Milhares de aplicações, uma identidadeThousands of apps, one identity

O Azure Active Directory (Azure AD) faz com que os seus utilizadores sejam mais produtivos ao proporcionar uma identidade comum para utilizadores do software como aplicações de serviço (SaaS) a aceder a recursos na cloud e no local.Azure Active Directory (Azure AD) makes your users more productive by providing a common identity for users of software as a service (SaaS) applications accessing both cloud and on-premises resources.

O Azure AD integra-se com muitas das aplicações SaaS populares atuais, tais como o Box, Twitter, ServiceNow, DocuSign, Workday e muito mais.Azure AD integrates with many of today’s popular SaaS applications such as, Box, Twitter, ServiceNow, DocuSign, Workday, and many more. Suporta a autenticação e identidade do início de sessão único (SSO) e protege a gestão de acesso às aplicações a partir de qualquer dispositivo de forma segura e fiável.It supports single sign-on (SSO) authentication, identity, and secures access management to applications from any device in a secured and reliable way.

Como pode o Enterprise Mobility + Security ajudá-lo?How can Enterprise Mobility + Security help you?

O Enterprise Mobility + Security (EMS) é a única solução na cloud abrangente que protege de forma nativa os dados empresariais no próprio dispositivo e além deste com quatro camadas de proteção em várias identidades, dispositivos, aplicações e dados.Enterprise Mobility + Security (EMS) is the only comprehensive cloud solution that natively protects corporate data on the device itself and beyond with four layers of protection across identities, devices, apps, and data. O EMS ajuda-o a resolver um dos principais desafios no mundo empresarial onde a utilização de dispositivos móveis e da cloud é uma prioridade – proporcionar uma única identidade que funciona em qualquer aplicação baseada na Web na indústria:EMS helps you solve one of the key challenges in the mobile-first, cloud-first world – provide a single identity that works across any web-based apps in the industry:

  • Experiência de autenticação totalmente integrada ligada à cloudCloud-connected seamless authentication experience
  • Início de sessão único para 1000 aplicações pré-integradas ou as suas próprias aplicaçõesSingle sign-on to 1000 pre-integrated apps or your own apps
  • Acesso remoto seguro às aplicações no localSecure remote access to on-premises apps
  • Suporte para "lift and shift'' (adequar e migrar) para a cloudSupport to lift-and-shift to the cloud

O Azure AD é uma solução de gestão de acesso e identidade da cloud que pode proporcionar às organizações o acesso a tudo o que precisam a partir de qualquer lugar – de forma segura e produtiva – em colaboração com os investimentos existentes de ferramentas tradicionais.Azure AD is a cloud identity and access management solution that can provide organizations with access to everything they need from everywhere – in a secure and productive way – in collaboration with existing investments on traditional tools.

Acesso a aplicações de início de sessão únicoAccess to single sign-on applications

Antes do início de sessão único, os administradores de TI tinham de gerir utilizadores e palavras-passe diferentes para todas as aplicações diferentes que as organizações tinham de suportar:Before single sign-on, IT admins had to manage different users and passwords for all different applications that organizations had to support:

  • Os utilizadores introduzem um nome de utilizador e uma palavra-passe em cada aplicação que utilizamUsers enter a username and password into each app they use
  • Os utilizadores gerem demasiadas palavras-passeUsers manage too many passwords
  • A reutilização de palavras-passe é comumPassword re-use is common
  • A revogação do acesso é muito difícilRevoking access is very difficult

De acordo com uma investigação recente, 63% dos casos de violações de dados confirmadas envolveram palavras-passe fracas, predefinidas ou roubadas.According to recent research, 63% of confirmed data breaches involved weak, default, or stolen passwords.

O início de sessão único permite aos utilizadores acederem a todas as aplicações e recursos de que precisam para fazer negócios ao iniciar sessão apenas uma vez através de uma única conta de utilizador.Single sign-on lets users access all the applications and resources they need to do business by signing in only once using a single user account. Depois de iniciarem a sessão, os utilizadores podem aceder a todas as aplicações de que precisam sem terem de fazer a autenticação (por exemplo, escrever uma palavra-passe) uma segunda vez.Once signed in, users can access all the applications they need without being required to authenticate (e.g. type a password) a second time.

