Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací v Microsoft Entra ID

  • Článek

Microsoft Entra ID má službu proxy aplikací, která uživatelům umožňuje přístup k místním aplikacím přihlášením pomocí účtu Microsoft Entra. Další informace o proxy aplikací najdete v tématu Co je proxy aplikací?. Tento kurz připraví vaše prostředí pro použití s proxy aplikací. Jakmile bude vaše prostředí připravené, přidejte do tenanta místní aplikaci pomocí Centra pro správu Microsoft Entra.

Diagram přehledu proxy aplikací

V tomto kurzu se naučíte:

  • Nainstalujte a ověřte konektor na windows serveru a zaregistruje ho pomocí proxy aplikací.
  • Přidejte do tenanta Microsoft Entra místní aplikaci.
  • Ověřte, že se testovací uživatel může přihlásit k aplikaci pomocí účtu Microsoft Entra.

Požadavky

Pokud chcete přidat místní aplikaci do ID Microsoft Entra, potřebujete:

  • Předplatné Microsoft Entra ID P1 nebo P2.
  • Účet správce aplikace.
  • Synchronizovaná sada identit uživatelů s místním adresářem. Nebo je můžete vytvořit přímo ve vašich tenantech Microsoft Entra. Synchronizace identit umožňuje microsoftu Entra ID předvytvářením uživatelů před udělením přístupu k publikovaným aplikacím proxy aplikací. Synchronizace také poskytuje nezbytné informace o identifikátoru uživatele k provedení jednotného přihlašování (SSO).
  • Pochopení správy aplikací v Microsoft Entra najdete v tématu Zobrazení podnikových aplikací v Microsoft Entra.
  • Vysvětlení jednotného přihlašování (SSO) najdete v tématu Principy jednotného přihlašování.

Instalace a ověření konektoru privátní sítě Microsoft Entra

Proxy aplikace používá stejný konektor jako Microsoft Entra Soukromý přístup. Konektor se nazývá Microsoft Entra Private Network Connector. Informace o instalaci a ověření konektoru najdete v tématu Konfigurace konektorů.

Obecné poznámky

Veřejné záznamy DNS pro koncové body proxy aplikací Microsoft Entra jsou zřetězenými záznamy CNAME odkazující na záznam A. Nastavení záznamů tímto způsobem zajišťuje odolnost proti chybám a flexibilitu. Konektor privátní sítě Microsoft Entra vždy přistupuje k názvům hostitelů *.msappproxy.net s příponami domény nebo *.servicebus.windows.net. Během překladu názvů však záznamy CNAME mohou obsahovat záznamy DNS s různými názvy hostitelů a příponami. Vzhledem k rozdílu musíte zajistit, aby zařízení (v závislosti na vašem nastavení – server konektoru, brána firewall, odchozí proxy server) přeložil všechny záznamy v řetězu a umožnil připojení k přeloženým IP adresám. Vzhledem k tomu, že záznamy DNS v řetězci se můžou čas od času změnit, nemůžeme vám poskytnout žádné záznamy DNS seznamu.

Pokud instalujete konektory v různých oblastech, měli byste optimalizovat provoz výběrem nejbližší oblasti cloudové služby proxy aplikací s každou skupinou konektorů. Další informace najdete v tématu Optimalizace toku provozu pomocí proxy aplikací Microsoft Entra.

Pokud vaše organizace k připojení k internetu používá proxy servery, musíte je nakonfigurovat pro proxy aplikací. Další informace najdete v tématu Práce se stávajícími místními proxy servery.

Přidání místní aplikace do ID Microsoft Entra

Přidejte místní aplikace do Microsoft Entra ID.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator aplikace.

  2. Přejděte k podnikovým aplikacím> identit.>

  3. Vyberte Nová aplikace.

  4. Vyberte Tlačítko Přidat místní aplikaci , které se zobrazí přibližně v polovině stránky v části Místní aplikace . Případně můžete v horní části stránky vybrat Možnost Vytvořit vlastní aplikaci a pak vybrat Konfigurovat proxy aplikací pro zabezpečený vzdálený přístup k místní aplikaci.

