Remotezugriff auf lokale Anwendungen über den Azure AD-AnwendungsproxyRemote access to on-premises applications through Azure AD Application Proxy

Der Azure Active Directory-Anwendungsproxy ermöglicht den sicheren Remotezugriff auf lokal gehostete Webanwendungen.Azure Active Directory's Application Proxy provides secure remote access to on-premises web applications. Nach dem einmaligen Anmelden in Azure AD können Benutzer über eine externe URL oder ein internes Anwendungsportal auf Cloudanwendungen und lokale Anwendungen zugreifen.After a single sign-on to Azure AD, users can access both cloud and on-premises applications through an external URL or an internal application portal. Der Anwendungsproxy kann z.B. Remotezugriff und einmaliges Anmelden bei Remotedesktop, SharePoint, Teams, Tableau, Qlik und Branchenanwendungen (LOB) bereitstellen.For example, Application Proxy can provide remote access and single sign-on to Remote Desktop, SharePoint, Teams, Tableau, Qlik, and line of business (LOB) applications.

Azure AD-Anwendungsproxy ist:Azure AD Application Proxy is:

  • Einfach zu verwenden.Simple to use. Dadurch können Benutzer auf Ihre lokalen Anwendungen auf die gleiche Weise zugreifen wie auf O365 und andere SaaS-Apps, die in Azure AD integriert sind.Users can access your on-premises applications the same way they access O365 and other SaaS apps integrated with Azure AD. Sie brauchen Ihre Anwendungen nicht ändern oder aktualisieren, damit Sie mit dem Anwendungsproxy funktionieren.You don't need to change or update your applications to work with Application Proxy.

  • Sicher.Secure. Lokale Anwendungen können die Autorisierungssteuerungen und Sicherheitsanalysen von Azure nutzen.On-premises applications can use Azure's authorization controls and security analytics. So können lokale Anwendungen z.B. den bedingten Zugriff und die zweistufige Überprüfung verwenden.For example, on-premises applications can use Conditional Access and two-step verification. Für den Anwendungsproxy müssen Sie keine eingehenden Verbindungen über Ihre Firewall öffnen.Application Proxy doesn't require you to open inbound connections through your firewall.

  • Kosteneffizient.Cost-effective. Für lokale Lösungen müssen Sie in der Regel demilitarisierte Zonen (DMZs), Edgeserver oder andere komplexe Infrastrukturen einrichten und verwalten.On-premises solutions typically require you to set up and maintain demilitarized zones (DMZs), edge servers, or other complex infrastructures. Der Anwendungsproxy wird in der Cloud ausgeführt, sodass seine Verwendung sehr einfach ist.Application Proxy runs in the cloud, which makes it easy to use. Um den Anwendungsproxy verwenden zu können, müssen Sie weder die Netzwerkinfrastruktur ändern noch zusätzliche Appliances in Ihrer lokalen Umgebung installieren.To use Application Proxy, you don't need to change the network infrastructure or install additional appliances in your on-premises environment.

Was ist der Anwendungsproxy?What is Application Proxy?

Der Anwendungsproxy ist ein Feature von Azure AD, mit dem Benutzer von einem Remoteclient aus auf lokale Webanwendungen zugreifen können.Application Proxy is a feature of Azure AD that enables users to access on-premises web applications from a remote client. Der Anwendungsproxy umfasst den Anwendungsproxy-Dienst, der in der Cloud ausgeführt wird, und den Anwendungsproxy-Connector, der auf einem lokalen Server ausgeführt wird.Application Proxy includes both the Application Proxy service which runs in the cloud, and the Application Proxy connector which runs on an on-premises server. Azure AD, der Anwendungsproxy-Dienst und der Anwendungsproxy-Connector arbeiten zusammen, um Benutzeranmeldetoken sicher von Azure AD zur Webanwendung weiterzuleiten.Azure AD, the Application Proxy service, and the Application Proxy connector work together to securely pass the user sign-on token from Azure AD to the web application.

