Configurando Meu Portal de Aplicativos no Azure

No dia a dia usamos vários aplicativos como Google Apps, Facebook, GitHub, Trello e LinkedIn, que nos porporcionam vários recursos tanto para realização do nosso trabalho como também para relacionamento interpessoal e entretenimento. E o acesso a esses aplicativos possui diferentes aspectos:

  • Do usuário final, que sempre precisa se preocupar em definir senhas fortes seguindo as várias recomendações e procedimentos de autenticação de cada aplicação.
  • Do líder/gerente do projeto, que deseja disponibilizar acesso a uma conta do projeto para uma ou mais pessoas sem precisar ter que fornecer a senha.
  • Da empresa, que deseja controlar o acesso dos funcionários nos diferentes aplicativos utilizados.

Nesse artigo vou apresentar o portal “Meus Aplicativos”, disponibilizado pela Microsoft, e também os recursos do Azure Active Directory (AAD) que te ajudarão a lidar com esses aspectos levantados acima.

Apesar do nome, o AAD não é o Active Directory da Microsoft na nuvem. No final deste artigo apresento um comparativo entre os dois.

Seguem os tópicos deste artigo:

Configurando os Aplicativos do Usuário

São várias as possibilidades de uso do AAD tanto para empresas como também para o usuário. Aqui vamos demonstrar uma delas que é a configuração do portal “Meus Aplicativos”, o qual dispõe uma lista de aplicativos registrados no AAD e que podem posteriormente ser acessados pelo usuário através do site myapps.microsoft.com.

Seguem os passos para incluir um novo aplicativo no AAD e atribuí-lo a uma conta de usuário:

  1. Abra o portal clássico do Azure através do endereço http://manage.windowsazure.com.

    Alguns recursos estão acessíveis ainda somente no portal clássico do Microsoft Azure

  2. Acesse o AAD que está disponível na sua conta Azure. Ele exibirá os diretórios AAD disponiveis:
    azuread_aad_portalazure

    Notas:

  3. Clique no seu diretório padrão para acessar o painel de configuração e então abra a aba “APLICATIVOS”:

    azuread_aad_directoryapps

  4. Clique em “Adicionar” na parte inferior da tela. Ao aparecer a caixa de diálogo, selecione a opção “Adicionar um aplicativo da galeria”:

    azuread_aad_addappchoice

  5. Será exibido um painel com uma lista de aplicativos disponíveis para serem adicionados ao diretório. Adicione o aplicativo “Google Apps”:
    azuread_aad_addgoogleapps
  6. Após adicionado o aplicativo, será exibido o seu painel de configuração com várias operações como, por exemplo, “Habilitar logon único com o Microsoft Azure AD”:

    azuread_aad_configuregoogleapp

    As opções de configuração variam de acordo com a aplicação adicionada.

  7. Selecione a opção “Configurar logon único”. Será exibido um painel com opções de configuração:
    azuread_aad_configuresso
  8. Selecione a opção “Logon Único com Senha” e confirme. Esta opção permite ao usuário fornecer suas credenciais próprias para acessar o aplicativo.
  9. Em seguida, ainda no painel do “Google Apps”, abra a aba “Usuários”, selecione o usuário e então clique na opção “ATRIBUIR” no final da página:
    azuread_aad_assignuser

    Notas:

  10. Atribua o Google Apps a sua conta selecionando o seu usuário e então clicando na opção “ATRIBUIR” no final da página.
  11. Nesse momento será aberta uma caixa de diálogo que exibe a opção para fornecer uma credencial padrão que será usada pelo usuário. Deixe essa opção desmarcada e confirme:
    azuread_aad_assignusertoapp

    Aqui você tem a opção de entrar com uma credencial padrão para o usuário. Por exemplo, você pode disponibilizar uma credencial de acesso comum para uma conta GitHub do projeto.

Acessando o Portal de Aplicativos

Uma vez configurados os aplicativos no AAD, estes serão disponibilizados para os usuários do diretório no momento em que estes acessarem o portal de aplicativos.

