Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El proxy de aplicación de Microsoft Entra admite de forma nativa el acceso de inicio de sesión único (SSO) a las aplicaciones que usan encabezados para la autenticación. Configura los valores de encabezado requeridos por tu aplicación en Microsoft Entra ID. Los valores de encabezado se envían a la aplicación a través del proxy de aplicación. Entre las ventajas de usar el soporte nativo para la autenticación basada en encabezados con el proxy de aplicación se incluyen:
Simplifique el acceso remoto a las aplicaciones locales : el proxy de aplicación simplifica la arquitectura de acceso remoto existente. Se reemplaza el acceso mediante red privada virtual (VPN) a estas aplicaciones. Se quitan las dependencias de las soluciones de identidad locales para la autenticación. Simplifica la experiencia de los usuarios y no observa nada diferente cuando usan aplicaciones corporativas. Los usuarios pueden trabajar desde cualquier lugar en cualquier dispositivo.
Sin software adicional ni cambios en las aplicaciones : usa los conectores de red privada existentes. No se requiere software adicional.
Amplia lista de atributos y transformaciones disponibles: todos los valores de encabezado disponibles se basan en notificaciones estándar que emite Microsoft Entra ID. Todos los atributos y transformaciones disponibles para configurar reclamaciones en aplicaciones que usan el Lenguaje de marcado de aserción de seguridad (SAML) u OpenID Connect (OIDC) también están disponibles como valores de encabezado.
Prerrequisitos
Habilite el proxy de aplicación e instale un conector que tenga acceso directo a la red a las aplicaciones. Para más información, consulte Incorporación de una aplicación local para el acceso remoto a través del proxy de aplicación.
Capacidades compatibles
En la tabla se enumeran las funcionalidades comunes necesarias para las aplicaciones de autenticación basadas en encabezados.
| Requisito | Descripción |
|---|---|
| SSO federado | En modo autenticado previamente, todas las aplicaciones están protegidas con la autenticación de Microsoft Entra y los usuarios tienen inicio de sesión único. |
| Acceso remoto | El proxy de aplicación proporciona acceso remoto a la aplicación. Los usuarios acceden a la aplicación desde Internet en cualquier explorador web mediante el localizador uniforme de recursos externo (URL). El proxy de aplicación no está pensado para el acceso corporativo general. Para obtener acceso corporativo general, consulte Microsoft Entra Private Access. |
| Integración basada en encabezados | El proxy de aplicación controla la integración del inicio de sesión único con Microsoft Entra ID y, a continuación, pasa la identidad u otros datos de aplicación como encabezados HTTP a la aplicación. |
| Autorización de aplicaciones | Las directivas comunes se especifican en función de la aplicación a la que se accede, la pertenencia a grupos del usuario y otras directivas. En Microsoft Entra ID, las directivas se implementan mediante acceso condicional. Las directivas de autorización de aplicaciones solo se aplican a la solicitud de autenticación inicial. |
| Autenticación de actualización a edición superior | Las directivas se definen para forzar la autenticación agregada, por ejemplo, para obtener acceso a recursos confidenciales. |
| Autorización específica | Proporciona control de acceso en el nivel de dirección URL. Las directivas adicionales se pueden aplicar en función de la dirección URL a la que se accede. La dirección URL interna configurada para la aplicación define el ámbito de la aplicación a la que se aplica la directiva. Se aplica la directiva configurada para la ruta de acceso más pormenorizada. |
Nota:
En este artículo, se describe la conexión entre las aplicaciones con autenticación basada en encabezados y Microsoft Entra ID mediante el proxy de aplicación y es el patrón recomendado. Como alternativa, hay un patrón de integración que usa PingAccess con Microsoft Entra ID para habilitar la autenticación basada en encabezados. Para obtener más información, consulte Autenticación basada en encabezados para el inicio de sesión único con un proxy de aplicación y PingAccess.
Cómo funciona
- El administrador personaliza las asignaciones de atributos requeridas por la aplicación en el centro de administración de Microsoft Entra.
- El proxy de aplicación garantiza que un usuario se autentique mediante el identificador de Microsoft Entra.
