Kurz: Přidání možnosti vzdáleného přístupu k místní aplikaci prostřednictvím proxy aplikací v Azure Active Directory

Azure Active Directory (Azure AD) má službu proxy aplikací, která uživatelům umožňuje přístup k místním aplikacím přihlášením pomocí svého účtu Azure AD. Další informace o proxy aplikací najdete v tématu Co je Proxy aplikací?. Tento kurz připraví vaše prostředí pro použití s proxy aplikací. Jakmile bude vaše prostředí připravené, použijete Azure Portal k přidání místní aplikace do tenanta Azure AD.

proxy aplikací přehledu

Než začnete, ujistěte se, že znáte správu aplikací a koncepty jednotného Sign-On (SSO). Podívejte se na následující odkazy:

Konektory jsou klíčovou součástí proxy aplikací. Další informace o konektorech najdete v tématu Principy konektorů azure AD proxy aplikací konektory.

V tomto kurzu:

  • Otevře porty pro odchozí provoz a povolí přístup ke konkrétním adresům URL.
  • Nainstaluje konektor na windows server a zaregistruje ho v proxy aplikací
  • Ověří, že je konektor správně nainstalovaný a zaregistrovaný.
  • Přidání místní aplikace do tenanta Azure AD
  • Ověřuje, že se testovací uživatel může přihlásit k aplikaci pomocí účtu Azure AD.

Požadavky

Pokud chcete přidat místní aplikaci do Azure AD, potřebujete:

  • Předplatné Microsoft Azure AD Premium
  • Účet správce aplikace
  • Identity uživatelů musí být synchronizované z místního adresáře nebo vytvořené přímo v rámci vašich tenantů Azure AD. Synchronizace identity umožňuje službě Azure AD předem ověřovat uživatele před tím, než jim udělí přístup k publikovaných aplikacím proxy aplikací a mít potřebné informace o identifikátoru uživatele pro jednotné přihlašování (SSO).

Windows Server

Pokud chcete proxy aplikací, potřebujete Windows Server s Windows Serverem 2012 R2 nebo novějším. Na server nainstalujete proxy aplikací konektor. Tento server konektoru se musí připojit proxy aplikací služeb v Azure a k místním aplikacím, které plánujete publikovat.

Pro vysokou dostupnost v produkčním prostředí doporučujeme mít více než jeden windows server. Pro tento kurz stačí jeden windows server.

Důležité

Pokud instalujete konektor na Windows Server 2019, musíte v komponentě WinHttp zakázat podporu protokolu HTTP2, aby omezené delegování Kerberos fungovalo správně. Tato možnost je ve výchozím nastavení v dřívějších verzích podporovaných operačních systémů zakázána. Přidáním následujícího klíče registru a restartováním serveru ho zakážete ve Windows Serveru 2019. Všimněte si, že se jedná o klíč registru pro celé počítače.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

Klíč můžete nastavit prostřednictvím PowerShellu pomocí následujícího příkazu.

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Doporučení pro server konektoru

  1. Fyzicky vyhledejte konektorový server blízko aplikačních serverů, abyste optimalizovali výkon mezi konektorem a aplikací. Další informace najdete v tématu Optimalizace toku provozu pomocí Azure Active Directory proxy aplikací.
  2. Server konektoru a servery webových aplikací by měly patřit do stejné domény služby Active Directory nebo do důvěřující domény span. Mít servery ve stejné doméně nebo důvěřující doméně je požadavkem pro použití jednotného přihlašování (SSO) s Integrované ověřování Windows (IWA) a omezeným delegováním Kerberos (KCD). Pokud jsou server konektoru a servery webových aplikací v různých doménách Active Directory, musíte pro jednotné přihlašování použít delegování na základě prostředků. Další informace najdete v tématu KCD pro jednotné přihlašování pomocí proxy aplikací.

Upozornění

Pokud jste nasadili proxy službu Azure AD Password Protection, neinstalujte azure AD proxy aplikací a Proxy služby Azure AD Password Protection společně na stejný počítač. Azure AD proxy aplikací a Proxy služby Azure AD Password Protection instaluje různé verze služby Azure AD Connect Agent Updater. Tyto různé verze jsou nekompatibilní, pokud se instalují společně na stejném počítači.

