Offrir un accès à distance sécurisé aux applications localesHow to provide secure remote access to on-premises applications

Aujourd’hui, les employés veulent être productifs partout, tout le temps, depuis n’importe quel appareil.Employees today want to be productive at any place, at any time, and from any device. Ils veulent pouvoir travailler sur leurs propres appareils (tablettes, téléphones ou ordinateurs portables).They want to work on their own devices, whether they be tablets, phones, or laptops. Ils veulent aussi pouvoir accéder à toutes leurs applications, qu’il s’agisse d’applications SaaS dans le cloud ou d’applications métier sur le réseau local de l’entreprise.And they expect to be able to access all their applications, both SaaS apps in the cloud and corporate apps on-premises. La fourniture d’un accès aux applications locales implique généralement le recours à des réseaux privés virtuels (VPN) ou à des zones démilitarisées (DMZ).Providing access to on-premises applications has traditionally involved virtual private networks (VPNs) or demilitarized zones (DMZs). Non seulement ces solutions sont complexes et difficiles à sécuriser, mais leur configuration et leur gestion ont un coût élevé.Not only are these solutions complex and hard to make secure, but they are costly to set up and manage.

Il y a une meilleure solution.There is a better way!

Le monde du travail mobile actuel axé sur le cloud exige une solution d’accès à distance moderne.A modern workforce in the mobile-first, cloud-first world needs a modern remote access solution. Le Proxy d’application Azure AD est une fonctionnalité d’Azure Active Directory qui fournit un accès à distance en tant que service.Azure AD Application Proxy is a feature of Azure Active Directory that offers remote access as a service. Il est donc facile à déployer, à utiliser et à gérer.That means it's easy to deploy, use, and manage.

Note

Pour savoir si des fonctionnalités spécifiques sont prises en charge par votre type de licence, consultez la page Tarification d’Azure Active Directory.To learn if specific features are supported by your license type, check the Azure Active Directory Pricing information page.

Présentation du Proxy d’application Azure Active DirectoryWhat is Azure Active Directory Application Proxy?

Le Proxy d’application Azure AD offre une authentification unique (SSO) et un accès à distance sécurisé pour les applications web hébergées en local.Azure AD Application Proxy provides single sign-on (SSO) and secure remote access for web applications hosted on-premises. Parmi les applications que vous pourriez souhaiter publier se trouvent les sites SharePoint, Outlook Web Access ou toute autre application web LOB dont vous disposez.Some apps you would want to publish include SharePoint sites, Outlook Web Access, or any other LOB web applications you have. Ces applications web locales sont intégrées à Azure AD, la même plateforme d’identité et de contrôle que celle utilisée par O365.These on-premises web applications are integrated with Azure AD, the same identity and control platform that is used by O365. Les utilisateurs peuvent accéder aux applications locales de la même manière qu’ils accèdent à O365 et à d’autres applications SaaS intégrées à Azure AD.End users can access your on-premises applications the same way they access O365 and other SaaS apps integrated with Azure AD. Il n’est pas nécessaire de modifier l’infrastructure réseau ou de disposer d’un VPN pour pouvoir proposer cette solution à vos utilisateurs.You don't need to change the network infrastructure or require VPN to provide this solution for your users.

Pourquoi le proxy d’application est-il une meilleure solution ?Why is Application Proxy a better solution?

Le Proxy d’application Azure AD fournit une solution d’accès à distance simple, sécurisée et rentable à toutes vos applications locales.Azure AD Application Proxy provides a simple, secure, and cost-effective remote access solution to all your on-premises applications.

