Início de sessão único baseado em cabeçalho para aplicações no local com o Proxy da Aplicação AAD

O Proxy de Aplicações do Azure Active Directory (Azure AD) suporta de forma nativa o acesso de início de sessão único a aplicações que utilizam cabeçalhos na autenticação. Pode configurar os valores dos cabeçalhos exigidos pela aplicação no Azure AD. Os valores dos cabeçalhos serão enviados para a aplicação através do Proxy de Aplicações. Alguns benefícios para a utilização de suporte nativo para autenticação baseada em cabeçalho com Proxy de Aplicações incluem:

  • Simplificar o acesso remoto às suas aplicações no local - App Proxy permite-lhe simplificar a arquitetura de acesso remoto existente. Pode substituir o acesso VPN a estas aplicações. Também pode remover as dependências de soluções de identidade no local para a autenticação. Os seus utilizadores não notarão nada de diferente quando iniciarem saturação para utilizarem as suas aplicações corporativas. Ainda podem trabalhar em qualquer lugar em qualquer dispositivo.

  • Nenhum software adicional ou alterações nas suas apps - Pode utilizar os conectores de Proxy de Aplicações existentes e não necessita de nenhum software adicional para ser instalado.

  • Ampla lista de atributos e transformações disponíveis - Todos os valores de cabeçalho disponíveis baseiam-se em alegações padrão emitidas por Azure AD. Todos os atributos e transformações disponíveis para configurar reclamações para aplicações SAML ou OIDC também estão disponíveis para serem usados como valores de cabeçalho.

Pré-requisitos

Antes de iniciar com um único sinal de inscrição para aplicações de autenticação baseadas em cabeçalhos, certifique-se de que o seu ambiente está pronto com as seguintes definições e configurações:

Capacidades suportadas

A tabela que se segue lista as capacidades comuns necessárias para aplicações de autenticação baseadas em cabeçalhos suportadas com Proxy de Aplicações.

Requisito Description
SSO federado No modo pré-autenticado, todas as aplicações estão protegidas com a autenticação do Azure Active Directory e permitem que os utilizadores tenham um início de sessão único.
Acesso remoto Proxy de Aplicações permite o acesso remoto à aplicação. Os utilizadores podem aceder à aplicação a partir da internet em qualquer navegador utilizando o URL Externo. Proxy de Aplicações não se destina a uso de acesso corporativo.
Integração baseada em cabeçalhos Proxy de Aplicações faz a integração SSO com Azure AD e depois passa a identidade ou outros dados de aplicação como cabeçalhos HTTP para a aplicação.
Autorização da aplicação As políticas comuns podem ser especificadas com base na aplicação que está a ser acedida, na adesão do grupo do utilizador e noutras políticas. Em Azure AD, as políticas são implementadas utilizando o acesso condicional. As políticas de autorização da aplicação aplicam-se apenas ao pedido de autenticação inicial.
Configurar a autenticação As políticas podem ser definidas para forçar a autenticação adicionada, por exemplo, para ter acesso a recursos confidenciais.
Autorização de grão fino Proporciona controlo de acesso ao nível do URL. As políticas adicionadas podem ser aplicadas com base no URL que está a ser acedido. O URL interno configurado para a aplicação, define o âmbito da aplicação a que a política é aplicada. A política configurada para o caminho mais granular é aplicada.

Nota

Este artigo apresenta aplicações de autenticação baseadas em cabeçalho para Azure AD usando Proxy de Aplicações e é o padrão recomendado. Como alternativa, existe também um padrão de integração que utiliza o PingAccess com Azure AD para permitir a autenticação baseada em cabeçalho. Para obter mais detalhes, consulte a autenticação baseada no Cabeçalho para um único sinal de Proxy de Aplicações e PingAccess.

Como funciona

How header-based single sign-on works with Application Proxy.

