O que é o Início de Sessão Único (SSO)?What is single sign-on (SSO)?

O sign-on único (SSO) adiciona segurança e comodidade quando os utilizadores se inscrevem em aplicações no Azure Ative Directory (Azure AD).Single sign-on (SSO) adds security and convenience when users sign-on to applications in Azure Active Directory (Azure AD). Este artigo descreve os métodos de inscrição único e ajuda-o a escolher o método SSO mais adequado ao configurar as suas aplicações.This article describes the single sign-on methods, and helps you choose the most appropriate SSO method when configuring your applications.

  • Com uma única solução, os utilizadores assinam uma vez com uma conta para aceder a dispositivos ligados ao domínio, recursos da empresa, software como aplicações de serviço (SaaS) e aplicações web.With single sign-on, users sign in once with one account to access domain-joined devices, company resources, software as a service (SaaS) applications, and web applications. Após a sessão, o utilizador pode lançar aplicações a partir do portal Office 365 ou do painel de acesso Azure AD MyApps.After signing in, the user can launch applications from the Office 365 portal or the Azure AD MyApps access panel. Os administradores podem centralizar a gestão da conta de utilizador e adicionar ou remover automaticamente o acesso do utilizador a aplicações com base na adesão ao grupo.Administrators can centralize user account management, and automatically add or remove user access to applications based on group membership.

  • Sem uma única sincê-in, os utilizadores devem lembrar-se de senhas específicas da aplicação e iniciar sôs-se em cada aplicação.Without single sign-on, users must remember application-specific passwords and sign in to each application. O pessoal de TI precisa de criar e atualizar contas de utilizador para cada aplicação, como o Office 365, Box e Salesforce.IT staff needs to create and update user accounts for each application such as Office 365, Box, and Salesforce. Os utilizadores precisam de se lembrar das suas palavras-passe, além de gastar o tempo para iniciar súm na súmia de cada aplicação.Users need to remember their passwords, plus spend the time to sign in to each application.

Escolher um único método de inscriçãoChoosing a single sign-on method

Existem várias formas de configurar um pedido de inscrição única.There are several ways to configure an application for single sign-on. A escolha de um único método de inscrição depende da configuração da aplicação para autenticação.Choosing a single sign-on method depends on how the application is configured for authentication.

  • As aplicações em nuvem podem utilizar métodos OpenID Connect, OAuth, SAML, baseados em palavras-passe, ligados ou desativados para um único s-on.Cloud applications can use OpenID Connect, OAuth, SAML, password-based, linked, or disabled methods for single sign-on.
  • As aplicações no local podem utilizar métodos baseados em palavras-passe, autenticação integrada do Windows, baseados em cabeçalhos, ligados ou desativados para uma única sação.On-premises applications can use password-based, Integrated Windows Authentication, header-based, linked, or disabled methods for single sign-on. As escolhas no local funcionam quando as aplicações são configuradas para Procuração de Aplicação.The on-premises choices work when applications are configured for Application Proxy.

Este fluxograma ajuda-o a decidir qual o método de inscrição único melhor para a sua situação.This flowchart helps you decide which single sign-on method is best for your situation.

Fluxograma de decisão para um único método de inscrição

A tabela a seguir resume os métodos de inscrição única e liga-se a mais detalhes.The following table summarizes the single sign-on methods, and links to more details.

