Accès à distance aux applications locales via le service Proxy d’application Azure Active DirectoryRemote access to on-premises applications through Azure Active Directory's Application Proxy

Le proxy d’application Azure Active Directory offre un accès à distance sécurisé pour les applications web.Azure Active Directory's Application Proxy provides secure remote access to on-premises web applications. Après une authentification unique à Azure AD, les utilisateurs peuvent accéder aux applications cloud et locales par le biais d’une URL externe ou un portail d’applications interne.After a single sign-on to Azure AD, users can access both cloud and on-premises applications through an external URL or an internal application portal. Par exemple, Application Proxy peut fournir un accès à distance et une authentification unique aux applications Bureau à distance, SharePoint, Teams, Tableau, Qlik et aux applications métier (LOB).For example, Application Proxy can provide remote access and single sign-on to Remote Desktop, SharePoint, Teams, Tableau, Qlik, and line of business (LOB) applications.

Le Proxy d’application Azure AD est :Azure AD Application Proxy is:

  • Simple à utiliser.Simple to use. Les utilisateurs peuvent accéder aux applications locales de la même manière qu’ils accèdent à O365 et à d’autres applications SaaS intégrées à Azure AD.Users can access your on-premises applications the same way they access O365 and other SaaS apps integrated with Azure AD. Vous n’avez pas besoin de modifier ou de mettre à jour vos applications pour qu’elles fonctionnent avec le Proxy d’application.You don't need to change or update your applications to work with Application Proxy.

  • Sécurisé.Secure. Les applications locales peuvent utiliser les contrôles d’autorisation et les analyses de sécurité d’Azure.On-premises applications can use Azure's authorization controls and security analytics. Par exemple, les applications locales peuvent utiliser l’accès conditionnel et la vérification en deux étapes.For example, on-premises applications can use conditional access and two-step verification. Proxy d’application ne vous oblige à ouvrir les connexions entrantes par le biais de votre pare-feu.Application Proxy doesn't require you to open inbound connections through your firewall.

  • Économique.Cost-effective. Les solutions locales vous obligent généralement à configurer et à gérer des zones démilitarisées (DMZ), des serveurs Edge ou autres infrastructures complexes.On-premises solutions typically require you to set up and maintain demilitarized zones (DMZs), edge servers, or other complex infrastructures. Proxy d’application s’exécute dans le cloud, ce qui simplifie son utilisation.Application Proxy runs in the cloud, which makes it easy to use. Pour utiliser le Proxy d’application, vous n’avez pas besoin de modifier l’infrastructure de réseau ou d’installer des appliances supplémentaires dans votre environnement local.To use Application Proxy, you don't need to change the network infrastructure or install additional appliances in your on-premises environment.

Présentation de Proxy d’applicationWhat is Application Proxy?

Le Proxy d’application est une fonctionnalité d’Azure AD qui permet aux utilisateurs d’accéder à des applications web locales à partir d’un client distant.Application Proxy is a feature of Azure AD that enables users to access on-premises web applications from a remote client. Le Proxy d’application inclut le service Proxy d’application qui s’exécute dans le cloud et le connecteur Proxy d’Application qui s’exécute sur un serveur local.Application Proxy includes both the Application Proxy service which runs in the cloud, and the Application Proxy connector which runs on an on-premises server. Azure AD, le service Proxy d'application et le connecteur Proxy d’application fonctionnent ensemble pour transmettre en toute sécurité le jeton de connexion utilisateur Azure AD à l'application Web.Azure AD, the Application Proxy service, and the Application Proxy connector work together to securely pass the user sign-on token from Azure AD to the web application.

Proxy d’application fonctionne avec les ressources suivantes :Application Proxy works with:

Proxy d’application prend en charge l’authentification unique.Application Proxy supports single sign-on. Pour plus d’informations sur les méthodes prises en charge, consultez Choix d’une méthode d’authentification unique.For more information on supported methods, see Choosing a single sign-on method.

Fonctionnement de Proxy d’applicationHow Application Proxy works

Le diagramme suivant montre comment Azure AD et Application Proxy fonctionnent ensemble pour fournir une authentification unique aux applications locales.The following diagram shows how Azure AD and Application Proxy work together to provide single sign-on to on-premises applications.

