Vzdálený přístup k místním aplikacím prostřednictvím proxy aplikace Azure Active DirectoryRemote access to on-premises applications through Azure Active Directory's Application Proxy

Proxy aplikace Azure Active Directory zajišťuje zabezpečený vzdálený přístup k místním webovým aplikacím.Azure Active Directory's Application Proxy provides secure remote access to on-premises web applications. Po jednotném přihlášení ke službě Azure AD můžou uživatelé přistupovat ke cloudovým i místním aplikacím prostřednictvím externí adresy URL nebo interního portálu aplikací.After a single sign-on to Azure AD, users can access both cloud and on-premises applications through an external URL or an internal application portal. Například proxy aplikací může poskytovat vzdálený přístup a jednotné přihlašování k aplikacím vzdálené plochy, SharePoint, teams, Tableau, Qlik a obchodním aplikacím (LOB).For example, Application Proxy can provide remote access and single sign-on to Remote Desktop, SharePoint, Teams, Tableau, Qlik, and line of business (LOB) applications.

Proxy aplikací Azure AD je:Azure AD Application Proxy is:

  • Jednoduché použití.Simple to use. Uživatelé mají přístup k místním aplikacím stejným způsobem jako při přístupu do O365 a dalších aplikací SaaS integrovaných se službou Azure AD.Users can access your on-premises applications the same way they access O365 and other SaaS apps integrated with Azure AD. Není potřeba změnit nebo aktualizovat vaše aplikace pro práci s Proxy aplikací.You don't need to change or update your applications to work with Application Proxy.

  • Zabezpečení.Secure. Místní aplikace můžou používat ověřovací ovládací prvky Azure a analýzu zabezpečení.On-premises applications can use Azure's authorization controls and security analytics. Místní aplikace můžou například používat podmíněný přístup a dvoustupňové ověřování.For example, on-premises applications can use Conditional Access and two-step verification. Proxy aplikací nevyžaduje, abyste otevřeli příchozí připojení přes bránu firewall.Application Proxy doesn't require you to open inbound connections through your firewall.

  • Nákladově efektivní.Cost-effective. Místní řešení obvykle vyžadují, abyste nastavili a zachovali demilitarizovaná zóny (zóny DMZ), hraniční servery nebo jiné komplexní infrastruktury.On-premises solutions typically require you to set up and maintain demilitarized zones (DMZs), edge servers, or other complex infrastructures. Proxy aplikace běží v cloudu, což usnadňuje jejich použití.Application Proxy runs in the cloud, which makes it easy to use. Pokud chcete použít proxy aplikace, nemusíte měnit síťovou infrastrukturu ani instalovat další zařízení v místním prostředí.To use Application Proxy, you don't need to change the network infrastructure or install additional appliances in your on-premises environment.

Co je proxy aplikací?What is Application Proxy?

Proxy aplikací je funkce služby Azure AD, která uživatelům umožňuje přístup k místním webovým aplikacím ze vzdáleného klienta.Application Proxy is a feature of Azure AD that enables users to access on-premises web applications from a remote client. Proxy aplikace zahrnuje službu proxy aplikací, která běží v cloudu, a konektor proxy aplikací, který běží na místním serveru.Application Proxy includes both the Application Proxy service which runs in the cloud, and the Application Proxy connector which runs on an on-premises server. Služba Azure AD, proxy server aplikace a konektor proxy aplikací společně spolupracují na tom, aby bylo možné bezpečně předat token uživatele ze služby Azure AD do webové aplikace.Azure AD, the Application Proxy service, and the Application Proxy connector work together to securely pass the user sign-on token from Azure AD to the web application.

Proxy aplikace funguje s:Application Proxy works with:

  • Webové aplikace, které pro ověřování používají integrované ověřování systému WindowsWeb applications that use Integrated Windows Authentication for authentication
  • Webové aplikace, které používají formulář nebo přístup na základě hlavičekWeb applications that use form-based or header-based access
  • Webové rozhraní API, která chcete k tomu, aby bohaté aplikace na různých zařízeníchWeb APIs that you want to expose to rich applications on different devices
  • Aplikace hostované za Brána vzdálené plochyApplications hosted behind a Remote Desktop Gateway
  • Bohaté klientských aplikací, které jsou integrovány s Active Directory Authentication Library (ADAL)Rich client apps that are integrated with the Active Directory Authentication Library (ADAL)

Proxy aplikace podporuje jednotné přihlašování.Application Proxy supports single sign-on. Další informace o podporovaných metodách najdete v tématu Výběr metody jednotného přihlašování.For more information on supported methods, see Choosing a single sign-on method.

Proxy aplikací se doporučuje pro poskytování přístupu vzdálených uživatelů k interním prostředkům.Application Proxy is recommended for giving remote users access to internal resources. Proxy aplikace nahrazuje nutnost připojení VPN nebo reverzního proxy serveru.Application Proxy replaces the need for a VPN or reverse proxy. Není určený pro interní uživatele v podnikové síti.It is not intended for internal users on the corporate network. Tito uživatelé, kteří zbytečně využívají proxy aplikací, mohou způsobit neočekávané a nežádoucí problémy s výkonem.These users who unnecessarily use Application Proxy can introduce unexpected and undesirable performance issues.