Método de inscrição únicoSingle sign-on method Tipos de aplicaçãoApplication types Quando utilizarWhen to use
OpenID Connect e OAuthOpenID Connect and OAuth nuvem apenascloud only Utilize o OpenID Connect e o OAuth ao desenvolver uma nova aplicação.Use OpenID Connect and OAuth when developing a new application. Este protocolo simplifica a configuração da aplicação, tem SDKs fáceis de usar e permite que a sua aplicação utilize o Ms Graph.This protocol simplifies application configuration, has easy-to-use SDKs, and enables your application to use MS Graph.
SAMLSAML nuvem e no localcloud and on-premises Escolha SAML sempre que possível para aplicações existentes que não utilizem OpenID Connect ou OAuth.Choose SAML whenever possible for existing applications that do not use OpenID Connect or OAuth. A SAML trabalha para aplicações que autenticam usando um dos protocolos SAML.SAML works for applications that authenticate using one of the SAML protocols.
Baseada em palavra-passePassword-based nuvem e no localcloud and on-premises Escolha a palavra-passe com base quando a aplicação autenticar com nome de utilizador e senha.Choose password-based when the application authenticates with username and password. O sign-on único baseado em palavra-passe permite o armazenamento de senha de aplicação segura e a repetição usando uma extensão do navegador web ou uma aplicação móvel.Password-based single sign-on enables secure application password storage and replay using a web browser extension or mobile app. Este método utiliza o processo de inscrição existente fornecido pela aplicação, mas permite que um administrador gere as palavras-passe.This method uses the existing sign-in process provided by the application, but enables an administrator to manage the passwords.
LigadoLinked nuvem e no localcloud and on-premises Escolha o sinal de inscrição ligado quando a aplicação estiver configurada para um único s-ins insitado noutro serviço de fornecedor de identidade.Choose linked sign-on when the application is configured for single sign-on in another identity provider service. Esta opção não adiciona um único sinal de inscrição à aplicação.This option doesn't add single sign-on to the application. No entanto, a aplicação pode já ter um único sign-on implementado usando outro serviço, como os Serviços da Federação de Diretórios Ativos.However, the application might already have single sign-on implemented using another service such as Active Directory Federation Services.
DesativadoDisabled nuvem e no localcloud and on-premises Escolha um único sinal de desativado quando a aplicação não estiver pronta para ser configurada para um único s-on.Choose disabled single sign-on when the app isn't ready to be configured for single sign-on. Este modo é o padrão quando cria a aplicação.This mode is the default when you create the app.
Autenticação integrada do Windows (IWA)Integrated Windows Authentication (IWA) apenas no localon-premises only Escolha o único sign-on da IWA para aplicações que utilizem a Autenticação Integrada do Windows (IWA)ou aplicações com conhecimento de sinistros.Choose IWA single sign-on for applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Para a IWA, os conectores Proxy de aplicação utilizam a Delegação Restrita Kerberos (KCD) para autenticar os utilizadores na aplicação.For IWA, the Application Proxy connectors use Kerberos Constrained Delegation (KCD) to authenticate users to the application.
Baseado em cabeçalhoHeader-based apenas no localon-premises only Utilize um único sinal de sinalização baseado no cabeçalho quando a aplicação utilizar cabeçalhos para autenticação.Use header-based single sign-on when the application uses headers for authentication. O sign-on único baseado no cabeçalho requer PingAccess para Azure AD.Header-based single sign-on requires PingAccess for Azure AD. O Application Proxy utiliza o Azure AD para autenticar o utilizador e, em seguida, passa o tráfego através do serviço de conector.Application Proxy uses Azure AD to authenticate the user and then passes traffic through the connector service.

OpenID Connect e OAuthOpenID Connect and OAuth

Ao desenvolver novas aplicações, utilize protocolos modernos como OpenID Connect e OAuth para obter a melhor experiência de súp livre para a sua aplicação em várias plataformas de dispositivos.When developing new applications, use modern protocols like OpenID Connect and OAuth to achieve the best single sign-on experience for your app across multiple device platforms. A OAuth permite que utilizadores ou administradores concedam consentimento para recursos protegidos como o Microsoft Graph.OAuth enables users or admins to grant consent for protected resources like Microsoft Graph. Fornecemos SDKs fáceis de adotar para a sua aplicação e, além disso, a sua aplicação estará pronta para usar o Microsoft Graph.We provide easy to adopt SDKs for your app, and additionally, your app will be ready to use Microsoft Graph.