Le Proxy d’application Azure AD est :Azure AD Application Proxy is:

  • SimpleSimple
    • Vous n’avez pas besoin de modifier ou de mettre à jour vos applications pour qu’elles fonctionnent avec le Proxy d’application.You don't need to change or update your applications to work with Application Proxy.
    • Vos utilisateurs bénéficient d’une expérience d’authentification cohérente.Your users get a consistent authentication experience. Ils peuvent utiliser le portail MyApps pour obtenir une authentification unique pour les applications SaaS du cloud et pour vos applications locales.They can use the MyApps portal to get single sign-on to both SaaS apps in the cloud and your apps on-premises.
  • SécuriserSecure
    • Lorsque vous publiez vos applications à l’aide du Proxy d’application Azure AD, vous pouvez tirer parti des nombreux contrôles d’autorisation et des analyses de sécurité dans Azure.When you publish your apps using Azure AD Application Proxy, you can take advantage of the rich authorization controls and security analytics in Azure. Vous obtenez une sécurité à l’échelle du cloud et des fonctionnalités de sécurité Azure, telles que l’accès conditionnel et la vérification en deux étapes.You get cloud-scale security and Azure security features like conditional access and two-step verification.
    • Vous n’êtes pas obligé d’ouvrir une connexion entrante via le pare-feu pour fournir à vos utilisateurs un accès à distance.You don't have to open any inbound connections through your firewall to give your users remote access.
  • ÉconomiqueCost-effective
    • Le Proxy d’application fonctionne dans le cloud, afin de vous permettre de gagner du temps et de faire des économies.Application Proxy works in the cloud, so you can save time and money. Les solutions locales vous obligent généralement à définir et à gérer les zones démilitarisées, les serveurs Edge ou les autres infrastructures complexes.On-premises solutions typically require you to set up and maintain DMZs, edge servers, or other complex infrastructures.

Quels types d’applications fonctionnent avec le Proxy d’application ?What kind of applications work with Application Proxy?

Avec le Proxy d’application Azure AD, vous pouvez accéder à différents types d’applications internes :With Azure AD Application Proxy you can access different types of internal applications:

  • Applications web qui utilisent l’authentification Windows intégrée pour l’authentificationWeb applications that use Integrated Windows Authentication for authentication
  • Applications web qui utilisent l’accès basé sur un en-tête ou sur un formulaireWeb applications that use form-based or header-based access
  • API web que vous voulez exposer aux applications enrichies sur différents appareilsWeb APIs that you want to expose to rich applications on different devices
  • Applications hébergées derrière une passerelle Bureau à distanceApplications hosted behind a Remote Desktop Gateway
  • Applications clientes complètes intégrées à Active Directory Authentication Library (ADAL)Rich client apps that are integrated with the Active Directory Authentication Library (ADAL)

Comment fonctionne le Proxy d’application ?How does Application Proxy work?

Vous devez configurer deux composants pour faire fonctionner le Proxy d’application : un connecteur et un point de terminaison externe.There are two components that you need to configure to make Application Proxy work: a connector and an external endpoint.

Le connecteur est un agent léger qui se trouve sur un serveur Windows au sein de votre réseau.The connector is a lightweight agent that sits on a Windows Server inside your network. Le connecteur fluidifie le flux de trafic du service de Proxy d’application dans le cloud vers votre application locale.The connector facilitates the traffic flow from the Application Proxy service in the cloud to your application on-premises. Il n’utilise que des connexions sortantes ; vous n’êtes donc pas obligé d’ouvrir des ports entrants ou de placer quoi que ce soit dans la zone démilitarisée.It only uses outbound connections, so you don't have to open any inbound ports or put anything in the DMZ. Les connecteurs sont sans état et extraient les informations dont ils ont besoin sur le cloud.The connectors are stateless and pull information from the cloud as necessary. Pour savoir comment les connecteurs équilibrent la charge ou s’authentifient, voir Présentation des connecteurs de proxy d’application Azure AD.For more information about connectors, like how they load-balance and authenticate, see Understand Azure AD Application Proxy connectors.

C’est par le point de terminaison externe que vos utilisateurs atteignent les applications hors de votre réseau.The external endpoint is how your users reach your applications while outside of your network. Ils peuvent accéder directement à une URL externe que vous déterminez, ou accéder à l’application via le portail MyApps.They can either go directly to an external URL that you determine, or they can access the application through the MyApps portal. Lorsque les utilisateurs passent par l’un de ces points de terminaison, ils s’authentifient dans Azure AD, puis sont acheminés via le connecteur vers l’application locale.When users go to one of these endpoints, they authenticate in Azure AD and then are routed through the connector to the on-premises application.