O Azure AD suporta três tipos de autenticação de início de sessão único:Azure AD supports three types of single sign-on authentication:

  • Início de Sessão Único do Microsoft Azure AD: esta opção utiliza o início de sessão federado para permitir que os utilizadores iniciem sessão automaticamente nas aplicações de terceiros, tal como o Salesforce, através das informações de conta de utilizador do Azure AD.Microsoft Azure AD Single Sign-on: This option uses federated sign on to let users automatically sign in to the third-party applications, such as Salesforce, using the user account information from Azure AD.
  • Palavra-passe de Início de Sessão Único: Esta opção permite aos utilizadores iniciarem automaticamente a sessão na aplicação SaaS de terceiros pelo Azure AD através das informações de conta de utilizador de terceiros.Password Single Sign-On: This option enables users to be automatically signed in to the third-party SaaS application by Azure AD using the third-party user account information.
  • Início de Sessão Único Existente: Esta opção suporta o início de sessão único para empresas SaaS de terceiros através de Serviços de Federação do Active Directory (ADFS) ou outro fornecedor início de sessão único de terceiros.Existing Single Sign-on: This option supports single sign-on to third-party SaaS companies using Active Directory Federation Services (ADFS), or another third-party single sign-on provider.

Como funciona o início de sessão únicoHow single sign-on works

O Azure AD suporta o início de sessão único com aplicações que suportam qualquer um destes protocolos padrão:Azure AD supports single sign-on with apps that support any of these standard protocols:

  • SAML 2.0SAML 2.0
  • OAuth 2.0 / OpenID ConnectOAuth 2.0 / OpenID Connect
  • WS-FederationWS-Federation

Uma aplicação é configurada para utilizar o Azure AD como o respetivo fornecedor de identidade.An application gets configured to use Azure AD as its identity provider. Depois de configurada, a aplicação já não precisa da introdução direta do nome de utilizador/palavra-passe e, em vez disso, redireciona para o fornecedor de identidade para fins de autenticação:Once configured, the app no longer requires direct username/password input, and instead redirects to the identity provider for authentication:

Gráfico com as confianças configuradas entre o Azure AD e diferentes aplicações.

Ainda preciso dos Serviços de Federação do Azure Active Directory?Do I still need Azure Active Directory Federation Services (ADFS)?

Sim.Yes. Uma ligação de ADFS ao Azure AD proporciona-lhe um início de sessão único totalmente integrado a partir de máquinas associadas a um domínio:One ADFS connection to Azure AD gives you seamless single sign-on from domain joined machines:

  • Os utilizadores não veem qualquer página de início de sessão baseada na WebUsers see no web-based sign-in page
  • As fidedignidades das aplicações individuais são geridas no Azure ADIndividual application trusts are managed in Azure AD

Gráfico que mostra como os Serviços de Federação do Azure Active Directory estabelecem ligação ao Azure AD para proporcionar um início de sessão único totalmente integrado para muitas aplicações.

E se uma aplicação não suportar o início de sessão único federado?What if an app doesn’t support federated single sign-on?

O SSO baseado em palavra-passe é a melhor solução para as aplicações que não suportam SAML/OpenID e apenas suportam a introdução de nomes de utilizador e palavras-passe num formulário Web.Password-Based SSO is the best solution for apps that don’t support SAML/OpenID and only support entering usernames and passwords in a web form.

  • Permite que os conjuntos de credenciais específicos de aplicações sejam definidos e armazenados no Azure ADEnables application-specific sets of credentials to be defined and stored in Azure AD
  • As credenciais podem ser atribuídas a utilizadores ou grupos para um acesso partilhadoCredentials can be assigned to users or groups for shared access

Aprovisionamento da conta de utilizadorUser account provisioning

O aprovisionamento da conta de utilizador é o ato de criar, atualizar e/ou desativar os registos da conta de utilizador no arquivo de perfis de utilizador local de uma aplicação.User account provisioning is the act of creating, updating, and/or disabling user account records in an application’s local user profile store. A maioria das aplicações SaaS armazena a função e as permissões do utilizador no próprio arquivo de perfis de utilizador local.Most SaaS apps store the user’s role and permissions in their own local user profile store.