- El servicio en la nube del proxy de aplicación es consciente de los atributos necesarios. Por lo tanto, el servicio captura las notificaciones correspondientes del token de identificación recibido durante la autenticación. A continuación, el servicio traduce los valores en los encabezados HTTP necesarios como parte de la solicitud al conector.
- Luego, la solicitud se pasa al conector que, a su vez, la pasa a la aplicación de back-end.
- La aplicación recibe los encabezados y puede usarlos según sea necesario.
Publicación de la aplicación con el proxy de aplicación
Publique la aplicación según las instrucciones descritas en Publicación de aplicaciones con proxy de aplicación.
- El valor de dirección URL interna determina el ámbito de la aplicación. Si configura el valor de la dirección URL interna en la ruta de acceso raíz de la aplicación, todas las subrutas situadas debajo de la raíz reciben la misma configuración de encabezado y de aplicación.
- Cree una nueva aplicación para establecer otra asignación de usuario o configuración de encabezado para una ruta de acceso más pormenorizada que la aplicación que ha configurado. En la nueva aplicación, configure la dirección URL interna con la ruta de acceso específica que necesita y luego configure los encabezados concretos necesarios para esta dirección URL. El proxy de aplicación siempre ajusta tu configuración a la ruta de acceso más específica establecida para una aplicación.
Seleccione Microsoft Entra ID como el método de autenticación previa.
Para asignar un usuario de prueba, vaya a Usuarios y grupos y asigne los usuarios y grupos adecuados.
Abra un explorador y vaya a la dirección URL externa desde la configuración del proxy de aplicación.
Compruebe que puede conectarse a la aplicación. Aunque pueda conectarse, aún no puede acceder a la aplicación, ya que los encabezados no están configurados.
Configurar inicio de sesión único
Antes de empezar a trabajar con el inicio de sesión único para aplicaciones basadas en encabezados, instale un conector de red privado. El conector debe poder acceder a las aplicaciones de destino. Para obtener más información, consulte Tutorial: Proxy de aplicación de Microsoft Entra.
- Cuando la aplicación aparezca en la lista de aplicaciones empresariales, selecciónela y, luego, seleccione Inicio de sesión único.
- Establezca el modo de inicio de sesión único en Basado en encabezados.
- En Configuración básica, El identificador de Entra de Microsoft está seleccionado como valor predeterminado.
- Seleccione el lápiz de edición, en Encabezados para configurar los encabezados que se van a enviar a la aplicación.
- Seleccione Agregar nuevo encabezado. Proporcione un nombre para el encabezado y seleccione Atributo o Transformación y seleccione en la lista desplegable que necesita la aplicación.
- Para obtener más información sobre la lista de atributos disponibles, vea Personalización de notificaciones: atributos.
- Para obtener más información sobre la lista de transformaciones disponibles, vea Personalización de notificaciones: transformaciones.
- Puede agregar un encabezado de grupo. Para obtener más información sobre la configuración de grupos como un valor, vea: Configuración de notificaciones de grupos para aplicaciones.
- Haga clic en Guardar.
Prueba de la aplicación
La aplicación ahora se está ejecutando y está disponible. Para probar la aplicación:
- Borre los encabezados previamente almacenados en caché abriendo una nueva ventana del explorador o del explorador privado.
- Acceda al enlace externo. Puede encontrar esta configuración como Dirección URL externa en la configuración del proxy de aplicación.
- Inicie sesión con la cuenta de prueba que asignó a la aplicación.
- Verifique que puede cargar e iniciar sesión en la aplicación mediante SSO.
Consideraciones
- El proxy de aplicación proporciona acceso remoto a las aplicaciones locales o en una nube privada. No se recomienda el proxy de aplicación para el tráfico que se origina dentro de la misma red que la aplicación prevista.
- El acceso a las aplicaciones de autenticación basada en encabezados se debe restringir solo al tráfico del conector u otra solución de autenticación basada en encabezados permitida. La restricción de acceso se realiza normalmente mediante un firewall o una restricción de IP en el servidor de aplicaciones.