  1. Acesse seu portal de aplicativos fornecendo as credenciais de sua conta Microsoft. Após acessar o portal, será exibida uma lista de aplicativos disponibilizada pelo diretório AAD para você:
    azuread_aad_myapps

    Notas:

    • Observe que na parte superior direita é exibido o diretório atual do usuário, que no caso acima é o “Diretório Padrão”. Os aplicativos exibidos na lista dizem respeito a esse diretório.
    • O usuário pode ter sua conta associada a mais de um diretório e ele pode selecionar outro através da lista de diretórios que é exibida ao clicar sobre o nome do diretório atual.
  2. Agora clique no aplicativo “Google Apps” que configuramos a pouco no AAD.
  3. Se as credenciais do aplicativo ainda não tiverem sido fornecidas, elas serão solicitadas nesse momento e então armazenadas de forma segura no AAD.
    azuread_aad_accessgoogleaapps

    Para acessar o aplicativo, pode ser necessário instalar uma extensão. No Google Chrome, por exemplo, é necessário instalar a extensão “Access Panel”.

  4. Pronto, suas credenciais estão salvas. E a partir de agora, sempre que precisar acessar o Google Apps, basta entrar no seu portal de aplicativos com sua conta Microsoft, clicar no aplicativo e deixar que o AAD faça o resto. Será ele que irá fornecer as credenciais por você para acessar o aplicativo.

Questões relativas a segurança

Uma questão que pode ser levantada aqui é referente a segurança: É seguro manter todas as credenciais de acesso em um único lugar? Afinal, basta descobrir uma única senha para ter acesso a todos os aplicativos.

Para minimizar o problema, o ideal é incluir outras formas de autenticação do usuário. Você pode configurar o diretório no AAD para exibir um acesso multifator através de um código enviado via SMS ou através de uma ligação telefônica, por exemplo. Ainda é possível restringir os IPs de origem que acessam essse diretório. Seguem os passos para acessar essa configuração:

  1. Volte para portal clássico do Azure, selecione o serviço AAD e nele o diretório que deseja configurar.
  2. Acesse a aba CONFIGURAR. Serão exibidas várias opções de configuração. Na seção “Multi-factor Authentication”, clique na opção “Gerenciar configurações de serviço”.
    azuread_aad_dirconfig
  3. Uma nova aba será aberta com opções de verificação multifator. Ao definir salvar as configurações, o acesso ao diretório passará a ser controlado pela autenticação multifator:
    azuread_aad_configuremultifactor

O AAD não é o AD na nuvem

Acredito que muitos devam conhecer o Active Directory (AD) da Microsoft que é largamente utilizado no mundo corporativo para gerenciamento de usuários e de computadores dentro de uma corporação (ver detalhes nesse link). Mas ao contrário do que se possa pensar, o AAD não é simplesmente o AD na nuvem Azure. Eles tem propósitos diferentes conforme apresentado na tabela a seguir:

AD (Active Directory) AAD (Azure Active Directory)
  • Soluções para identidade do usuário
  • Serviço de controle de acesso: federação de identidades de provedores externos (Google, Yahoo e até AD on-premisse – dentro da empresa)

O Windows Active Directory executa dentro da rede corporativa e provê controle total sobre a topologia e expõe serviços para gerenciamento de identidade, servidores, estações de trabalho, segurança e políticas de rede. Já o AAD é limitado a questões relacionadas a gerenciamento e identidade do usuário e expõe serviços através de REST APIs que podem ser utilizadas por aplicações na nuvem ou qualquer outra aplicação que acessa a Internet.

azuread_hybridad

Azure AD Connect

Fazer o controle manual de usuários no AAD acaba sendo uma tarefa árdua, sendo necessário mantê-lo atualizado diariamente. Contudo você pode sincronizar o AD da sua empresa com o AAD através da ferramenta de sincronização Azure AD Connect:

azuread_aadconnect

Dessa forma, todo o controle de usuários da rede corporativa estará sincronizada com o serviço AAD de modo que toda a alteração feita no AD local é refletida no AAD e vice-versa. Isso proporciona:

  • Maior controle da empresa sobre seus usuários corporativos também na nuvem, o que inclui o acesso a aplicações SaaS (Solution as a Service) como o SAP e Dropbox, o Office 365 e outras aplicações da empresa disponibilizadas na nuvem.

  • Maior agilidade para os usuários já que, uma vez autenticados na rede corporativa, terão acesso a todos os aplicativos disponibilizados pela empresa (single sign-on).

Certificação Microsoft Azure

A Microsoft disponibiliza uma certificação Azure que inclui a implementação do Azure Active Directory.

Para mais detalhes, acesse https://www.microsoft.com/pt-br/learning/exam-70-533.aspx.

Referências

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s