  5. V části Přidat vlastní místní aplikaci zadejte následující informace o vaší aplikaci:

    Pole Popis
    Jméno Název aplikace, která se zobrazí na Moje aplikace a v Centru pro správu Microsoft Entra.
    Režim údržby Vyberte, jestli chcete povolit režim údržby a dočasně zakázat přístup pro všechny uživatele k aplikaci.
    Interní adresa URL Adresa URL pro přístup k aplikaci z vaší privátní sítě. Můžete zadat konkrétní cestu na beck-endovém serveru, kterou chcete publikovat, zatímco zbytek serveru publikovaný nebude. Tímto způsobem můžete publikovat různé weby na stejném serveru jako různé aplikace a každému dát vlastní název a pravidla přístupu.

    Pokud publikujete cestu, ujistěte se, že zahrnuje všechny nezbytné obrázky, skripty a šablony stylů pro vaši aplikaci. Pokud je vaše aplikace například na https://yourapp/app místě a používá obrázky umístěné na https://yourapp/mediaadrese , měli byste ji publikovat https://yourapp/ jako cestu. Tato interní adresa URL nemusí být cílovou stránkou, které vidí vaši uživatelé. Další informace najdete v tématu Nastavení vlastní domovské stránky pro publikované aplikace.
    Externí adresa URL Adresa, na kterou mají uživatelé přístup k aplikaci mimo vaši síť. Pokud nechcete používat výchozí doménu proxy aplikací, přečtěte si informace o vlastních doménách v proxy aplikací Microsoft Entra.
    Předběžné ověřování Jak proxy aplikace ověřuje uživatele, než jim udělí přístup k vaší aplikaci.

    Microsoft Entra ID – Proxy aplikace přesměruje uživatele, aby se přihlásili pomocí MICROSOFT Entra ID, které ověřuje jejich oprávnění pro adresář a aplikaci. Tuto možnost doporučujeme ponechat jako výchozí, abyste mohli využívat funkce zabezpečení Microsoft Entra, jako je podmíněný přístup a vícefaktorové ověřování. K monitorování aplikace v programu Microsoft Defender for Cloud Apps se vyžaduje ID Microsoft Entra.

    Předávání – Uživatelé se nemusí ověřovat na základě ID Microsoft Entra pro přístup k aplikaci. Požadavky na ověřování můžete nastavit i v back-endu.
    skupina Připojení or Připojení otory zpracovávají vzdálený přístup k aplikaci a skupiny konektorů pomáhají uspořádat konektory a aplikace podle oblasti, sítě nebo účelu. Pokud ještě nemáte vytvořené žádné skupiny konektorů, přiřadí se vaše aplikace k výchozímu nastavení.

    Pokud vaše aplikace používá k připojení protokol WebSockets, musí být všechny konektory ve skupině verze 1.5.612.0 nebo novější.

  6. V případě potřeby nakonfigurujte další nastavení. U většiny aplikací byste měli tato nastavení ponechat ve výchozím stavu.

    Pole Popis
    Časový limit back-endové aplikace Tuto hodnotu nastavte na Hodnotu Long , pouze pokud je aplikace pomalá k ověření a připojení. Ve výchozím nastavení má časový limit back-endové aplikace délku 85 sekund. Pokud nastavíte příliš dlouho, časový limit back-endu se zvýší na 180 sekund.
    Použití souboru cookie pouze protokolu HTTP Vyberte, jestli chcete, aby soubory cookie proxy aplikací obsahovaly příznak HTTPOnly v hlavičce odpovědi HTTP. Pokud používáte Vzdálenou plochu, ponechte možnost nevybranou.
    Použití trvalého souboru cookie Ponechte možnost nevybranou. Toto nastavení použijte jenom pro aplikace, které nemůžou sdílet soubory cookie mezi procesy. Další informace o nastavení souborů cookie naleznete v tématu Nastavení souborů cookie pro přístup k místním aplikacím v Microsoft Entra ID.
    Překlad adres URL v záhlavích Ponechte vybranou možnost, pokud vaše aplikace v žádosti o ověření nepožaduje původní hlavičku hostitele.
    Překlad adres URL v textu aplikace Ponechte tuto možnost nevybranou, pokud nejsou odkazy HTML pevně zakódované na jiné místní aplikace a nepoužívají vlastní domény. Další informace najdete v tématu Propojení překladu s proxy aplikací.