Para obter mais informações, veja:For more information, see:

SAML SSOSAML SSO

Com um único sinal de SATURA, o Azure AD autentica-se na aplicação utilizando a conta Azure AD do utilizador.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. A Azure AD comunica a informação de inscrição à aplicação através de um protocolo de ligação.Azure AD communicates the sign-on information to the application through a connection protocol. Com um único sign-on baseado em SAML, pode mapear os utilizadores para funções de aplicação específicas com base nas regras que define nas suas alegações SAML.With SAML-based single sign-on, you can map users to specific application roles based on rules you define in your SAML claims.

Escolha o sign-on único baseado em SAML quando a aplicação o suporta.Choose SAML-based single sign-on when the application supports it.

O sign-on único baseado em SAML é suportado para aplicações que usam qualquer um destes protocolos:SAML-based single sign-on is supported for applications that use any of these protocols:

  • SAML 2.0SAML 2.0
  • WS-FederationWS-Federation

Para configurar um pedido SaaS para um único sign-on baseado em SAML, consulte um único sinal baseado em SAML baseado em Configure.To configure a SaaS application for SAML-based single sign-on, see Configure SAML-based single sign-on. Além disso, muitas aplicações de Software como serviço (SaaS) têm um tutorial específico para aplicações que o movem através da configuração para um único sign-on baseado em SAML.Also, many Software as a Service (SaaS) applications have an application-specific tutorial that step you through the configuration for SAML-based single sign-on.

Para configurar um pedido de WS-Federação, siga as mesmas orientações para configurar o pedido de assinatura única baseada em SAML, consulte o sign-on único baseado em Configure SAML.To configure an application for WS-Federation, follow the same guidance to configure application for SAML-based single sign-on, see Configure SAML-based single sign-on. Na etapa para configurar a aplicação para utilizar o Azure AD, terá de substituir o URL de login Azure AD para o ponto final da WS-Federation https://login.microsoftonline.com/<tenant-ID>/wsfed .In the step to configure the application to use Azure AD, you will need to replace the Azure AD login URL for the WS-Federation end-point https://login.microsoftonline.com/<tenant-ID>/wsfed.

Para configurar um pedido no local para um único sign-on baseado em SAML, consulte o auto-sign-on da SAML para aplicações no local com o Application Proxy.To configure an on-premises application for SAML-based single sign-on, see SAML single-sign-on for on-premises applications with Application Proxy.

Para obter mais informações sobre o protocolo SAML, consulte o protocolo SAML de assinatura única.For more information about the SAML protocol, see Single sign-on SAML protocol.

SSO baseado em palavra-passePassword-based SSO

Com o início de s based password, os utilizadores acedem à aplicação com um nome de utilizador e senha na primeira vez que acedem à sua assinatura.With password-based sign-on, users sign on to the application with a username and password the first time they access it. Após o primeiro início de sação, o Azure AD fornece o nome de utilizador e a palavra-passe à aplicação.After the first sign-on, Azure AD supplies the username and password to the application.

O sign-on único baseado em palavra-passe utiliza o processo de autenticação existente fornecido pela aplicação.Password-based single sign-on uses the existing authentication process provided by the application. Quando ativa o sign-on único da palavra-passe para uma aplicação, o Azure AD recolhe e armazena de forma segura os nomes de utilizador e as palavras-passe para a aplicação.When you enable password single sign-on for an application, Azure AD collects and securely stores user names and passwords for the application. As credenciais do utilizador são armazenadas num estado encriptado no diretório.User credentials are stored in an encrypted state in the directory.

Escolha o único sinal de sôm- insi por palavra-passe quando:Choose password-based single sign-on when:

  • Uma aplicação não suporta um único protocolo de inscrição da SAML.An application doesn't support SAML single sign-on protocol.
  • Uma aplicação autentica-se com um nome de utilizador e palavra-passe em vez de acesso a tokens e cabeçalhos.An application authenticates with a username and password instead of access tokens and headers.

Nota

Não é possível aplicar políticas de acesso condicional ou autenticação de vários fatores para SSO baseado em palavras-passe.You cannot apply conditional access policies or multi-factor authentication for password-based SSO.

