Compartir a través de

Autenticación basada en el encabezado para el inicio de sesión único con el proxy de aplicación y PingAccess

Microsoft se ha asociado con PingAccess para proporcionar más aplicaciones de acceso. PingAccess proporciona otra opción más allá del inicio de sesión único integrado basado en encabezados.

¿Qué es PingAccess para Microsoft Entra ID?

Con PingAccess para Microsoft Entra ID, los usuarios pueden acceder y realizar un inicio de sesión único (SSO) en las aplicaciones que usan encabezados para la autenticación. Application Proxy trata a estas aplicaciones como a las demás, usa Microsoft Entra ID para autenticar el acceso y, después, pasa el tráfico a través del servicio de conector. PingAccess se coloca delante de las aplicaciones y convierte el token de acceso de Microsoft Entra ID en un encabezado. Luego, la aplicación recibe la autenticación en un formato que pueda leer.

Los usuarios no notan nada diferente cuando inician sesión para utilizar las aplicaciones corporativas. Las aplicaciones siguen funcionando desde cualquier lugar y en cualquier dispositivo. Los conectores de red privada dirigen el tráfico remoto a todas las aplicaciones sin tener en cuenta su tipo de autenticación, por lo que todavía equilibran las cargas automáticamente.

¿Cómo puedo obtener acceso?

Necesita una licencia para PingAccess e Id. de Microsoft Entra. Sin embargo, las suscripciones de Microsoft Entra ID P1 o P2 incluyen una licencia básica de PingAccess que abarca hasta 20 aplicaciones. Si necesita publicar más de 20 aplicaciones basadas en encabezados, puede adquirir más licencias de PingAccess.

Para obtener más información, vea Ediciones de Microsoft Entra.

Publique su aplicación en Microsoft Entra

En este artículo se describen los pasos para publicar una aplicación por primera vez. En el artículo se proporcionan instrucciones para el proxy de aplicación y PingAccess.

Nota:

Algunas de las instrucciones existen en el sitio de Identidad de ping.

Instalación de un conector de red privada

El conector de red privada es un servicio de Windows Server que dirige el tráfico de los empleados remotos a las aplicaciones publicadas. Para obtener instrucciones de instalación más detalladas, consulte Tutorial: Adición de una aplicación local para el acceso remoto a través del proxy de aplicación en Microsoft Entra ID.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones.
  2. Vaya a Entra ID>Aplicaciones empresariales>Proxy de aplicación.
  3. Seleccione Download connector service (Descargar servicio de conector).
  4. Siga las instrucciones de instalación.

La descarga del conector habilitará automáticamente el proxy de aplicación para su directorio, pero, si no es así, puede seleccionar Habilitar proxy de aplicación.

Adición de la aplicación a Microsoft Entra ID con Application Proxy

Hay dos pasos para agregar la aplicación a Microsoft Entra ID. En primer lugar, debe publicar la aplicación con el proxy de aplicación. Después, debe recopilar información acerca de la aplicación que puede usar en los pasos de PingAccess.

Publicación de la aplicación

En primer lugar, publique la aplicación. Esta acción conlleva lo siguiente:

  • Adición de la aplicación local a Microsoft Entra ID.
  • Designar un usuario para probar la aplicación y seleccionar SSO basado en encabezados.
  • Configurar la dirección URL de redireccionamiento de la aplicación.
  • Conceder permisos para que los usuarios y otras aplicaciones puedan usar la aplicación local.

Para publicar su propia aplicación local:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como administrador de aplicaciones.

  2. Vaya a Aplicaciones empresariales>Nueva aplicación>Agregar una aplicación local. Aparecerá la página Agregar su propia aplicación local .

    Adición de su propia aplicación local

  3. Rellene los campos requeridos con la información de la aplicación nueva. Use las instrucciones para la configuración.

    Nota:

    Para obtener un tutorial más detallado de este paso, consulte Adición de una aplicación local a Microsoft Entra ID.

    1. Dirección URL interna: normalmente se proporciona la dirección URL que le lleva a la página de inicio de sesión de la aplicación cuando se encuentra en la red corporativa. En este escenario, el conector tiene que tratar el proxy de PingAccess como la página principal de la aplicación. Use este formato: https://<host name of your PingAccess server>:<port>. El puerto predeterminado es 3000, pero puedo configurar uno distinto en PingAccess.

      Advertencia

      Para este tipo de inicio de sesión único, la URL interna debe utilizar https y no http. Además, ninguna aplicación debe tener la misma dirección URL interna para que el proxy de aplicación pueda mantener una distinción entre ellas.