O serviço de aprovisionamento do Azure AD estabelece ligação a uma API de gestão de utilizadores soap/rest API proporcionada numa base por aplicação, que adiciona, atualiza e desativa as contas de utilizador.Azure AD provisioning service connects to a soap/rest user management API provided on a per app basis, which adds, updates, and disables user accounts. Suporta a sincronização de grupos e os perfis/funções também podem ser importados a partir da aplicação para o Azure AD.It supports group syncing, and profiles/roles can also be imported from the app into Azure AD.

Gráfico que mostra como o serviço de aprovisionamento do Azure AD estabelece ligação à API de gestão de utilizadores soap/rest.

A experiência do utilizador finalThe end-user experience

O Painel de Acesso de Aplicações é um portal interdispositivo e de acesso através de vários browsers, acessível através do iOS, Android, Mac e Windows.The Applications Access Panel is a cross-device and cross-browser portal, accessible using iOS, Android, Mac, and Windows. Para aceder ao Painel de Acesso, os utilizadores autenticam-se no Azure AD uma vez, veem a lista de Aplicações às quais têm acesso aos e podem iniciar a aplicação com apenas um clique a partir daí.To reach the Access Panel, users authenticate against Azure AD once, then see the list of Applications they have access to, and can launch the app with just a click from there. Se a aplicação foi configurada para SSO pelo administrador, os utilizadores não precisam de se autenticarem novamente para acederem à aplicação: o início de sessão único tratará da autenticação automaticamente.If the application was configured for SSO by the administrator, the users don’t need to re-authenticate to access the application: single sign-on will take care of the authentication automatically.

Trazer as suas próprias aplicaçõesBring your own apps

A galeria de aplicações do Azure AD possui milhares de aplicações que pode adicionar à sua organização, mas se não conseguir localizar uma aplicação de terceiros, continua a poder adicioná-la como uma aplicação personalizada para a sua organização utilizar.Azure AD application gallery features thousands of applications that you can add to your organization, but if you cannot find a third-party application, you can add still add it as a custom app for your organization to use.

Pode integrar praticamente qualquer aplicação baseada na Web que tenha um mecanismo de autenticação com base no nome de utilizador e palavra-passe, quer esteja ou não listado na galeria de aplicações do Azure.You can onboard just about any web-based application that has a user name and password based authentication mechanism, whether they are listed in the Azure application gallery or not.

Captura de ecrã que mostra como utilizar a galeria de aplicações do Azure AD para adicionar uma aplicação à sua organização.

Acesso remoto seguro às aplicações no localSecure remote access to on-premises apps

O Proxy de Aplicações do Azure AD proporciona o início de sessão único (SSO) e o acesso remoto seguro para aplicações Web alojadas no local.Azure AD Application Proxy provides single sign-on (SSO) and secure remote access for web applications hosted on-premises. Estas aplicações podem incluir sites do SharePoint, Outlook Web Access ou quaisquer outras aplicações Web LOB que tenha.This can include SharePoint sites, Outlook Web Access, or any other LOB web applications you have. Estas aplicações Web no local são integradas no Azure AD, a mesma plataforma de controlo e identidade utilizada pelo O365.These on-premises web applications are integrated with Azure AD, the same identity and control platform that is used by O365.

Os utilizadores finais podem, em seguida, aceder às suas aplicações no local da mesma forma que acedem ao O365 e a outras aplicações SaaS integradas no Azure AD, sem precisar de uma VPN ou de alterar a infraestrutura de rede.End users can then access your on-premises applications the same way they access O365 and other SaaS apps integrated with Azure AD, without the need for a VPN or for changing the network infrastructure.

Como implementar esta soluçãoHow to implement this solution

Os passos seguintes descrevem como implementar cada capacidade do Azure AD debatida anteriormente.The following steps describe how to implement each Azure AD capability previously discussed. Cada ligação representa um conjunto diferente de artigos com um conjunto diferente de instruções/passos a implementar na sua organização:Each link represents a different set of articles with a different set of instructions/steps to be implemented in your organization:

  1. Ativar o início de sessão único com o proxy de aplicações.Enable single sign-on with application proxy.
  2. Fornecer acesso remoto seguro às aplicações no local.Provide secure remote access to on-premises applications.
  3. Colocar as suas próprias aplicações no Azure AD.Bring your own apps to Azure AD.

Recursos adicionaisAdditional resources