Požadavky protokolu TLS

Před instalací konektoru konektoru pro Windows musí být povolený protokol TLS 1.2 proxy aplikací.

Povolení protokolu TLS 1.2:

  1. Nastavte následující klíče registru:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Restartujte server.

Poznámka

Microsoft aktualizuje služby Azure tak, aby používat certifikáty TLS z jiné sady kořenových certifikačních autorit (CA). Tato změna se provádí, protože aktuální certifikáty certifikační autority nesplňují jeden ze základních požadavků na fóru certifikační autority nebo prohlížeče. Další informace najdete v tématu Změny certifikátu TLS v Azure.

Příprava místního prostředí

Začněte tím, že povolíte komunikaci s datovými cly Azure a připravíte prostředí pro azure AD proxy aplikací. Pokud je v cestě brána firewall, ujistěte se, že je otevřená. Otevřená brána firewall umožňuje konektoru provádět požadavky HTTPS (TCP) na proxy aplikací.

Důležité

Pokud instalujete konektor pro Azure Government cloudu, postupujte podle požadavků a kroků instalace. To vyžaduje povolení přístupu k jiné sadě adres URL a další parametr pro spuštění instalace.

Otevření portů

Otevřete následující porty pro odchozí provoz.

Číslo portu K čemu slouží
80 Stahování seznamů odvolaných certifikátů (CRL) při ověřování certifikátu TLS/SSL
443 Veškerá odchozí komunikace se službou proxy aplikací Service

Pokud vaše brána firewall vynucuje provoz podle původních uživatelů, otevřete také porty 80 a 443 pro provoz ze služeb Windows, které běží jako síťová služba.

Povolení přístupu k adresách URL

Povolte přístup k následujícím adresách URL:

URL Port K čemu slouží
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Komunikace mezi konektorem a proxy aplikací cloudovou službou
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/ HTTP Konektor používá tyto adresy URL k ověření certifikátů.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS Konektor používá tyto adresy URL během procesu registrace.
ctldl.windowsupdate.com 80/ HTTP Konektor tuto adresu URL používá během procesu registrace.

Pokud brána firewall nebo proxy server umožňují konfigurovat pravidla přístupu na základě přípon domény, můžete povolit připojení k souborům .msappproxy.net, .servicebus.windows.net a dalším adresům URL uvedeným * * výše. Pokud ne, musíte povolit přístup k rozsahům IP adres Azure a značce služeb – veřejný cloud. Rozsahy IP adres se aktualizují každý týden.

Důležité

Vyhněte se všem formám vložené kontroly a ukončení u odchozí komunikace TLS mezi azure AD proxy aplikací konektory a službou Azure AD proxy aplikací Cloud Services.

Překlad názvů DNS pro koncové body proxy aplikací Azure AD

Veřejné záznamy DNS pro koncové proxy aplikací Azure AD jsou zřetězovány záznamy CNAME odkazující na záznam A. Tím se zajistí odolnost proti chybám a flexibilita. Je zaručeno, že Azure AD proxy aplikací Connector vždy přistupuje k názvům hostitelů s příponami domény *.msappproxy.net nebo *.servicebus.windows.net. Během překladu názvů však mohou záznamy CNAME obsahovat záznamy DNS s různými názvy hostitelů a příponami. Z tohoto důvodu musíte zajistit, aby zařízení (v závislosti na vašem nastavení – server konektoru, brána firewall, odchozí proxy server) překládaly všechny záznamy v řetězci a aby bylo možné připojení k vyřešeným IP adresám. Vzhledem k tomu, že se záznamy DNS v řetězu můžou čas od času měnit, nemůžeme vám poskytnout žádné záznamy DNS seznamu.

Instalace a registrace konektoru

Pokud chcete proxy aplikací, nainstalujte konektor na každý server Windows, který používáte s proxy aplikací službou. Konektor je agent, který spravuje odchozí připojení z místních aplikačních serverů k proxy aplikací ve službě Azure AD. Konektor můžete nainstalovat na servery s nainstalovanými dalšími agenty ověřování, například Azure AD Connect.

Instalace konektoru:

  1. Přihlaste se k Azure Portal jako správce aplikace adresáře, který používá proxy aplikací. Pokud je například doména tenanta contoso.com, správce by měl být nebo jakýkoli admin@contoso.com jiný alias správce v této doméně.

