Vzdálený přístup k místním aplikacím prostřednictvím Proxy aplikací služby Azure AD

Azure Active Directory poskytuje proxy aplikací vzdálený přístup k místním webovým aplikacím. Po jednotném přihlašování ke službě Azure AD mají uživatelé přístup ke cloudovým i místním aplikacím prostřednictvím externí adresy URL nebo interního portálu aplikací. Můžete například proxy aplikací vzdálený přístup a jednotné přihlašování ke Vzdálené ploše, SharePoint, Teams, Tableau, Qlik a obchodním aplikacím.

Proxy aplikací služby Azure AD nabízí:

  • Jednoduše se používá. Uživatelé mají přístup k místním aplikacím stejným způsobem, jakým přistupuje k Microsoft 365 a dalším aplikacím SaaS integrovaným s Azure AD. Aby aplikace fungovaly s Proxy aplikací, nemusíte je měnit nebo aktualizovat.

  • Zabezpečte. Místní aplikace mohou používat ovládací prvky autorizace a analýzy zabezpečení Azure. Místní aplikace mohou například používat podmíněný přístup a dvoukrokové ověřování. proxy aplikací nevyžaduje, abyste otevřeli příchozí připojení přes bránu firewall.

  • Nákladově efektivní. Místní řešení obvykle vyžadují, abyste nastavili a udržili demilitarizované zóny (DMZ), hraniční servery nebo jiné složité infrastruktury. proxy aplikací běží v cloudu, což usnadňuje jeho použití. Pokud chcete proxy aplikací, nemusíte měnit síťovou infrastrukturu ani instalovat další zařízení v místním prostředí.

Co je proxy aplikací?

proxy aplikací je funkce služby Azure AD, která uživatelům umožňuje přístup k místním webovým aplikacím ze vzdáleného klienta. proxy aplikací zahrnuje jak službu proxy aplikací běžící v cloudu, tak konektor proxy aplikací, který běží na místním serveru. Azure AD, služba proxy aplikací a konektor proxy aplikací spolupracují, aby bezpečně předaly token pro přihlášení uživatele z Azure AD do webové aplikace.

proxy aplikací funguje s:

proxy aplikací podporuje jednotné přihlašování. Další informace o podporovaných metodách najdete v tématu Volba metody jednotného přihlašování.

proxy aplikací se doporučuje, abyste vzdáleným uživatelům přistupují k interním prostředkům. proxy aplikací nahrazuje potřebu sítě VPN nebo reverzního proxy serveru. Není určený pro interní uživatele v podnikové síti. Tito uživatelé, kteří zbytečně používají proxy aplikací mohou způsobit neočekávané a nežádoucí problémy s výkonem.

Jak proxy aplikací funguje

Následující diagram znázorňuje, jak azure AD a proxy aplikací společně poskytují jednotné přihlašování k místním aplikacím.

Diagram proxy aplikací AzureAD

  1. Jakmile uživatel k aplikaci přistupuje prostřednictvím koncového bodu, přesměruje ho na přihlašovací stránku Azure AD.
  2. Po úspěšném přihlášení azure AD odešle token klientskému zařízení uživatele.
  3. Klient odešle token službě proxy aplikací, která z tokenu načte hlavní název uživatele (UPN) a hlavní název zabezpečení (SPN). proxy aplikací pak požadavek odešle do konektoru proxy aplikací.
  4. Pokud jste nakonfigurovali jednotné přihlašování, konektor jménem uživatele provede jakékoli další požadované ověření.
  5. Konektor odešle požadavek do místní aplikace.
  6. Odpověď se odesílá prostřednictvím konektoru a proxy aplikací službě uživateli.

Poznámka

Stejně jako u většiny hybridních agentů Azure AD nevyžaduje proxy aplikací Connector otevírat příchozí připojení přes bránu firewall. Uživatelský provoz v kroku 3 se ukončí v proxy aplikací Service (ve službě Azure AD). Konektor proxy aplikací (místní) zodpovídá za zbytek komunikace.

Komponenta Popis
Koncový bod Koncový bod je adresa URL nebo portál koncového uživatele. Uživatelé mohou přistupovat k aplikacím mimo vaši síť prostřednictvím externí adresy URL. Uživatelé ve vaší síti mají k aplikaci přístup prostřednictvím adresy URL nebo portálu pro koncové uživatele. Když uživatelé přechádují do jednoho z těchto koncových bodů, ověřují se ve službě Azure AD a pak se přes konektor směrují do místní aplikace.
Azure AD Azure AD provádí ověřování pomocí adresáře tenanta uloženého v cloudu.
proxy aplikací service Tato proxy aplikací běží v cloudu jako součást Azure AD. Předá přihlašovací token od uživatele do konektoru proxy aplikací Connector. proxy aplikací požadavek všechny přístupné hlavičky a nastaví hlavičky podle jeho protokolu na IP adresu klienta. Pokud už příchozí požadavek na proxy server má hlavičku , IP adresa klienta se přidá na konec seznamu odděleného čárkami, který je hodnotou hlavičky.
proxy aplikací konektor Konektor je odlehčený agent, který běží na Windows Serveru uvnitř vaší sítě. Konektor spravuje komunikaci mezi proxy aplikací službou v cloudu a místní aplikací. Konektor používá jenom odchozí připojení, takže nemusíte otevírat žádné příchozí porty ani do hraniční sítě nic vložili. Konektory jsou bez stavu a podle potřeby si vytahovat informace z cloudu. Další informace o konektorech, jako je vyrovnávání zatížení a ověřování, najdete v tématu Principy konektorůproxy aplikací Azure AD.
Active Directory (AD) Active Directory se spouští místně a provádí ověřování účtů domény. Pokud je nakonfigurované jednotné přihlašování, konektor komunikuje se službou AD, aby se vyžadovalo další ověření.
Místní aplikace Nakonec má uživatel přístup k místní aplikaci.

Další kroky

Pokud chcete začít proxy aplikací, projděte si Kurz:Přidání místní aplikace pro vzdálený přístup přes proxy aplikací .