    Vyberte, jestli chcete tuto aplikaci monitorovat pomocí programu Microsoft Defender for Cloud Apps. Další informace najdete v tématu Konfigurace monitorování přístupu k aplikacím v reálném čase pomocí programu Microsoft Defender for Cloud Apps a Microsoft Entra ID.
    Ověření certifikátu TLS/SSL back-endu Vyberte, pokud chcete pro aplikaci povolit ověřování certifikátu TLS/SSL back-endu.

  7. Vyberte Přidat.

Testování aplikace

Jste připraveni aplikaci správně otestovat. V následujících krocích přidáte do aplikace uživatelský účet a zkusíte se přihlásit.

Přidání uživatele pro testování

Před přidáním uživatele do aplikace ověřte, že uživatelský účet už má oprávnění pro přístup k aplikaci z podnikové sítě.

Přidání testovacího uživatele:

  1. Vyberte Podnikové aplikace a pak vyberte aplikaci, kterou chcete otestovat.
  2. Vyberte Začínáme a pak vyberte Přiřadit uživatele k testování.
  3. V části Uživatelé a skupiny vyberte Přidat uživatele.
  4. V části Přidat přiřazení vyberte Uživatelé a skupiny. Zobrazí se oddíl Uživatelé a skupiny .
  5. Zvolte účet, který chcete přidat.
  6. Zvolte Vybrat a pak vyberte Přiřadit.

Otestování přihlašování

Otestování ověřování pro aplikaci:

  1. V aplikaci, kterou chcete otestovat, vyberte proxy aplikace.
  2. V horní části stránky vyberte Testovací aplikace a spusťte test v aplikaci a zkontrolujte případné problémy s konfigurací.
  3. Nejprve spusťte aplikaci, abyste otestovali přihlášení k aplikaci, a pak si stáhněte diagnostickou sestavu a projděte si pokyny k řešení případných zjištěných problémů.

Informace o řešení potíží najdete v tématu Řešení potíží s proxy aplikací a chybovými zprávami.

Vyčištění prostředků

Nezapomeňte odstranit všechny prostředky, které jste vytvořili v tomto kurzu, až budete hotovi.

Řešení problému

Přečtěte si o běžných problémech a jejich řešení.

Vytvoření aplikace nebo nastavení adres URL

V podrobnostech o chybě najdete informace a návrhy, jak aplikaci opravit. Většina chybových zpráv obsahuje navrženou opravu. Pokud se chcete vyhnout běžným chybám, ověřte následující:

  • Jste správce s oprávněním k vytvoření aplikace proxy aplikací.
  • Interní adresa URL je jedinečná.
  • Externí adresa URL je jedinečná.
  • Adresy URL začínají řetězcem http nebo https a končí řetězcem /.
  • Adresa URL by měla být název domény, ne IP adresa.

Chybová zpráva by se měla při vytváření aplikace zobrazit v pravém horním rohu. Můžete také vybrat ikonu oznámení a zobrazit chybové zprávy.

Nahrání certifikátů pro vlastní domény

Vlastní domény umožňují zadat doménu externích adres URL. Pokud chcete použít vlastní domény, musíte nahrát certifikát pro danou doménu. Informace o používání vlastních domén a certifikátů naleznete v tématu Práce s vlastními doménami v proxy aplikace Microsoft Entra.

Pokud máte problémy s nahráváním certifikátu, vyhledejte na portálu další informace o problému s certifikátem. Mezi běžné problémy s certifikáty patří:

  • Prošlý certifikát
  • Certifikát je podepsaný svým držitelem
  • Chybí privátní klíč certifikátu.

Při pokusu o nahrání certifikátu se v pravém horním rohu zobrazí chybová zpráva. Můžete také vybrat ikonu oznámení a zobrazit chybové zprávy.

Další kroky