Aplicativos curinga no proxy de aplicativo Microsoft Entra

No Microsoft Entra ID, a configuração de um grande número de aplicativos locais pode rapidamente se tornar incontrolável e introduz riscos desnecessários para erros de configuração se muitos deles exigirem as mesmas configurações. Com o proxy de aplicativo Microsoft Entra, você pode resolver esse problema usando a publicação de aplicativo curinga para publicar e gerenciar muitos aplicativos de uma só vez. Esta é uma solução que lhe permite:

• Simplifique suas despesas gerais administrativas
• Reduzir o número de possíveis erros de configuração
• Permita que seus usuários acessem com segurança mais recursos

Este artigo fornece as informações necessárias para configurar a publicação de aplicativos curinga em seu ambiente.

Criar um aplicativo curinga

Você pode criar um aplicativo curinga (*) se tiver um grupo de aplicativos com a mesma configuração. Os candidatos potenciais para um aplicativo curinga são aplicativos que compartilham as seguintes configurações:

• O grupo de usuários que têm acesso a eles
• O método SSO
• O protocolo de acesso (http, https)

Você pode publicar aplicativos com curingas se as URLs internas e externas estiverem no seguinte formato:

Disponível em: http(s)://*.<domínio>

Por exemplo: http(s)://*.adventure-works.com.

Embora as URLs internas e externas possam usar domínios diferentes, como prática recomendada, elas devem ser as mesmas. Ao publicar o aplicativo, você verá um erro se uma das URLs não tiver um curinga.

A criação de um aplicativo curinga é baseada no mesmo fluxo de publicação de aplicativo disponível para todos os outros aplicativos. A única diferença é que você inclui um curinga nas URLs e, potencialmente, na configuração de SSO.

Pré-requisitos

Para começar, certifique-se de que cumpriu estes requisitos.

Domínios personalizados

Embora os domínios personalizados sejam opcionais para todos os outros aplicativos, eles são um pré-requisito para aplicativos curinga. A criação de domínios personalizados requer que você:

1. Crie um domínio verificado no Azure.
2. Carregue um certificado TLS/SSL no formato PFX para o proxy do aplicativo.

Você deve considerar o uso de um certificado curinga para corresponder ao aplicativo que você planeja criar.

Por motivos de segurança, esse é um requisito rígido e não suportaremos curingas para aplicativos que não podem usar um domínio personalizado para a URL externa.

Atualizações de DNS

Ao usar domínios personalizados, você precisa criar uma entrada DNS com um registro CNAME para a URL externa (por exemplo, *.adventure-works.com) apontando para a URL externa do ponto de extremidade do proxy do aplicativo. Para aplicativos curinga, o registro CNAME precisa apontar para a URL externa relevante:

<yourAADTenantId>.tenant.runtime.msappproxy.net

Para confirmar que você configurou seu CNAME corretamente, você pode usar nslookup em um dos pontos de extremidade de destino, por exemplo, expenses.adventure-works.com. A sua resposta deve incluir o alias já mencionado (<yourAADTenantId>.tenant.runtime.msappproxy.net).

Usando grupos de conectores atribuídos a uma região de serviço de nuvem de proxy de aplicativo diferente da região padrão

Se você tiver conectores instalados em regiões diferentes da sua região de locatário padrão, é benéfico alterar para qual região seu grupo de conectores está otimizado para melhorar o desempenho acessando esses aplicativos. Para saber mais, consulte Otimizar grupos de conectores para usar o serviço de nuvem de proxy de aplicativo mais próximo.

Se o grupo de conectores atribuído ao aplicativo curinga usar uma região diferente da sua região padrão, você precisará atualizar o registro CNAME para apontar para uma URL externa específica regional. Use a tabela a seguir para determinar a URL relevante:

Considerações

Aqui estão algumas considerações que você deve levar em conta para aplicativos curinga.

Formatos aceites

Para aplicativos curinga, a URL interna deve ser formatada como http(s)://*.<domain>.

Ao configurar uma URL externa, você deve usar o seguinte formato: https://*.<custom domain>

Outras posições do curinga, vários curingas ou outras cadeias de caracteres regex não são suportadas e estão causando erros.

Excluindo aplicativos do curinga

Você pode excluir um aplicativo do aplicativo curinga da seguinte forma:

• Publicando o aplicativo de exceção como aplicativo regular
• Ativando o curinga somente para aplicativos específicos por meio de suas configurações de DNS

Publicar um aplicativo como aplicativo regular é o método preferencial para excluir um aplicativo de um curinga. Você deve publicar os aplicativos excluídos antes dos aplicativos curinga para garantir que suas exceções sejam aplicadas desde o início. O pedido mais específico terá sempre precedência – um pedido publicado como budgets.finance.adventure-works.com tem precedência sobre o pedido *.finance.adventure-works.com, que, por sua vez, tem precedência sobre o pedido *.adventure-works.com.