O único sinal baseado em palavra-passe é suportado para qualquer aplicação baseada na nuvem que tenha uma página de surgiusinseção baseada em HTML.Password-based single sign-on is supported for any cloud-based application that has an HTML-based sign-in page. O utilizador pode utilizar qualquer um dos seguintes navegadores:The user can use any of the following browsers:

  • Internet Explorer 11 no Windows 7 ou mais tardeInternet Explorer 11 on Windows 7 or later

    Nota

    O Internet Explorer está em suporte limitado e já não recebe novas atualizações de software.Internet Explorer is on limited support and no longer receives new software updates. O Microsoft Edge é o navegador recomendado.Microsoft Edge is the recommended browser.

  • Microsoft Edge na Edição de Aniversário do Windows 10 ou mais tardeMicrosoft Edge on Windows 10 Anniversary Edition or later

  • Microsoft Edge para iOS e AndroidMicrosoft Edge for iOS and Android

  • Browser Gerido do IntuneIntune Managed Browser

  • Chrome no Windows 7 ou mais tarde, e no macOS X ou mais tardeChrome on Windows 7 or later, and on macOS X or later

  • Firefox 26.0 ou mais tarde no Windows XP SP2 ou mais tarde, e no macOS X 10.6 ou mais tardeFirefox 26.0 or later on Windows XP SP2 or later, and on macOS X 10.6 or later

Para configurar uma aplicação em nuvem para um único sinal de assinatura baseado em palavra-passe, consulte configurar a palavra-passe de um único sinal.To configure an cloud application for password-based single sign-on, see Configure password single sign-on.

Para configurar um pedido no local para um único sinal de acesso através de Procuração de Aplicação, consulte abotoação de palavra-passe para um único sinal de acesso com procuração de aplicaçãoTo configure an on-premises application for single sign-on through Application Proxy, see Password vaulting for single sign-on with Application Proxy

Como funciona a autenticação para SSO baseado em palavra-passeHow authentication works for password-based SSO

Para autenticar um utilizador numa aplicação, o Azure AD recupera as credenciais do utilizador do diretório e introduz-as na página de inscrição da aplicação.To authenticate a user to an application, Azure AD retrieves the user's credentials from the directory and enters them into the application's sign-on page. O Azure AD passa de forma segura as credenciais do utilizador através de uma extensão do navegador web ou de uma aplicação móvel.Azure AD securely passes the user credentials via a web browser extension or mobile app. Este processo permite que um administrador gere as credenciais dos utilizadores e não exige que os utilizadores se lembrem da sua palavra-passe.This process enables an administrator to manage user credentials, and doesn't require users to remember their password.

Importante

As credenciais são obstinadas do utilizador durante o processo de inscrição automática.The credentials are obfuscated from the user during the automated sign-on process. No entanto, as credenciais são detetáveis utilizando ferramentas de depuragem web.However, the credentials are discoverable by using web-debugging tools. Os utilizadores e administradores devem seguir as mesmas políticas de segurança como se as credenciais fossem inseridas diretamente pelo utilizador.Users and administrators need to follow the same security policies as if credentials were entered directly by the user.

Gestão de credenciais para SSO baseado em palavras-passeManaging credentials for password-based SSO

As palavras-passe de cada aplicação podem ser geridas pelo administrador AD Azure ou pelos utilizadores.Passwords for each application can either be managed by the Azure AD administrator or by the users.

Quando o administrador da AD Azure gere as credenciais:When the Azure AD administrator manages the credentials:

  • O utilizador não precisa de reiniciar ou lembrar-se do nome de utilizador e da palavra-passe.The user doesn't need to reset or remember the user name and password. O utilizador pode aceder à aplicação clicando nela no seu painel de acesso ou através de um link fornecido.The user can access the application by clicking on it in their access panel or via a provided link.
  • O administrador pode fazer tarefas de gestão nas credenciais.The administrator can do management tasks on the credentials. Por exemplo, o administrador pode atualizar o acesso à aplicação de acordo com os membros do grupo de utilizadores e o estado do funcionário.For example, the administrator can update application access according to user group memberships and employee status.
  • O administrador pode usar credenciais administrativas para fornecer acesso a aplicações partilhadas entre muitos utilizadores.The administrator can use administrative credentials to provide access to applications shared among many users. Por exemplo, o administrador pode permitir que todos os que possam aceder a uma aplicação tenham acesso a uma aplicação de partilha de redes sociais ou de partilha de documentos.For example, the administrator can allow everyone who can access an application to have access to a social media or document sharing application.