Der Anwendungsproxy funktioniert mit:Application Proxy works with:

  • Webanwendungen, für die zur Authentifizierung die integrierte Windows-Authentifizierung verwendet wirdWeb applications that use Integrated Windows Authentication for authentication
  • Webanwendungen mit formularbasiertem oder headerbasiertem ZugriffWeb applications that use form-based or header-based access
  • Web-APIs, die Sie für umfassende Anwendungen auf unterschiedlichen Geräten verfügbar machen möchtenWeb APIs that you want to expose to rich applications on different devices
  • Hinter einem Remotedesktopgateway gehostete AnwendungenApplications hosted behind a Remote Desktop Gateway
  • Rich Client-Apps, die in die Microsoft Authentication Library (MSAL) integriert sindRich client apps that are integrated with the Microsoft Authentication Library (MSAL)

Der Anwendungsproxy unterstützt das einmalige Anmelden.Application Proxy supports single sign-on. Weitere Informationen zu unterstützten Methoden finden Sie unter Auswählen einer Methode für einmaliges Anmelden.For more information on supported methods, see Choosing a single sign-on method.

Der Anwendungsproxy wird empfohlen, um Remotebenutzern Zugriff auf interne Ressourcen zu gewähren.Application Proxy is recommended for giving remote users access to internal resources. Der Anwendungsproxy ersetzt die Notwendigkeit eines VPN- oder Reverseproxys.Application Proxy replaces the need for a VPN or reverse proxy. Er ist nicht für interne Benutzer im Unternehmensnetzwerk bestimmt.It is not intended for internal users on the corporate network. Diese Benutzer, die den Anwendungsproxy unnötigerweise verwenden, können unerwartete und unerwünschte Leistungsprobleme verursachen.These users who unnecessarily use Application Proxy can introduce unexpected and undesirable performance issues.

Funktionsweise des AnwendungsproxysHow Application Proxy works

Das folgende Diagramm zeigt, wie Azure AD und der Anwendungsproxy gemeinsam das einmalige Anmelden für lokale Anwendungen bereitstellen.The following diagram shows how Azure AD and Application Proxy work together to provide single sign-on to on-premises applications.