  2. V pravém horním rohu vyberte své uživatelské jméno. Ověřte, že jste přihlášeni k adresáři, který používá proxy aplikací. Pokud potřebujete změnit adresáře, vyberte Přepnout adresář a zvolte adresář, který používá proxy aplikací.

  3. V levém navigačním panelu vyberte Azure Active Directory.

  4. V části Spravovat vyberte Proxy aplikací.

  5. Vyberte Stáhnout službu konektoru.

    Stažení služby konektoru a zobrazení podmínek služby

  6. Přečtěte si podmínky služby. Až budete připraveni, vyberte Přijmout podmínky a & stáhnout.

  7. V dolní části okna vyberte Spustit a konektor nainstalujte. Otevře se průvodce instalací.

  8. Postupujte podle pokynů v průvodci a nainstalujte službu. Když se zobrazí výzva k registraci konektoru ve službě proxy aplikací pro vašeho tenanta Azure AD, zadejte přihlašovací údaje správce aplikace.

    • Pokud Internet Explorer IE (IE) nastavená na hodnotu On(On), nemusí se zobrazit obrazovka registrace. Pokud chcete získat přístup, postupujte podle pokynů v chybové zprávě. Ujistěte se, Internet Explorer konfigurace rozšířeného zabezpečení je nastavená na Vypnuto.

Obecné poznámky

Pokud jste dříve nainstalovali konektor, nainstalujte ho znovu, abyste měli nejnovější verzi. Informace o dříve vydaných verzích a jejich změnách najdete v tématu proxy aplikací: Historie vydaných verzí.

Pokud se rozhodnete mít pro své místní aplikace více než jeden server Windows, budete muset konektor nainstalovat a zaregistrovat na každém serveru. Konektory můžete uspořádat do skupin konektorů. Další informace najdete v tématu Skupiny konektorů.

Pokud máte nainstalované konektory v různých oblastech, můžete optimalizovat provoz výběrem nejbližší oblasti cloudové služby proxy aplikací pro použití s každou skupinou konektorů. Další informace najdete v tématu Optimalizace toku provozu pomocí Azure Active Directory proxy aplikací

Pokud vaše organizace používá pro připojení k internetu proxy servery, musíte je nakonfigurovat pro proxy aplikací. Další informace najdete v tématu Práce s existujícími místními proxy servery.

Informace o konektorech, plánování kapacity a o tom, jak jsou aktuální, najdete v tématu Principy konektorů azure AD proxy aplikací konektory.

Ověřte, že je konektor správně nainstalovaný a zaregistrovaný.

K potvrzení správné instalace nového Azure Portal můžete použít nástroj nebo server Windows.

Ověření instalace prostřednictvím Azure Portal

Pokud chcete ověřit, že je konektor správně nainstalovaný a zaregistrovaný:

  1. Přihlaste se ke svému adresáři tenanta v Azure Portal.

  2. V levém navigačním panelu vyberte Azure Active Directory a pak v části Proxy aplikací vyberte Další. Na této stránce se zobrazí všechny konektory a skupiny konektorů.

  3. Zobrazte konektor a ověřte jeho podrobnosti. Konektory by měly být ve výchozím nastavení rozbalené. Pokud konektor, který chcete zobrazit, není rozbalený, rozbalte ho a zobrazte podrobnosti. Aktivní zelený popisek označuje, že se váš konektor může připojit ke službě. I když je ale popisek zelený, problém se sítí může stále blokovat příjem zpráv konektorem.

    Konektory proxy aplikací Azure AD

Další nápovědu k instalaci konektoru najdete v tématu Problém s instalací konektoru proxy aplikací Connector.

Ověření instalace prostřednictvím windows serveru

Pokud chcete ověřit, že je konektor správně nainstalovaný a zaregistrovaný:

  1. Otevřete Správce služeb systému Windows tak, že kliknete na klíč Windows a zadáte services.msc.

  2. Zkontrolujte, jestli je stav následujících dvou služeb Spuštěno.

    • Microsoft AAD proxy aplikací Connector umožňuje připojení.

    • Aktualizátor konektorů proxy aplikace služby Microsoft AAD je automatizovaná aktualizační služba. Aktualizační funkce vyhledá nové verze konektoru a podle potřeby ho aktualizuje.