    2. Método de autenticación previa: elija Microsoft Entra ID.

    3. Traducir dirección URL en encabezados: elija No.

    Nota:

    Para la primera aplicación, use el puerto 3000 para iniciar y volver a actualizar esta configuración si cambia la configuración de PingAccess. Para las aplicaciones posteriores, el puerto debe coincidir con el agente de escucha configurado en PingAccess.

  4. Seleccione Agregar. Aparecerá la página de información general de la nueva aplicación.

Ahora, designe a un usuario para probar la aplicación y elija un inicio de sesión único basado en encabezado:

  1. En la barra lateral de la aplicación, seleccione Usuarios y grupos>Agregar>usuarios y grupos (<número> seleccionado). Aparece una lista de usuarios y grupos para su selección.

    Muestra la lista de usuarios y grupos

  2. Seleccione un usuario para las pruebas de aplicaciones y seleccione Seleccionar. Asegúrese de que la cuenta de prueba tiene acceso a la aplicación local.

  3. Seleccione Asignar.

  4. En la barra lateral de la aplicación, seleccione Inicio de sesión único>basado en encabezados.

    Sugerencia

    Instale PingAccess la primera vez que utilice el inicio de sesión único basado en encabezados. Para asegurarse de que la suscripción de Microsoft Entra está asociada automáticamente a la instalación de PingAccess, use el vínculo de la página de inicio de sesión único para descargar PingAccess. Puede abrir el sitio de descarga ahora o volver a esta página más adelante.

    Muestra la pantalla de inicio de sesión, que está basada en encabezados, y PingAccess

  5. Seleccione Guardar.

Luego, asegúrese de que la dirección URL de redireccionamiento está establecida en su dirección URL externa:

  1. Vaya a Entra ID>Registros de aplicaciones y seleccione su aplicación.
  2. Seleccione el vínculo junto a URI de redirección. El vínculo muestra la cantidad de configuración de identificadores uniformes de recursos (URI) de redirección para clientes web y públicos. La página nombre de la aplicación - Autenticación aparece.
  3. Compruebe si la dirección URL externa que asignó a la aplicación anteriormente está en la lista URI de redirección . Si no es así, agregue la dirección URL externa ahora, use un tipo de URI de redirección de Web y seleccione Guardar.

Además de la dirección URL externa, se debe agregar a la lista de identificadores URI de redirección un punto de conexión de autorización de Microsoft Entra ID en la dirección URL externa.

https://*.msappproxy.net/pa/oidc/cb https://*.msappproxy.net/

Por último, configure la aplicación local para que los usuarios tengan read acceso y otras aplicaciones tengan read/write acceso:

  1. En la barra lateral Registros de aplicaciones de su aplicación, seleccione Permisos de API>Agregar un permiso>API de Microsoft>Microsoft Graph. Aparece la página Solicitar permisos de API para Microsoft Graph , que contiene los permisos de Microsoft Graph.

    Muestra la página Solicitar permisos de API

  2. Seleccione Permisos delegados>Usuario>User.Read.

  3. Seleccione Permisos de aplicación>Application.ReadWrite.All>.

  4. Seleccione Agregar permisos.

  5. En la página Permisos de API, seleccione Conceder consentimiento del administrador para <el nombre> del directorio.

Recopilación de información para los pasos de PingAccess

Recopile tres identificadores únicos globales (GUID). Use los GUID para configurar la aplicación con PingAccess.

Nombre del campo Microsoft Entra Nombre del campo de PingAccess Formato de datos
Id. de aplicación (cliente) Id. de cliente Identificador Único Global (GUID)
Id. de directorio (inquilino) Emisor Identificador Único Global (GUID)
PingAccess key Secreto de cliente Cadena aleatoria

Para recopilar esta información:

  1. Vaya a Entra ID>Registros de aplicaciones y seleccione su aplicación.

  2. Junto al valor del Id. de aplicación (cliente), selecciona el icono Copiar en el portapapeles, y luego cópialo para guardarlo. Especificaremos este valor más adelante como el identificador de cliente de PingAccess.

  3. A continuación, junto al valor Id. de directorio (inquilino), seleccione Copiar en el Portapapeles. Luego, cópielo y guárdelo. Especificaremos este valor más adelante como el emisor de PingAccess.

  4. En la barra lateral de los registros de aplicaciones de la aplicación, seleccione Certificados y secretos>Nuevo secreto de cliente. Aparece la página Agregar un secreto de cliente.