Diagramme du Proxy d’application Azure AD

  1. L’utilisateur accède à l’application par le biais du service de proxy d’application et il est dirigé vers la page de connexion Azure AD pour s’identifier.The user accesses the application through the Application Proxy service and is directed to the Azure AD sign-in page to authenticate.
  2. Après la connexion, un jeton est généré et envoyé à l’appareil client.After a successful sign-in, a token is generated and sent to the client device.
  3. Le client envoie le jeton au service de proxy d’application qui récupère le nom d’utilisateur principal (UPN) et le nom de sécurité principal (SPN) du jeton, puis dirige la requête vers le connecteur du proxy d’application.The client sends the token to the Application Proxy service, which retrieves the user principal name (UPN) and security principal name (SPN) from the token, then directs the request to the Application Proxy connector.
  4. Si vous avez configuré l’authentification unique, le connecteur effectue toute authentification supplémentaire requise pour le compte de l’utilisateur.If you have configured single sign-on, the connector performs any additional authentication required on behalf of the user.
  5. Le connecteur envoie la requête à l’application locale.The connector sends the request to the on-premises application.
  6. La réponse est envoyée à l’utilisateur par le biais du service et du connecteur de proxy d’application.The response is sent through Application Proxy service and connector to the user.

Authentification uniqueSingle sign-on

Le Proxy d’application Azure AD fournit l’authentification unique (SSO) aux applications qui utilisent l’authentification Windows intégrée (IWA) ou aux applications prenant en charge les revendications.Azure AD Application Proxy provides single sign-on (SSO) to applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Si votre application utilise l’authentification IWA, le Proxy d’application emprunte l’identité de l’utilisateur à l’aide de la délégation Kerberos contrainte pour fournir l’authentification unique.If your application uses IWA, Application Proxy impersonates the user using Kerberos Constrained Delegation to provide SSO. Si vous avez une application prenant en charge les revendications qui fait confiance à Azure Active Directory, l’authentification unique fonctionne, car l’utilisateur a déjà été authentifié par Azure AD.If you have a claims-aware application that trusts Azure Active Directory, SSO works because the user was already authenticated by Azure AD.

Pour plus d’informations sur Kerberos, consultez la page All you want to know about Kerberos Constrained Delegation (KCD) (Tout ce que vous voulez savoir sur Kerberos Constrained Delegation (KCD)).For more information about Kerberos, see All you want to know about Kerberos Constrained Delegation (KCD).

Gestion des applicationsManaging apps

Une fois votre application publiée avec le Proxy d’application, la gestion se fait comme pour toute autre application d’entreprise dans le portail Azure.Once your app is published with Application Proxy, you can manage it like any other enterprise app in the Azure portal. Vous pouvez utiliser les fonctionnalités de sécurité Azure Active Directory (accès conditionnel et vérification en deux étapes, par exemple), mais aussi contrôler les autorisations des utilisateurs et personnaliser la marque de votre application.You can use Azure Active Directory security features like conditional access and two-step verification, control user permissions, and customize the branding for your app.

Prise en mainGet started

Avant de configurer le Proxy d’application, assurez-vous d’être l’administrateur global d’une édition d’Azure Active Directory et d’un annuaire pris en charge.Before you configure Application Proxy, make sure you have a supported Azure Active Directory edition and an Azure AD directory for which you are a global administrator.

Prise en main du Proxy d’application en deux étapes :Get started with Application Proxy in two steps:

  1. Activer le proxy d’application et configurer le connecteur.Enable Application Proxy and configure the connector.
  2. Publier des applications : utilisez l’Assistant simple et rapide pour publier vos applications locales et les rendre accessibles à distance.Publish applications - use the quick and easy wizard to get your on-premises apps published and accessible remotely.

Et ensuite ?What's next?

Une fois votre première application publiée, vous pouvez faire bien d’autres choses encore avec le Proxy d’application :Once you publish your first app, there's a lot more you can do with Application Proxy:

Pour les dernières nouvelles et mises à jour, consultez le site Application Proxy blogFor the latest news and updates, check out the Application Proxy blog