Quando o utilizador final gere as credenciais:When the end user manages the credentials:

  • Os utilizadores podem gerir as suas palavras-passe atualizando-as ou eliminando-as conforme necessário.Users can manage their passwords by updating or deleting them as needed.
  • Os administradores ainda podem definir novas credenciais para a aplicação.Administrators are still able to set new credentials for the application.

Inscrição ligadaLinked sign-on

O sign-on ligado permite que a Azure AD forneça um único sinal de acesso a uma aplicação que já está configurada para um único sinal de acesso a outro serviço.Linked sign-on enables Azure AD to provide single sign-on to an application that is already configured for single sign-on in another service. A aplicação ligada pode parecer ser utilizadores finais no portal Office 365 ou no portal Azure AD MyApps.The linked application can appear to end users in the Office 365 portal or Azure AD MyApps portal. Por exemplo, um utilizador pode lançar uma aplicação configurada para um único sign-on em Ative Directory Federation Services 2.0 (AD FS) a partir do portal Office 365.For example, a user can launch an application that is configured for single sign-on in Active Directory Federation Services 2.0 (AD FS) from the Office 365 portal. Estão também disponíveis relatórios adicionais para aplicações ligadas que são lançadas a partir do portal Office 365 ou do portal Azure AD MyApps.Additional reporting is also available for linked applications that are launched from the Office 365 portal or the Azure AD MyApps portal. Para configurar um pedido de inscrição ligada, consulte o sign-on ligado ao Configure.To configure an application for linked sign-on, see Configure linked sign-on.

Inscrição ligada para migração de aplicaçõesLinked sign-on for application migration

O s-on ligado pode proporcionar uma experiência consistente do utilizador enquanto migra aplicações durante um período de tempo.Linked sign-on can provide a consistent user experience while you migrate applications over a period of time. Se estiver a migrar aplicações para o Azure Ative Directory, pode utilizar o sign-on ligado para publicar rapidamente links para todas as aplicações que pretende migrar.If you're migrating applications to Azure Active Directory, you can use linked sign-on to quickly publish links to all the applications you intend to migrate. Os utilizadores podem encontrar todos os links no portal MyApps ou no launcher da aplicação Office 365.Users can find all the links in the MyApps portal or the Office 365 application launcher. Os utilizadores não saberão que estão a aceder a uma aplicação ligada ou a uma aplicação migratória.Users won't know they're accessing a linked application or a migrated application.

Uma vez que um utilizador tenha autenticado com uma aplicação ligada, é necessário criar um registo de conta antes de o utilizador final ter acesso único de s.a..Once a user has authenticated with a linked application, an account record needs to be created before the end user is provided single sign-on access. O provisionamento deste registo de conta pode ocorrer automaticamente ou pode ocorrer manualmente por um administrador.Provisioning this account record can either occur automatically, or it can occur manually by an administrator.

Nota

Não é possível aplicar políticas de acesso condicional ou autenticação de vários fatores a uma aplicação ligada.You cannot apply conditional access policies or multi-factor authentication to a linked application. Isto porque uma aplicação ligada não fornece capacidades únicas de inscrição através do Azure AD.This is because a linked application does not provide single sign-on capabilities through Azure AD. Ao configurar uma aplicação ligada, está simplesmente a adicionar um link que aparecerá no lançador de aplicações ou no portal MyApps.When you configure a linked application you are simply adding a link that will appear in the app launcher or MyApps portal.

SSO desativadoDisabled SSO

Modo desativado significa que o único sinal não é utilizado para a aplicação.Disabled mode means single sign-on isn't used for the application. Quando uma única sentique é desativada, os utilizadores podem precisar de autenticar duas vezes.When single sign-on is disabled, users might need to authenticate twice. Primeiro, os utilizadores autenticam a AZure AD e depois fazem o súmis na aplicação.First, users authenticate to Azure AD, and then they sign in to the application.