    Muestra la página Agregar un secreto de cliente

  5. En Descripción, escriba PingAccess key.

  6. En Vencimiento, elija cómo establecer la clave de PingAccess: En 1 año, En 2 años o Nunca.

  7. Seleccione Agregar. La clave PingAccess aparece en la tabla de secretos de cliente, con una cadena aleatoria que se rellena automáticamente en el campo VALUE .

  8. Junto al campo VALOR de la clave PingAccess, seleccione el icono Copiar en el Portapapeles y cópielo y guárdelo. Especificaremos este valor más adelante como el secreto de cliente de PingAccess.

Actualice el acceptMappedClaims campo:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones.
  2. En la esquina superior derecha, seleccione su nombre de usuario. Compruebe que ha iniciado sesión en el directorio que usa el proxy de aplicación. Si necesita cambiar los directorios, seleccione Cambiar directorio y elija un directorio que use el proxy de aplicación.
  3. Vaya a Entra ID>Registros de aplicaciones y seleccione su aplicación.
  4. En la barra lateral de la página Registros de aplicaciones de la aplicación, seleccione Manifiesto. Aparece el código JSON del manifiesto correspondiente al registro de la aplicación.
  5. Busque el campo acceptMappedClaims y cambie el valor a True.
  6. Seleccione Guardar.

Usar notificaciones opcionales (opcionales)

Las notificaciones opcionales permiten agregar notificaciones estándar (pero no incluidas de forma predeterminada) que cada usuario e inquilino tienen. Puede configurar notificaciones opcionales de la aplicación al modificar el manifiesto de esta. Para obtener más información, consulte el artículo Descripción del manifiesto de aplicación de Microsoft Entra.

Ejemplo de cómo incluir la dirección de correo electrónico en el access_token que PingAccess va a consumir:

    "optionalClaims": {
        "idToken": [],
        "accessToken": [
            {
                "name": "email",
                "source": null,
                "essential": false,
                "additionalProperties": []
            }
        ],
        "saml2Token": []
    },

Uso de una directiva de asignación de notificaciones (opcional)

La asignación de notificaciones permite migrar aplicaciones locales antiguas a la nube agregando más notificaciones personalizadas que respaldan los objetos de usuario o los servicios de federación de Active Directory (ADFS). Para obtener más información, consulte Personalización de notificaciones.

Para usar una notificación personalizada e incluir más campos en la aplicación. Creó una directiva de asignación de reclamaciones personalizada y la asignó a la aplicación.

Nota:

Para usar una notificación personalizada, también debe tener una directiva personalizada definida y asignada a la aplicación. Esta directiva debe incluir todos los atributos personalizados necesarios.

La asignación y definición de directivas se pueden realizar a través de PowerShell o Microsoft Graph. Si los está haciendo en PowerShell, primero debe usar New-AzureADPolicy y luego asignarlo a la aplicación con Add-AzureADServicePrincipalPolicy. Para obtener más información, consulte Asignación de la directiva de mapeo de reclamaciones.

Ejemplo:

$pol = New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"employeeid","JwtClaimType":"employeeid"}]}}') -DisplayName "AdditionalClaims" -Type "ClaimsMappingPolicy"

Add-AzureADServicePrincipalPolicy -Id "<<The object Id of the Enterprise Application you published in the previous step, which requires this claim>>" -RefObjectId $pol.Id

Permitir a PingAccess usar notificaciones personalizadas

Permitir que PingAccess use notificaciones personalizadas es opcional, si bien necesario si se espera que la aplicación consuma notificaciones adicionales.

Al configurar PingAccess en el paso siguiente, la sesión web que cree (Settings-Access-Web>> Sessions) debe tener el perfil de solicitud deseleccionado y Actualizar atributos de usuario establecidos en No.

Descarga de PingAccess y configuración de la aplicación

Los pasos detallados de la parte de PingAccess de este escenario se pueden encontrar en la documentación de Ping Identity.

Para configurar una conexión OpenID Connect (OIDC) de Microsoft Entra ID, establezca un proveedor de tokens con el valor de ID de directorio (tenant) que copió del Centro de administración de Microsoft Entra. Cree una sesión web en PingAccess. Use los Application (client) ID valores y PingAccess key. Configure la asignación de identidades y cree un host virtual, un sitio y una aplicación.

Prueba de la aplicación

La aplicación está en funcionamiento. Para probarlo, abra un navegador y navegue hasta la URL externa que creó al publicar la aplicación en Microsoft Entra. Inicie sesión con la cuenta de prueba que asignó a la aplicación.

Pasos siguientes