra como a Azure AD e a Proxy de Aplicações trabalham em conjunto para fornecer um único sinal de inscrição nas aplicações no local.

AzureAD Application Proxy diagram

  1. Depois de o utilizador ter acedido à aplicação através de um ponto final, o utilizador é direcionado para a página de entrada Azure AD.
  2. Após uma sinstrução bem sucedida, a Azure AD envia um sinal para o dispositivo cliente do utilizador.
  3. O cliente envia o token para o serviço Proxy de Aplicações, que recupera o nome principal do utilizador (UPN) e o nome principal de segurança (SPN) do token. Proxy de Aplicações então envia o pedido para o conector Proxy de Aplicações.
  4. Se tiver configurado um único sinal, o conector efetua qualquer autenticação adicional necessária em nome do utilizador.
  5. O conector envia o pedido para o pedido no local.
  6. A resposta é enviada através do conector e Proxy de Aplicações serviço ao utilizador.

Nota

Tal como a maioria dos agentes híbridos AZure AD, o Proxy de Aplicações Connector não requer que abra ligações de entrada através da sua firewall. O tráfego do utilizador no passo 3 termina no Serviço de Proxy de Aplicações (em Azure AD). O conector Proxy de Aplicações (no local) é responsável pelo resto da comunicação.

Componente Descrição
Ponto final O ponto final é um URL ou um portal de utilizador final. Os utilizadores podem chegar a aplicações fora da sua rede acedendo a um URL externo. Os utilizadores dentro da sua rede podem aceder à aplicação através de um URL ou de um portal de utilizador final. Quando os utilizadores vão a um destes pontos finais, autenticam-se em Azure AD e depois são encaminhados através do conector para a aplicação no local.
Azure AD A Azure AD realiza a autenticação utilizando o diretório de inquilinos armazenado na nuvem.
serviço Proxy de Aplicações Este serviço Proxy de Aplicações funciona na nuvem como parte do Azure AD. Transmite o sinal de inscrição do utilizador para o conector Proxy de Aplicações. Proxy de Aplicações encaminha quaisquer cabeçalhos acessíveis sobre o pedido e define os cabeçalhos de acordo com o seu protocolo, para o endereço IP do cliente. Se o pedido de entrada ao representante já tiver esse cabeçalho, o endereço IP do cliente é adicionado ao fim da lista separada de vírgula que é o valor do cabeçalho.
Conector Proxy de Aplicações O conector é um agente leve que funciona num servidor Windows dentro da sua rede. O conector gere a comunicação entre o serviço Proxy de Aplicações na nuvem e a aplicação no local. O conector só utiliza ligações de saída, para que não tenha de abrir portas de entrada ou colocar nada no DMZ. Os conectores são apátridas e retiram informações da nuvem se necessário. Para obter mais informações sobre conectores, como a forma como se load-balance e autentica, consulte Os conectores de Proxy de Aplicações Ad Azure.
Diretório Ativo (AD) O Ative Directory funciona no local para efetuar a autenticação para contas de domínio. Quando o único sinal de sação é configurado, o conector comunica com AD para efetuar qualquer autenticação adicional necessária.
Aplicação no local Por fim, o utilizador pode aceder a uma aplicação no local.

Passos seguintes

Para começar a utilizar Proxy de Aplicações, consulte Tutorial: Adicione uma aplicação no local para acesso remoto através de Proxy de Aplicações.