Utilize o modo de inscrição único desativado:Use disabled single sign-on mode:

  • Se você não está pronto para integrar esta aplicação com Azure AD single sign-on, ouIf you're not ready to integrate this application with Azure AD single sign-on, or
  • Se estiver a testar outros aspetos da aplicação, ouIf you're testing other aspects of the application, or
  • Como uma camada de segurança para uma aplicação no local que não requer que os utilizadores autentem a autenticação.As a layer of security to an on-premises application that doesn't require users to authenticate. Com o desativado, o utilizador precisa de autenticar.With disabled, the user needs to authenticate.

Note que se configurar a aplicação para um único sinal de SSL iniciado pelo SP e alterar o modo SSO para desativar, não impedirá os utilizadores de assinarem a aplicação fora do portal MyApps.Note that if you have configured the application for SP-initiated SAML based single sign-on and you change the SSO mode to disable, it won't stop users from signing to the application outside the MyApps portal. Para isso, é necessário desativar a capacidade de os utilizadores se inscreveremTo achieve this, you need to disable the ability for users to sign-in

Autenticação integrada do Windows (IWA) SSOIntegrated Windows Authentication (IWA) SSO

O Application Proxy fornece um único sign-on (SSO) a aplicações que utilizam aplicações integradas de autenticação do Windows (IWA)ou aplicações com conhecimento de sinistros.Application Proxy provides single sign-on (SSO) to applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Se a sua aplicação utilizar o IWA, o Application Proxy autentica-se na aplicação utilizando a Delegação Restrita Kerberos (KCD).If your application uses IWA, Application Proxy authenticates to the application by using Kerberos Constrained Delegation (KCD). Para uma aplicação consciente de reclamações que confie no Azure Ative Directory, a assinatura única funciona porque o utilizador já foi autenticado utilizando a Azure AD.For a claims-aware application that trusts Azure Active Directory, single sign-on works because the user was already authenticated by using Azure AD.

Escolha o modo integrado de autenticação do Windows single para fornecer um único sinal de acesso a uma aplicação no local que autentica com AAI.Choose Integrated Windows Authentication single sign-on mode to provide single sign-on to an on-premises app that authenticates with IWA.

Para configurar uma aplicação no local para a IWA, consulte a Delegação Restrita Kerberos para um único sinal de inscrição nas suas aplicações com o Application Proxy.To configure an on-premises app for IWA, see Kerberos Constrained Delegation for single sign-on to your applications with Application Proxy.

Como funciona um único sinal com O KCDHow single sign-on with KCD works

Este diagrama explica o fluxo quando um utilizador acede a uma aplicação no local que utiliza a IWA.This diagram explains the flow when a user accesses an on-premises application that uses IWA.

Diagrama de fluxo de autenticação AD do Microsoft Azure

  1. O utilizador entra no URL para aceder à aplicação no local através do Application Proxy.The user enters the URL to access the on premises application through Application Proxy.
  2. Application Proxy redireciona o pedido para serviços de autenticação Azure AD para pré-autorenticato.Application Proxy redirects the request to Azure AD authentication services to preauthenticate. Neste momento, a Azure AD aplica quaisquer políticas de autenticação e autorização aplicáveis, como a autenticação multifactor.At this point, Azure AD applies any applicable authentication and authorization policies, such as multifactor authentication. Se o utilizador for validado, o Azure AD cria um símbolo e envia-o para o utilizador.If the user is validated, Azure AD creates a token and sends it to the user.
  3. O utilizador passa o token para Application Proxy.The user passes the token to Application Proxy.
  4. Application Proxy valida o token e recupera o Nome Principal do Utilizador (UPN) a partir do token.Application Proxy validates the token and retrieves the User Principal Name (UPN) from the token. Em seguida, envia o pedido, a UPN, e o Nome Principal de Serviço (SPN) para o Conector através de um canal seguro duplamente autenticado.It then sends the request, the UPN, and the Service Principal Name (SPN) to the Connector through a dually authenticated secure channel.
  5. O conector utiliza a negociação da Delegação Restrita Kerberos (KCD) com o AD nas instalações, fazendo-se passar pelo utilizador para obter um token Kerberos para a aplicação.The connector uses Kerberos Constrained Delegation (KCD) negotiation with the on premises AD, impersonating the user to get a Kerberos token to the application.
  6. O Ative Directory envia o token Kerberos para a aplicação ao conector.Active Directory sends the Kerberos token for the application to the connector.
  7. O conector envia o pedido original para o servidor de aplicações, utilizando o token Kerberos que recebeu da AD.The connector sends the original request to the application server, using the Kerberos token it received from AD.
  8. A aplicação envia a resposta para o conector, que é depois devolvido ao serviço Application Proxy e, finalmente, ao utilizador.The application sends the response to the connector, which is then returned to the Application Proxy service and finally to the user.

