Ověřování systému Windows – Omezené delegování protokolu Kerberos s ID Microsoft Entra

Na základě názvů instančních objektů poskytuje omezené delegování kerberos (KCD) omezené delegování mezi prostředky. Vyžaduje, aby správci domény vytvořili delegování a je omezena na jednu doménu. Pomocí KCD založeného na prostředcích můžete poskytnout ověřování Kerberos pro webovou aplikaci, která má uživatele ve více doménách v doménové struktuře služby Active Directory.

Proxy aplikace Microsoft Entra může poskytovat jednotné přihlašování (SSO) a vzdálený přístup k aplikacím založeným na KCD, které vyžadují lístek Kerberos pro přístup a omezené delegování Kerberos (KCD).

Pokud chcete povolit jednotné přihlašování k místním aplikacím KCD, které používají integrované ověřování Systému Windows (IWA), udělte privátním síťovým konektorům oprávnění k zosobnění uživatelů ve službě Active Directory. Privátní síťový konektor používá toto oprávnění k odesílání a přijímání tokenů jménem uživatele.

Kdy použít KCD

KCD použijte, když potřebujete poskytovat vzdálený přístup, chránit pomocí předběžného ověřování a poskytovat jednotné přihlašování k místním aplikacím IWA.

Součásti systému

• Uživatel: Přistupuje ke starší verzi aplikace, která proxy aplikací slouží.
• Webový prohlížeč: Komponenta, se kterou uživatel pracuje pro přístup k externí adrese URL aplikace.
• Microsoft Entra ID: Ověřuje uživatele.
• služba proxy aplikací: Funguje jako reverzní proxy pro odesílání požadavků od uživatele do místní aplikace. Nachází se v Microsoft Entra ID. proxy aplikací může vynutit zásady podmíněného přístupu.
• Privátní síťový konektor: Je nainstalovaný na místních serverech s Windows, aby se zajistilo připojení k aplikaci. Vrátí odpověď na Microsoft Entra ID. Provede vyjednávání KCD se službou Active Directory a zosobní uživatele, aby získal token Kerberos pro aplikaci.
• Active Directory: Odešle token Kerberos pro aplikaci do privátního síťového konektoru.
• Starší verze aplikací: Aplikace, které přijímají žádosti uživatelů z proxy aplikací. Starší verze aplikací vrátí odpověď na privátní síťový konektor.

Implementace ověřování systému Windows (KCD) s ID Microsoft Entra

Další informace o implementaci ověřování systému Windows (KCD) pomocí Microsoft Entra ID najdete v následujících zdrojích informací.

• Jednotné přihlašování založené na protokolu Kerberos (SSO) v Microsoft Entra ID s proxy aplikací popisuje požadavky a kroky konfigurace.
• Kurz – Přidání místní aplikace – proxy aplikací v Microsoft Entra ID vám pomůže připravit prostředí pro použití s proxy aplikací.

Další kroky

• Přehled ověřovacího a synchronizačního protokolu Microsoft Entra popisuje integraci s protokoly ověřování a synchronizace. Integrace ověřování umožňují používat MICROSOFT Entra ID a její funkce zabezpečení a správy s malými nebo žádnými změnami aplikací, které používají starší metody ověřování. Integrace synchronizace umožňují synchronizovat data uživatelů a skupin do Microsoft Entra ID a potom uživatele Microsoft Entra management schopností. Některé vzory synchronizace umožňují automatizované zřizování.
• Vysvětlení jednotného přihlašování pomocí místní aplikace pomocí proxy aplikací popisuje, jak jednotné přihlašování umožňuje uživatelům přistupovat k aplikaci bez ověřování vícekrát. Jednotné přihlašování probíhá v cloudu proti ID Microsoft Entra a umožňuje službě nebo Připojení, aby zosobnění uživatele zosobnit kvůli dokončení problémů s ověřováním z aplikace.
• Jednotné přihlašování SAML (Security Assertion Markup Language) pro místní aplikace pomocí proxy aplikací Microsoft Entra popisuje, jak můžete poskytnout vzdálený přístup k místním aplikacím zabezpečeným ověřováním SAML prostřednictvím proxy aplikací.