Entender aplicativos complexos no proxy de aplicativo do Microsoft Entra

Os aplicativos geralmente são compostos por vários aplicativos Web individuais. Essas situações usam sufixos de domínio diferentes ou portas ou caminhos diferentes na URL. As instâncias individuais do aplicativo Web devem ser publicadas em aplicativos do proxy de aplicativo do Microsoft Entra separados. Nessas situações, os seguintes problemas podem surgir:

• Pré-autenticação: O cliente deve adquirir separadamente um token de acesso ou cookie para cada aplicativo proxy de aplicativo do Microsoft Entra. As múltiplas aquisições levam a mais redirecionamentos ao entrar no microsoftonline.com.
• CORS (Compartilhamento de Recursos entre Origens): As chamadas CORS, usando o OPTIONS método, são usadas para validar o acesso à URL entre o aplicativo Web do chamador e o aplicativo Web de destino. O serviço de nuvem proxy de aplicativo do Microsoft Entra bloqueia essas chamadas. O bloqueio ocorre porque as solicitações não podem conter informações de autenticação.
• Gerenciamento de aplicativos ruim: Vários aplicativos empresariais são criados para habilitar o acesso a um aplicativo privado adicionando atrito à experiência de gerenciamento de aplicativos.

A figura a seguir mostra um exemplo de estrutura complexa de domínio do aplicativo.

Com o proxy de aplicativo do Microsoft Entra , você pode abordar esse problema usando publicações complexas de aplicativos compostas por várias URLs em vários domínios.

Um aplicativo complexo tem vários segmentos de aplicativo. Cada segmento de aplicativo tem uma URL interna e externa. Uma política de Acesso Condicional está associada ao aplicativo. O acesso a qualquer uma das URLs externas funciona com pré-autenticação com o mesmo conjunto de políticas. Essas políticas são impostas para todos os segmentos de aplicativo.

Aplicativos complexos oferecem vários benefícios:

• Autenticação do usuário
• Mitigação de problemas de CORS
• Acesso a sufixos de domínio diferentes ou portas ou caminhos diferentes na URL interna

Este artigo mostra como configurar a publicação de aplicativos curinga em seu ambiente.

Características dos segmentos de aplicativos para aplicativos complexos.

• Os segmentos de aplicativo são configurados apenas como um aplicativo curinga.
• A URL externa e alternativa deve corresponder ao domínio da URL externa e alternativa curinga do aplicativo, respectivamente.
• A URL do segmento do aplicativo (interna e externa) precisa manter a exclusividade entre aplicativos complexos.
• As regras CORS (opcional) podem ser configuradas por segmento de aplicativo.
• O acesso só é concedido a segmentos de aplicativos definidos para um aplicativo complexo.

  Observação

  Se você excluir todos os segmentos de aplicativo, o aplicativo complexo atuará como um aplicativo curinga, permitindo o acesso a qualquer URL válida no domínio especificado.

• Você pode ter uma URL interna definida como um segmento de aplicativo e um aplicativo regular.

  Observação

  Os aplicativos regulares sempre têm precedência sobre um aplicativo complexo (aplicativo curinga).

Pré-requisitos

• Habilite o proxy de aplicativo e instale um conector que tenha linha de visão para seus aplicativos. Confira o tutorial Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo para saber como preparar seu ambiente local, instalar e registrar um conector e testar o conector.

Configure segmentos de aplicativo para aplicativos complexos.

Para publicar um aplicativo distribuído complexo por meio do proxy de aplicativo com segmentos de aplicativo:

1. Criar um aplicativo curinga.

2. Na página de configurações básicas do proxy de aplicativo, selecione Adicionar segmentos de aplicativo.

   

3. Na página gerenciar e configurar segmentos de aplicativos, selecione + Adicionar segmento de aplicativo.

   

4. Insira a URL Interna.

5. Selecione um domínio personalizado na lista suspensa do URL externo.

6. Adicionar regras de CORS (opcional). Para obter mais informações, consulte Configurando a regra CORS.

7. Selecione Criar.

   

8. Atribua usuários ao aplicativo.

Para editar/atualizar um segmento de aplicativo, selecione o segmento de aplicativos na lista na página gerenciar e configurar segmentos de aplicativos. Carregue um certificado para o domínio atualizado, se necessário, e atualize o registro DNS (Sistema de Nomes de Domínio).

Configurando o SSO (logon único)

Atualizações DNS

Ao usar domínios personalizados, crie uma entrada DNS com um registro CNAME para a URL externa. Por exemplo, aponte *.adventure-works.com para a URL externa do endpoint do proxy da aplicação. Para aplicativos curinga, aponte o registro CNAME ao URL externo relevante: <yourAADTenantId>.tenant.runtime.msappproxy.net.

Como alternativa, uma entrada DNS dedicada com um registro CNAME para cada segmento de aplicativo individual pode ser criada da seguinte maneira:

External URL of the application segment > <yourAADTenantId>.tenant.runtime.msappproxy.net

Além disso, é necessário adicionar um registro CNAME para a ID do aplicativo na mesma zona DNS:

<yourAppId> > <yourAADTenantId>.tenant.runtime.msappproxy.net

Se o grupo de conectores atribuído ao Aplicativo Complexo não estiver na região do grupo de conectores padrão, um dos seguintes sufixos de domínio deverá ser usado nas entradas DNS:

Para obter instruções mais detalhadas sobre o proxy de aplicativo, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo na ID do Microsoft Entra.

Próximas etapas

• Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo na ID do Microsoft Entra
• Como planejar uma implantação de proxy de aplicativo do Microsoft Entra
• Entender o acesso remoto a aplicativos locais por meio do proxy de aplicativo do Microsoft Entra
• Entender e resolver problemas de CORS do proxy de aplicativo do Microsoft Entra