SSO baseado em cabeçalhoHeader-based SSO

Os trabalhos de sinalização único baseados em cabeçalhos para aplicações que utilizam cabeçalhos HTTP para autenticação.Header-based single sign-on works for applications that use HTTP headers for authentication. Este método de inscrição utiliza um serviço de autenticação de terceiros chamado PingAccess.This sign-on method uses a third-party authentication service called PingAccess. Um utilizador só precisa de autenticar a Azure AD.A user only needs to authenticate to Azure AD.

Escolha um único sinal de inscrição baseado no cabeçalho quando o Application Proxy e o PingAccess estiverem configurados para a aplicação.Choose header-based single sign-on when Application Proxy and PingAccess are configured for the application.

Para configurar a autenticação baseada em cabeçalho, consulte a autenticação baseada no cabeçalho para uma única sação com Proxy de aplicação.To configure header-based authentication, see Header-based authentication for single sign-on with Application Proxy.

O que é PingAccess para Azure AD?What is PingAccess for Azure AD?

Utilizando o PingAccess para Azure AD, os utilizadores podem aceder e iniciar súm em aplicações que utilizam cabeçalhos para autenticação.Using PingAccess for Azure AD, users can access and single sign-on to applications that use headers for authentication. A Application Proxy trata estas aplicações como qualquer outra, utilizando o Azure AD para autenticar o acesso e, em seguida, passar o tráfego através do serviço de conector.Application Proxy treats these applications like any other, using Azure AD to authenticate access and then passing traffic through the connector service. Após a autenticação, o serviço PingAccess traduz o token de acesso AZure AD para um formato de cabeçalho que é enviado para a aplicação.After authentication occurs, the PingAccess service translates the Azure AD access token into a header format that is sent to the application.

Os seus utilizadores não notarão nada de diferente quando iniciarem saturação para utilizarem as suas aplicações corporativas.Your users won’t notice anything different when they sign in to use your corporate applications. Ainda podem trabalhar em qualquer lugar em qualquer dispositivo.They can still work from anywhere on any device. Os conectores Application Proxy direcionam o tráfego remoto para todas as aplicações e continuarão a carregar o equilíbrio automaticamente.The Application Proxy connectors direct remote traffic to all applications, and they’ll continue to load balance automatically.

Como consigo uma licença para o PingAccess?How do I get a license for PingAccess?

Uma vez que este cenário é oferecido através de uma parceria entre a Azure AD e o PingAccess, você precisa de licenças para ambos os serviços.Since this scenario is offered through a partnership between Azure AD and PingAccess, you need licenses for both services. No entanto, as subscrições AZURE AD Premium incluem uma licença básica de PingAccess que cobre até 20 aplicações.However, Azure AD Premium subscriptions include a basic PingAccess license that covers up to 20 applications. Se precisar de publicar mais de 20 aplicações baseadas em cabeçalhos, pode adquirir uma licença adicional da PingAccess.If you need to publish more than 20 header-based applications, you can acquire an additional license from PingAccess.

Para mais informações, consulte as edições do Azure Ative Directory.For more information, see Azure Active Directory editions.