Diagramme du Proxy d’application Azure AD

  1. Une fois que l’utilisateur a accédé à l’application par le biais d’un point de terminaison, il est dirigé vers la page de connexion Azure AD.After the user has accessed the application through an endpoint, the user is directed to the Azure AD sign-in page.
  2. Après la connexion, Azure AD envoie un jeton à l’appareil client de l’utilisateur.After a successful sign-in, Azure AD sends a token to the user's client device.
  3. Le client envoie le jeton au service Proxy d’application qui récupère le nom d’utilisateur principal (UPN) et le nom de sécurité principal (SPN) du jeton.The client sends the token to the Application Proxy service, which retrieves the user principal name (UPN) and security principal name (SPN) from the token. Proxy d’application envoie la requête au connecteur Proxy d’application.Application Proxy then sends the request to the Application Proxy connector.
  4. Si vous avez configuré l’authentification unique, le connecteur effectue toute authentification supplémentaire requise pour le compte de l’utilisateur.If you have configured single sign-on, the connector performs any additional authentication required on behalf of the user.
  5. Le connecteur envoie la requête à l’application locale.The connector sends the request to the on-premises application.
  6. La réponse est envoyée à l’utilisateur par le biais du connecteur et du service Proxy d’application.The response is sent through the connector and Application Proxy service to the user.
ComposantComponent DescriptionDescription
Point de terminaisonEndpoint Le point de terminaison est une URL ou un portail d’utilisateurs finaux.The endpoint is a URL or an end-user portal. Les utilisateurs peuvent accéder à des applications en dehors de votre réseau au moyen d’une URL externe.Users can reach applications while outside of your network by accessing an external URL. Les utilisateurs au sein de votre réseau peuvent accéder à l’application par le biais d’une URL ou d’un portail d’utilisateurs finaux.Users within your network can access the application through a URL or an end-user portal. Lorsque les utilisateurs passent par l’un de ces points de terminaison, ils s’authentifient dans Azure AD, puis sont acheminés via le connecteur vers l’application locale.When users go to one of these endpoints, they authenticate in Azure AD and then are routed through the connector to the on-premises application.
Azure ADAzure AD Azure AD effectue l’authentification en utilisant l’annuaire des locataires stocké dans le cloud.Azure AD performs the authentication using the tenant directory stored in the cloud.
Service Proxy d’applicationApplication Proxy service Ce service Proxy d’application s’exécute dans le cloud dans le cadre d’Azure AD.This Application Proxy service runs in the cloud as part of Azure AD. Il transmet le jeton d’authentification de l’utilisateur pour le connecteur Proxy d’application.It passes the sign-on token from the user to the Application Proxy Connector. Proxy d'application transmet tous les en-têtes accessibles de la requête et définit les en-têtes à l’adresse IP du client conformément à son protocole.Application Proxy forwards any accessible headers on the request and sets the headers as per its protocol, to the client IP address. Si la requête entrante vers le proxy possède déjà cet en-tête, l’adresse IP du client est ajoutée à la fin de la liste délimitée par des virgules qui est, en fait, la valeur de l’en-tête.If the incoming request to the proxy already has that header, the client IP address is added to the end of the comma separated list that is the value of the header.
Connecteur Proxy d'applicationApplication Proxy Connector Le connecteur est un agent léger qui s’exécute sur un serveur Windows au sein de votre réseau.The connector is a lightweight agent that runs on a Windows Server inside your network. Le connecteur gère la communication entre le service Application Proxy dans le cloud et l’application locale.The connector manages communication between the Application Proxy service in the cloud and the on-premises application. Le connecteur n’utilise que des connexions sortantes ; vous n’êtes donc pas obligé d’ouvrir des ports entrants ou de placer quoi que ce soit dans la zone démilitarisée.The connector only uses outbound connections, so you don't have to open any inbound ports or put anything in the DMZ. Les connecteurs sont sans état et extraient les informations dont ils ont besoin sur le cloud.The connectors are stateless and pull information from the cloud as necessary. Pour savoir comment les connecteurs équilibrent la charge ou s’authentifient, voir Présentation des connecteurs de proxy d’application Azure AD.For more information about connectors, like how they load-balance and authenticate, see Understand Azure AD Application Proxy connectors.
Active Directory (AD)Active Directory (AD) Active Directory s'exécute localement pour effectuer l’authentification des comptes de domaine.Active Directory runs on-premises to perform authentication for domain accounts. Lorsque l’authentification unique est configurée, le connecteur communique avec AD pour effectuer toute authentification supplémentaire requise.When single sign-on is configured, the connector communicates with AD to perform any additional authentication required.
Application localeOn-premises application Enfin, l’utilisateur est en mesure d’accéder à une application locale.Finally, the user is able to access an on-premises application.

Étapes suivantesNext steps

Pour commencer à utiliser Proxy d’application, consultez Tutoriel : Ajouter des applications locales pour un accès à distance via le service Proxy d’application.To start using Application Proxy, see Tutorial: Add an on-premises application for remote access through Application Proxy.

Pour les dernières nouvelles et mises à jour, consultez le site Application Proxy blogFor the latest news and updates, see the Application Proxy blog