Jak funguje proxy aplikaceHow Application Proxy works

Následující diagram ukazuje, jak služba Azure AD a proxy aplikací společně poskytují jednotné přihlašování k místním aplikacím.The following diagram shows how Azure AD and Application Proxy work together to provide single sign-on to on-premises applications.

Diagram Proxy aplikací Azure AD

  1. Poté, co uživatel má získat přístup k aplikaci přes koncový bod, je uživatel přesměrován na přihlašovací stránku Azure AD.After the user has accessed the application through an endpoint, the user is directed to the Azure AD sign-in page.
  2. Po úspěšném přihlášení pošle služba Azure AD token do klientského zařízení uživatele.After a successful sign-in, Azure AD sends a token to the user's client device.
  3. Klient odešle token službě proxy aplikací, která načte hlavní název uživatele (UPN) a hlavní název zabezpečení (SPN) z tokenu.The client sends the token to the Application Proxy service, which retrieves the user principal name (UPN) and security principal name (SPN) from the token. Proxy aplikace pak odešle požadavek do konektoru proxy aplikací.Application Proxy then sends the request to the Application Proxy connector.
  4. Pokud jste nakonfigurovali jednotného přihlašování, konektor provádí další ověřování vyžaduje jménem uživatele.If you have configured single sign-on, the connector performs any additional authentication required on behalf of the user.
  5. Konektor odešle požadavek na místní aplikace.The connector sends the request to the on-premises application.
  6. Odpověď je odeslána prostřednictvím konektoru a služby proxy aplikací k uživateli.The response is sent through the connector and Application Proxy service to the user.
SoučástComponent PopisDescription
Koncový bodEndpoint Koncový bod je adresa URL nebo portál pro koncové uživatele.The endpoint is a URL or an end-user portal. Uživatelé mohli spojit aplikace během mimo vaši síť díky přístupu do externí adresu URL.Users can reach applications while outside of your network by accessing an external URL. Uživatelé ve vaší síti přístup k aplikaci pomocí adresy URL nebo portálu pro koncové uživatele.Users within your network can access the application through a URL or an end-user portal. Uživatelé přejít na jednu z těchto koncových bodů, ověřování ve službě Azure AD a pak se směrují prostřednictvím konektoru pro místní aplikace.When users go to one of these endpoints, they authenticate in Azure AD and then are routed through the connector to the on-premises application.
Azure ADAzure AD Azure AD provádí ověřování pomocí adresáře tenanta, který je uložený v cloudu.Azure AD performs the authentication using the tenant directory stored in the cloud.
Služba proxy aplikacíApplication Proxy service Tato služba proxy aplikací běží v cloudu jako součást služby Azure AD.This Application Proxy service runs in the cloud as part of Azure AD. Předá přihlašovací token od uživatele k konektoru proxy aplikací.It passes the sign-on token from the user to the Application Proxy Connector. Proxy aplikace přepošle všechny dostupné hlavičky na žádosti a nastaví hlavičky podle jejího protokolu na IP adresu klienta.Application Proxy forwards any accessible headers on the request and sets the headers as per its protocol, to the client IP address. Pokud příchozí požadavek na proxy již má tuto hlavičku, adresa IP klienta se přidá na konec seznamu odděleného čárkami, který je hodnotou záhlaví.If the incoming request to the proxy already has that header, the client IP address is added to the end of the comma separated list that is the value of the header.
Konektor proxy aplikacíApplication Proxy Connector Konektor je jednoduchý agent, který běží na Windows serveru ve vaší síti.The connector is a lightweight agent that runs on a Windows Server inside your network. Konektor spravuje komunikaci mezi službou proxy aplikací v cloudu a místní aplikací.The connector manages communication between the Application Proxy service in the cloud and the on-premises application. Konektor používá pouze odchozí připojení, takže nemusíte otevírat žádné příchozí porty ani nic vkládat do DMZ.The connector only uses outbound connections, so you don't have to open any inbound ports or put anything in the DMZ. Konektory jsou bezstavové a aktivního získávání informací z cloudu podle potřeby.The connectors are stateless and pull information from the cloud as necessary. Další informace o konektorech, jako je například vyrovnávání zatížení a ověřování, najdete v tématu vysvětlení konektorů Azure proxy aplikací služby AD.For more information about connectors, like how they load-balance and authenticate, see Understand Azure AD Application Proxy connectors.
Služba Active Directory (AD)Active Directory (AD) Služba Active Directory pracuje místně a provádí ověřování pro doménové účty.Active Directory runs on-premises to perform authentication for domain accounts. Pokud je nakonfigurováno jednotné přihlašování, konektor komunikuje se službou AD za účelem provedení dalšího vyžadovaného ověřování.When single sign-on is configured, the connector communicates with AD to perform any additional authentication required.
Místní aplikaceOn-premises application Nakonec může uživatel získat přístup k místní aplikaci.Finally, the user is able to access an on-premises application.

Další krokyNext steps

Pokud chcete začít používat proxy aplikace, přečtěte si téma kurz: Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací.To start using Application Proxy, see Tutorial: Add an on-premises application for remote access through Application Proxy.

Nejnovější novinky a aktualizace najdete na blogu proxy aplikací .For the latest news and updates, see the Application Proxy blog