      Služby konektoru proxy aplikace – snímek obrazovky

  3. Pokud stav služeb není Spuštěno, kliknutím pravým tlačítkem vyberte jednotlivé služby a zvolte Spustit.

Přidání místní aplikace do Azure AD

Teď, když jste si připravili prostředí a nainstalovali konektor, jste připraveni přidat do Azure AD místní aplikace.

  1. Přihlaste se jako správce v Azure Portal.

  2. V levém navigačním panelu vyberte Azure Active Directory.

  3. Vyberte Podnikové aplikace a pak vyberte Nová aplikace.

  4. Vyberte Tlačítko Přidat místní aplikaci, které se zobrazí přibližně v polovině stránky v části Místní aplikace. Případně můžete v horní části stránky vybrat Vytvořit vlastní aplikaci a pak vybrat Konfigurovat proxy aplikací pro zabezpečený vzdálený přístup k místní aplikaci.

  5. V části Přidat vlastní místní aplikaci zadejte následující informace o vaší aplikaci:

    Pole Popis
    Název Název aplikace, která se zobrazí na Moje aplikace a v Azure Portal.
    Interní adresa URL Adresa URL pro přístup k aplikaci z vaší privátní sítě. Můžete zadat konkrétní cestu na beck-endovém serveru, kterou chcete publikovat, zatímco zbytek serveru publikovaný nebude. Tímto způsobem můžete publikovat různé weby na stejném serveru jako různé aplikace a každé z nich dát vlastní název a pravidla přístupu.

    Pokud publikujete cestu, ujistěte se, že zahrnuje všechny nezbytné obrázky, skripty a šablony stylů pro vaši aplikaci. Pokud je vaše aplikace například na adrese https: /yourapp/app a používá obrázky umístěné na adrese https: /yourapp/media, měli byste jako cestu publikovat / / https: / /yourapp/. Tato interní adresa URL nemusí být vstupní stránkou, kterou vidí vaši uživatelé. Další informace najdete v tématu Nastavení vlastní domovské stránky pro publikované aplikace.
    Externí adresa URL Adresa pro přístup uživatelů k aplikaci mimo vaši síť. Pokud nechcete používat výchozí doménu proxy aplikací, přečtěte si o vlastních doménách v Azure AD proxy aplikací.
    Předběžné ověřování Jak proxy aplikace ověřuje uživatele před tím, než jim poskytne přístup k vaší aplikaci.

    Azure Active Directory – proxy aplikací přesměruje uživatele na přihlášení pomocí služby Azure AD, která ověřuje jejich oprávnění pro adresář a aplikaci. Tuto možnost doporučujeme ponechat jako výchozí, abyste mohli využívat funkce zabezpečení Azure AD, jako je podmíněný přístup a Multi-Factor Authentication. Azure Active Directory se vyžaduje pro monitorování aplikace s Microsoft Cloud zabezpečení aplikací.

    Passthrough – uživatelé nemusejí pro přístup k aplikaci ověřovat přes Azure AD. Požadavky na ověřování můžete nastavit i pro back-end.
    Skupina konektorů Konektory zpracovávají vzdálený přístup k vaší aplikaci a skupiny konektorů vám pomůžou organizovat konektory a aplikace podle oblastí, sítě nebo účelu. Pokud ještě nemáte vytvořené žádné skupiny konektorů, vaše aplikace se přiřadí výchozímu.

    Pokud vaše aplikace používá k připojení objekty WebSockets, musí být všechny konektory ve skupině verze 1.5.612.0 nebo novější.
  6. V případě potřeby nakonfigurujte Další nastavení. U většiny aplikací byste měli tato nastavení zachovat ve svých výchozích stavech.