Azure AD-Anwendungsproxy – Diagramm

  1. Nachdem der Benutzer über einen Endpunkt auf die Anwendung zugegriffen hat, wird er an die Azure AD-Anmeldeseite umgeleitet.After the user has accessed the application through an endpoint, the user is directed to the Azure AD sign-in page.
  2. Nach der erfolgreichen Anmeldung sendet Azure AD ein Token an das Clientgerät des Benutzers.After a successful sign-in, Azure AD sends a token to the user's client device.
  3. Der Client sendet das Token an den Anwendungsproxy-Dienst, der den Benutzerprinzipalnamen (UPN) und den Sicherheitsprinzipalnamen (SPN) aus dem Token abruft.The client sends the token to the Application Proxy service, which retrieves the user principal name (UPN) and security principal name (SPN) from the token. Der Anwendungsproxy sendet die Anforderung dann zum Anwendungsproxy-Connector.Application Proxy then sends the request to the Application Proxy connector.
  4. Wenn Sie das SSO konfiguriert haben, führt der Connector jede weitere erforderliche Authentifizierung im Namen des Benutzers durch.If you have configured single sign-on, the connector performs any additional authentication required on behalf of the user.
  5. Der Connector sendet die Anforderung an die lokale Anwendung.The connector sends the request to the on-premises application.
  6. Die Antwort wird über den Connector und den Anwendungsproxy-Dienst an den Benutzer gesendet.The response is sent through the connector and Application Proxy service to the user.
KomponenteComponent BESCHREIBUNGDescription
EndpunktEndpoint Der Endpunkt ist eine URL oder ein Endbenutzerportal.The endpoint is a URL or an end-user portal. Benutzer können außerhalb Ihres Netzwerks über eine externe URL auf Anwendungen zugreifen.Users can reach applications while outside of your network by accessing an external URL. Benutzer in Ihrem Netzwerk können über eine URL oder ein Endbenutzerportal auf die Anwendung zugreifen.Users within your network can access the application through a URL or an end-user portal. Wenn Benutzer einen dieser Endpunkte erreichen, authentifizieren sie sich in Azure AD und werden dann über den Connector an die lokale Anwendung geleitet.When users go to one of these endpoints, they authenticate in Azure AD and then are routed through the connector to the on-premises application.
Azure ADAzure AD Azure AD führt die Authentifizierung mit dem Mandantenverzeichnis aus, das in der Cloud gespeichert ist.Azure AD performs the authentication using the tenant directory stored in the cloud.
Anwendungsproxy-DienstApplication Proxy service Dieser Anwendungsproxy-Dienst wird in der Cloud als Teil von Azure AD ausgeführt.This Application Proxy service runs in the cloud as part of Azure AD. Er übergibt das Anmeldetoken des Benutzers an den Anwendungsproxy-Connector.It passes the sign-on token from the user to the Application Proxy Connector. Der Anwendungsproxy leitet alle in der Anforderung verfügbaren Header weiter und legt die Header gemäß seinem Protokoll auf die Client-IP-Adresse fest.Application Proxy forwards any accessible headers on the request and sets the headers as per its protocol, to the client IP address. Enthält die eingehende Anforderung an den Proxy bereits diesen Header, wird die Client-IP-Adresse am Ende der durch Trennzeichen getrennten Liste hinzugefügt, die der Wert des Headers ist.If the incoming request to the proxy already has that header, the client IP address is added to the end of the comma separated list that is the value of the header.
Anwendungsproxy-ConnectorApplication Proxy Connector Der Connector ist ein einfacher Agent, der auf einem Windows-Server innerhalb Ihres Netzwerks ausgeführt wird.The connector is a lightweight agent that runs on a Windows Server inside your network. Der Connector verwaltet die Kommunikation zwischen dem Anwendungsproxydienst in der Cloud und der lokalen Anwendung.The connector manages communication between the Application Proxy service in the cloud and the on-premises application. Der Connector verwendet nur ausgehende Verbindungen. Sie müssen also keine eingehenden Ports öffnen oder Ressourcen in die DMZ einfügen.The connector only uses outbound connections, so you don't have to open any inbound ports or put anything in the DMZ. Connectors sind zustandslos und rufen alle Informationen nach Bedarf aus der Cloud ab.The connectors are stateless and pull information from the cloud as necessary. Weitere Informationen zu Connectors, z.B. wie der Lastenausgleich und die Authentifizierung funktioniert, finden Sie unter Grundlegendes zu Azure AD-Anwendungsproxyconnectors.For more information about connectors, like how they load-balance and authenticate, see Understand Azure AD Application Proxy connectors.
Active Directory (AD)Active Directory (AD) Active Directory wird lokal ausgeführt, um die Authentifizierung für Domänenkonten durchzuführen.Active Directory runs on-premises to perform authentication for domain accounts. Wenn einmaliges Anmelden konfiguriert ist, kommuniziert der Connector mit AD, um jede weitere erforderliche Authentifizierung auszuführen.When single sign-on is configured, the connector communicates with AD to perform any additional authentication required.
Lokale AnwendungOn-premises application Schließlich kann der Benutzer auf eine lokale Anwendung zugreifen.Finally, the user is able to access an on-premises application.

Nächste SchritteNext steps

Erste Schritte mit dem Anwendungsproxy finden Sie in Tutorial: Hinzufügen einer lokalen Anwendung für den Remotezugriff über den Anwendungsproxy.To start using Application Proxy, see Tutorial: Add an on-premises application for remote access through Application Proxy.