  1. O Administrador personaliza os mapeamentos de atributos exigidos pela aplicação no portal do Azure Active Directory.
  2. Quando um utilizador acede à aplicação, Proxy de Aplicações garante que o utilizador é autenticado por Azure AD
  3. O serviço de nuvem Proxy de Aplicações está ciente dos atributos necessários. Assim, o serviço obtém as afirmações correspondentes do token de ID recebido durante a autenticação. O serviço traduz então os valores nos cabeçalhos HTTP necessários como parte do pedido ao Conector.
  4. O pedido é então transmitido ao Conector, que é depois passado para o pedido de backend.
  5. A aplicação recebe os cabeçalhos e pode utilizar os mesmos conforme necessário.

Publique a aplicação com Proxy de Aplicações

  1. Publique o seu pedido de acordo com as instruções descritas nas aplicações Publicar com Proxy de Aplicações.

    • O valor url interno determina o âmbito da aplicação. Se configurar o valor do URL interno no caminho raiz da aplicação, então todos os sub-caminhos por baixo da raiz receberão a mesma configuração do cabeçalho e outra configuração de aplicação.
    • Crie uma nova aplicação para definir uma configuração ou atribuição de cabeçalho diferente para um caminho mais granular do que a aplicação configurada. Na nova aplicação, configugue o URL interno com o caminho específico que necessita e, em seguida, configugue os cabeçalhos específicos necessários para este URL. Proxy de Aplicações sempre corresponderá as definições da configuração ao caminho mais granular definido para uma aplicação.
  2. Selecione Azure Ative Directory como método de pré-autenticação.

  3. Atribua um utilizador de teste navegando para Utilizadores e grupos e atribuindo os utilizadores e grupos apropriados.

  4. Abra um navegador e navegue para o URL Externo a partir das definições Proxy de Aplicações.

  5. Verifique se pode ligar-se à aplicação. Apesar de poder ligar-se, ainda não pode aceder à aplicação, uma vez que os cabeçalhos não estão configurados.

Configurar o início de sessão único

Antes de iniciar com um único sinal para aplicações baseadas em cabeçalhos, já deve ter instalado um conector Proxy de Aplicações e o conector pode aceder às aplicações-alvo. Caso contrário, siga os passos em Tutorial: Azure AD Proxy de Aplicações então volte aqui.

  1. Depois da sua aplicação aparecer na lista de aplicações da empresa, selecione-a e selecione 'S-on' Único.
  2. Descreva o único modo de inscrição para cabeçalho.
  3. Na Configuração Básica, Azure Ative Directory, será selecionado como padrão.
  4. Selecione o lápis de edição, em Cabeçalhos para configurar cabeçalhos para enviar para a aplicação.
  5. Selecione Adicione novo cabeçalho. Forneça um Nome para o cabeçalho e selecione o Atributo ou a Transformação e selecione a partir do drop-down que o cabeçalho de que a sua aplicação necessita.
  6. Selecione Guardar.

Testar a aplicação

Quando tiver completado todos estes passos, a sua aplicação deve estar disponível. Para testar a aplicação:

  1. Abra um novo navegador ou janela de navegador privado para se certificar de que os cabeçalhos previamente em cache estão limpos. Em seguida, navegue para o URL Externo a partir das definições Proxy de Aplicações.
  2. Inscreva-se na conta de teste que atribuiu à aplicação. Se você pode carregar e assinar a aplicação usando SSO, então você está bom!

Considerações

  • Proxy de Aplicações é usado para fornecer acesso remoto a apps no local ou em nuvem privada. Proxy de Aplicações não é recomendado para lidar com o tráfego originário internamente da rede corporativa.
  • O acesso a aplicações de autenticação baseadas em cabeçalhos deve limitar-se apenas ao tráfego do conector ou a outra solução de autenticação baseada em cabeçalhos permitida. Isto é geralmente feito através da restrição do acesso à rede à aplicação usando uma restrição de firewall ou IP no servidor de aplicações para evitar expor aos atacantes.

Passos seguintes