Você também pode limitar o curinga para funcionar apenas para aplicativos específicos por meio do gerenciamento de DNS. Como prática recomendada, você deve criar uma entrada CNAME que inclua um curinga e corresponda ao formato da URL externa que você configurou. No entanto, em vez disso, você pode apontar URLs de aplicativos específicos para os curingas. Por exemplo, em vez de *.adventure-works.com, aponte hr.adventure-works.comexpenses.adventure-works.com , e travel.adventure-works.com individually para 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net.

Se você usar essa opção, também precisará de outra entrada CNAME para o valor AppId.domain, por exemplo, 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com, também apontando para o mesmo local. Você pode encontrar o AppId na página de propriedades do aplicativo curinga.

Definindo o URL da página inicial para o painel MyApps

O aplicativo curinga é representado com apenas um bloco no painel MyApps. Por padrão, esse bloco está oculto. Para mostrar o bloco e fazer com que os usuários acessem uma página específica:

1. Siga as diretrizes para definir um URL da página inicial.
2. Defina Mostrar aplicativo como true na página de propriedades do aplicativo.

Delegação restrita de Kerberos

Para aplicativos que usam a delegação restrita de kerberos (KCD) como o método SSO, o SPN listado para o método SSO precisa de um curinga. Por exemplo, o SPN poderia ser: HTTP/*.adventure-works.com. Você ainda precisa ter os SPNs individuais configurados em seus servidores back-end (por exemplo, HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).

Cenário 1: Aplicação curinga geral

Nesse cenário, você tem três aplicativos diferentes que deseja publicar:

• expenses.adventure-works.com
• hr.adventure-works.com
• travel.adventure-works.com

As três aplicações:

• São utilizados por todos os seus utilizadores
• Usar autenticação integrada do Windows
• Têm as mesmas propriedades

Você pode publicar o aplicativo curinga usando as etapas descritas em Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra. Este cenário pressupõe:

• Um inquilino com o seguinte ID: aaaabbbb-0000-cccc-1111-dddd2222eeee
• Um domínio verificado chamado adventure-works.com foi configurado.
• Uma entrada CNAME que aponta *.adventure-works.com para 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net foi criada.

Seguindo as etapas documentadas, você cria um novo aplicativo proxy de aplicativo em seu locatário. Neste exemplo, o curinga está nos seguintes campos:

• URL interna:

  

• URL externa:

  

• Aplicação Interna SPN:

  

Ao publicar o aplicativo curinga, agora você pode acessar seus três aplicativos navegando até as URLs às quais está acostumado (por exemplo, travel.adventure-works.com).

A configuração implementa a seguinte estrutura:

Cenário 2: Aplicação curinga geral com exceção

Nesse cenário, você tem, além dos três aplicativos gerais, outro aplicativo, finance.adventure-works.comque só deve ser acessível pela divisão de Finanças. Com a estrutura atual do aplicativo, seu aplicativo financeiro seria acessível por meio do aplicativo curinga e por todos os funcionários. Para alterar isso, exclua seu aplicativo do curinga configurando o Finance como um aplicativo separado com permissões mais restritivas.

Verifique se existe um registro CNAME que aponte finance.adventure-works.com para o ponto de extremidade específico do aplicativo, especificado na página de proxy do aplicativo para o aplicativo. Para este cenário, finance.adventure-works.com aponta para https://finance-awcycles.msappproxy.net/.

Seguindo as etapas documentadas, esse cenário requer as seguintes configurações:

• Na URL interna, você define finanças em vez de um curinga.

  

• Na URL externa, você define finanças em vez de um curinga.

  

• Aplicativo interno SPN você define finanças em vez de um curinga.

  

Esta configuração implementa o seguinte cenário:

O URL finance.adventure-works.com é específico. O URL *.adventure-works.com não é específico. O URL mais específico tem precedência. Usuários navegando para finance.adventure-works.com ter a experiência especificada no aplicativo Recursos financeiros. Neste caso, apenas os funcionários financeiros podem aceder finance.adventure-works.com.

Se você tiver vários aplicativos publicados para finanças e tiver finance.adventure-works.com como domínio verificado, poderá publicar outro aplicativo *.finance.adventure-works.comcuringa. Como isso é mais específico do que o genérico *.adventure-works.com, ele tem precedência se um usuário acessar um aplicativo no domínio financeiro.

Próximos passos

• Para saber mais sobre domínios personalizados, consulte Trabalhando com domínios personalizados no proxy de aplicativo do Microsoft Entra.
• Para saber mais sobre a publicação de aplicativos, consulte Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra