Headerbasiertes einmaliges Anmelden für lokale Apps mit dem Azure AD-Anwendungsproxy

Vom Azure AD-Anwendungsproxy (Azure Active Directory) wird der Zugriff auf Anwendungen, die Header für die Authentifizierung nutzen, per einmaligem Anmelden nativ unterstützt. Sie können Headerwerte konfigurieren, die für Ihre Anwendung in Azure AD benötigt werden. Die Headerwerte werden über den Anwendungsproxy an die Anwendung gesendet. Hier sind einige Beispiele für die Vorteile aufgeführt, die sich bei der Nutzung der nativen Unterstützung für die headerbasierte Authentifizierung mit dem Anwendungsproxy ergeben:

  • Vereinfachung der Bereitstellung des Remotezugriffs auf Ihre lokalen Apps: Mit einem Anwendungsproxy können Sie Ihre vorhandene Architektur für Remotezugriffe vereinfachen. Sie können den VPN-Zugriff auf diese Apps ersetzen. Darüber hinaus können Sie auch Abhängigkeiten von lokalen Identitätslösungen für die Authentifizierung entfernen. Ihre Benutzer bemerken keinen Unterschied, wenn sie sich für die Nutzung Ihrer Unternehmensanwendungen anmelden. Sie können weiterhin überall und auf beliebigen Geräten arbeiten.

  • Keine zusätzliche Software oder Änderungen an Ihren Apps: Sie können Ihre vorhandenen Anwendungsproxyconnectors verwenden, und es muss keine weitere Software installiert werden.

  • Umfangreiche Liste mit verfügbaren Attributen und Transformationen: Alle verfügbaren Headerwerte basieren auf Standardansprüchen, die von Azure AD ausgegeben werden. Alle Attribute und Transformationen, die für das Konfigurieren von Ansprüchen für SAML- oder OIDC-Anwendungen verfügbar sind, können auch als Headerwerte verwendet werden.

Voraussetzungen

Vergewissern Sie sich vor Ihren ersten Schritten mit dem einmaligen Anmelden für Apps mit headerbasierter Authentifizierung, dass Ihre Umgebung über die folgenden Einstellungen und Konfigurationen verfügt:

Unterstützte Funktionen

In der folgenden Tabelle sind die allgemeinen Funktionen angegeben, die für Anwendungen mit headerbasierter Authentifizierung und Unterstützung für den Anwendungsproxy erforderlich sind.

Anforderung BESCHREIBUNG
Verbund-SSO Im Modus der Vorauthentifizierung sind alle Anwendungen per Azure AD-Authentifizierung geschützt, und Benutzer können einmaliges Anmelden nutzen.
Remotezugriff Der Anwendungsproxy ermöglicht den Remotezugriff auf die App. Benutzer können über das Internet auf die Anwendung zugreifen, indem sie einen beliebigen Browser und die externe URL verwenden. Der Anwendungsproxy ist nicht für den Unternehmenszugriff vorgesehen.
Headerbasierte Integration Vom Anwendungsproxy wird die SSO-Integration mit Azure AD durchgeführt, und anschließend werden Identitäts- oder andere Anwendungsdaten als HTTP-Header an die Anwendung übergeben.
Anwendungsautorisierung Allgemeine Richtlinien können basierend auf der Anwendung, auf die zugegriffen wird, der Gruppenmitgliedschaft des Benutzers und anderen Richtlinien angegeben werden. In Azure AD werden Richtlinien über den bedingten Zugriff implementiert. Richtlinien für die Anwendungsautorisierung gelten nur für die erste Authentifizierungsanforderung.
Step-up-Authentifizierung Richtlinien können so definiert werden, dass eine weitere Authentifizierung erzwungen wird, z. B. um Zugriff auf vertrauliche Ressourcen zu erhalten.
Differenzierte Autorisierung Ermöglicht die Zugriffssteuerung auf der URL-Ebene. Hinzugefügte Richtlinien können basierend auf der URL erzwungen werden, auf die zugegriffen wird. Mit der internen URL, die für die App konfiguriert wird, wird der Bereich der App definiert, für den die Richtlinie gilt. Die Richtlinie, die für den präzisesten Pfad konfiguriert wurde, wird erzwungen.

Hinweis

In diesem Artikel geht es um das Verbinden von Anwendungen mit headerbasierter Authentifizierung mit Azure AD per Anwendungsproxy. Dies ist die empfohlene Vorgehensweise. Eine Alternative ist ein Integrationsmuster, bei dem PingAccess mit Azure AD verwendet wird, um die headerbasierte Authentifizierung zu ermöglichen. Ausführlichere Informationen finden Sie unter Headerbasierte Authentifizierung für einmaliges Anmelden mit Anwendungsproxy und PingAccess.

Funktionsweise

How header-based single sign-on works with Application Proxy.

  1. Der Administrator passt die Attributzuordnungen, die für die Anwendung benötigt werden, im Azure AD-Portal an.
  2. Wenn ein Benutzer auf die App zugreift, wird mit dem Anwendungsproxy sichergestellt, dass der Benutzer von Azure AD authentifiziert wird.
  3. Der Anwendungsproxy-Clouddienst verfügt über die Informationen darüber, welche Attribute erforderlich sind. Der Dienst ruft die entsprechenden Ansprüche also über das ID-Token ab, das während der Authentifizierung empfangen wird. Der Dienst übersetzt die Werte im Rahmen der Anforderung an den Connector dann in die erforderlichen HTTP-Header.
  4. Anschließend wird die Anforderung an den Connector übergeben, der dann an die Back-End-Anwendung übergeben wird.
  5. Die Anwendung empfängt die Header und kann diese je nach Bedarf nutzen.

Veröffentlichen der Anwendung mit dem Anwendungsproxy

  1. Veröffentlichen Sie Ihre Anwendung entsprechend den Anweisungen unter Veröffentlichen von Anwendungen mit einem Anwendungsproxy.

    • Mit dem Wert der internen URL wird der Bereich der Anwendung bestimmt. Wenn Sie den Wert der internen URL über den Stammpfad der Anwendung konfigurieren, erhalten alle Unterpfade des Stammpfads die gleiche Headerkonfiguration und die andere Anwendungskonfiguration.
    • Erstellen Sie eine neue Anwendung, um eine andere Headerkonfiguration oder Benutzerzuweisung für einen präziseren Pfad als für die von Ihnen konfigurierte Anwendung festzulegen. Konfigurieren Sie in der neuen Anwendung die interne URL mit dem angegebenen Pfad, den Sie benötigen, und anschließend die erforderlichen spezifischen Header für diese URL. Der Anwendungsproxy entspricht immer Ihren Konfigurationseinstellungen für den präzisesten Pfad, der für eine Anwendung festgelegt wurde.
  2. Wählen Sie Azure Active Directory als Pre-authentication Method (Methode für die Vorauthentifizierung) aus.

  3. Weisen Sie einen Testbenutzer zu, indem Sie zu Benutzer und Gruppen navigieren und die Zuweisung der entsprechenden Benutzer und Gruppen durchführen.

  4. Öffnen Sie einen Browser, und navigieren Sie in den Einstellungen für den Anwendungsproxy zu Externe URL.

  5. Vergewissern Sie sich, dass Sie eine Verbindung mit der Anwendung herstellen können. Auch wenn die Verbindung möglich ist, haben Sie noch keinen Zugriff auf die App, weil die Header nicht konfiguriert sind.

Einmaliges Anmelden konfigurieren

Bevor Sie mit den ersten Schritten des einmaligen Anmeldens für headerbasierte Anwendungen beginnen, sollten Sie bereits einen Anwendungsproxyconnector installiert haben. Der Connector muss Zugriff auf die Zielanwendungen haben. Führen Sie andernfalls die Schritte im Tutorial zum Azure AD-Anwendungsproxy aus, und fahren Sie dann hier fort.

  1. Wenn Ihre Anwendung in der Liste mit den Unternehmensanwendungen angezeigt wird, wählen Sie zunächst die Anwendung und dann die Option Einmaliges Anmelden aus.
  2. Legen Sie den Modus für einmaliges Anmelden auf Headerbasiert fest.
  3. In der Standardkonfiguration ist standardmäßig Azure Active Directory ausgewählt.
  4. Wählen Sie unter „Header“ das Stiftsymbol für die Bearbeitung aus, um die Header für das Senden an die Anwendung zu konfigurieren.
  5. Wählen Sie Add new header (Neuen Header hinzufügen) aus. Geben Sie unter Name einen Namen für den Header an, und wählen Sie entweder Attribut oder Transformation aus. Wählen Sie in der Dropdownliste aus, welcher Header von Ihrer Anwendung benötigt wird.
  6. Wählen Sie „Speichern“ aus.

Testen Ihrer App

Nachdem Sie alle Schritte abgeschlossen haben, sollte Ihre App betriebsbereit und verfügbar sein. So testen Sie die App:

  1. Öffnen Sie ein neues Browserfenster oder ein privates Browserfenster, um sicherzustellen, dass zuvor zwischengespeicherte Header gelöscht werden. Navigieren Sie dann in den Einstellungen für den Anwendungsproxy zu Externe URL.
  2. Melden Sie sich mit dem Testkonto an, das Sie der App zugewiesen haben. Wenn Sie die Anwendung laden und sich per SSO anmelden können, ist alles in Ordnung!

Überlegungen

  • Über den Anwendungsproxy wird der Remotezugriff auf Apps am lokalen Standort oder in einer privaten Cloud bereitgestellt. Der Anwendungsproxy ist nicht dafür vorgesehen, Datenverkehr aus dem internen Unternehmensnetzwerk zu verarbeiten.
  • Der Zugriff auf headerbasierte Authentifizierungsanwendungen sollte ausschließlich auf Datenverkehr vom Connector oder einer anderen zugelassenen headerbasierten Authentifizierungslösung beschränkt sein. Dies erfolgt in der Regel durch Einschränken des Netzwerkzugriffs auf die Anwendung mithilfe einer Firewall oder einer IP-Einschränkung auf dem Anwendungsserver, um keine Angriffsfläche zu bieten.

Nächste Schritte