    Pole Description
    Časový limit aplikace back-endu Nastavte tuto hodnotu na Long , jenom pokud se vaše aplikace pomalu ověřuje a připojuje. Ve výchozím nastavení má časový limit aplikace back-end délku 85 sekund. Když se nastaví na Long, časový limit pro back-end se zvýší na 180 sekund.
    Použít soubor cookie HTTP-Only Nastavte tuto hodnotu na Ano , pokud chcete, aby soubory cookie proxy aplikací zahrnovaly příznak HttpOnly v hlavičce HTTP Response. Pokud používáte službu Vzdálená plocha, nastavte tuto hodnotu na ne.
    Použít zabezpečený soubor cookie Nastavte tuto hodnotu na Ano , pokud chcete přenášet soubory cookie přes zabezpečený kanál, jako je třeba ŠIFROVANÝ požadavek https.
    Použít trvalý soubor cookie Nechte tuto hodnotu nastavenou na ne. Toto nastavení použijte jenom pro aplikace, které nemůžou sdílet soubory cookie mezi procesy. Další informace o nastavení souborů cookie najdete v tématu nastavení souborů cookie pro přístup k místním aplikacím v Azure Active Directory.
    Přeložit adresy URL v hlavičkách Tuto hodnotu nechte jako Ano , pokud vaše aplikace nevyžadovala v žádosti o ověření hlavičku původního hostitele.
    Přeložit adresy URL v těle aplikace Tuto hodnotu nechte jako ne , pokud jste nepevně zakódovanéi odkazy HTML na jiné místní aplikace a nepoužíváte vlastní domény. Další informace najdete v tématu Překlad propojení pomocí proxy aplikace.

    Tuto hodnotu nastavte na Ano , pokud plánujete monitorovat tuto aplikaci pomocí Microsoft Cloud App Security (MCAS). Další informace najdete v tématu Konfigurace monitorování přístupu aplikace v reálném čase pomocí Microsoft Cloud App Security a Azure Active Directory.
  7. Vyberte Přidat.

Testování aplikace

Jste připraveni k otestování aplikace, aby byla správně přidána. V následujících krocích přidáte uživatelský účet do aplikace a zkusíte se přihlásit.

Přidat uživatele pro testování

Před přidáním uživatele do aplikace ověřte, zda uživatelský účet již má oprávnění k přístupu k aplikaci v rámci podnikové sítě.

Chcete-li přidat testovacího uživatele:

  1. Vyberte podnikové aplikace a pak vyberte aplikaci, kterou chcete testovat.
  2. Vyberte Začínáme a pak vyberte přiřadit uživatele pro testování.
  3. V části Uživatelé a skupiny vyberte Přidat uživatele.
  4. V části Přidat přiřazení vyberte Uživatelé a skupiny. Zobrazí se část uživatel a skupiny .
  5. Vyberte účet, který chcete přidat.
  6. Zvolte Vybrat a pak vybrat přiřadit.

Otestování přihlášení

Otestování přihlášení k aplikaci:

  1. Z aplikace, kterou chcete testovat, vyberte proxy aplikace.
  2. V horní části stránky vyberte test aplikace , aby se spustila test aplikace a kontrolovaly se případné problémy s konfigurací.
  3. Nezapomeňte nejdřív spustit aplikaci, abyste otestovali přihlášení k aplikaci, a pak si stáhněte diagnostickou zprávu, kde najdete pokyny k vyřešení všech zjištěných problémů.

Informace o řešení potíží najdete v tématu řešení potíží se službou Application proxy a chybovými zprávami.

Vyčištění prostředků

Pokud už je nepotřebujete, odstraňte prostředky, které jste vytvořili v tomto kurzu.

Další kroky

V tomto kurzu jste připravili své místní prostředí pro práci s proxy aplikací a potom jste nainstalovali a zaregistrovali konektor proxy aplikací. Pak jste do svého tenanta služby Azure AD přidali aplikaci. Ověřili jste, že se uživatel může přihlásit k aplikaci pomocí účtu Azure AD.

Provedli jste tyto akce:

  • Otevřené porty pro odchozí provoz a povolený přístup ke konkrétním adresám URL
  • Nainstalovali jste konektor na Windows Server a zaregistrovali ho u proxy aplikací.
  • Ověření, že je konektor nainstalovaný a správně zaregistrován
  • Do tenanta Azure AD se přidala místní aplikace.
  • Ověřeno, že testovací uživatel se může přihlásit k aplikaci pomocí účtu Azure AD

Jste připraveni nakonfigurovat aplikaci pro jednotné přihlašování. Pomocí následujícího odkazu můžete vybrat metodu jednotného přihlašování a vyhledat kurzy jednotného přihlašování.