Azure AD alkalmazás-proxy telepítési útmutató

Azure Active Directory (Azure AD) alkalmazásproxy a helyszíni alkalmazások biztonságos és költséghatékony távelérési megoldása. Azonnali áttérési útvonalat biztosít a Cloud First-szervezetek számára a régi helyszíni alkalmazásokhoz való hozzáférés kezeléséhez, amelyek még nem képesek “” modern ’ protokollok használatával. További bevezető információkért lásd: Mi a alkalmazásproxy.

alkalmazásproxy ajánlott a távoli felhasználóknak hozzáférést adni a belső erőforrásokhoz. alkalmazásproxy vpn vagy fordított proxy használatának helyére az ilyen távelérési esetekben van szükség. Nem a vállalati hálózaton keresztüli felhasználók számára tervezték. Az intranetes hozzáféréshez alkalmazásproxy felhasználók nem kívánt teljesítménybeli problémákat tapasztalhatnak.

Ez a cikk az Azure AD-szolgáltatások tervezéséhez, működtetéséhez és kezeléséhez szükséges alkalmazásproxy.

Az implementáció megterve

A következő szakasz átfogó áttekintést nyújt a hatékony üzembe helyezéshez szükséges fő tervezési elemekről.

Előfeltételek

Az implementáció megkezdése előtt teljesítenie kell az alábbi előfeltételeket. A környezet beállításával kapcsolatos további információkat, beleértve ezeket az előfeltételeket is, ebben az oktatóanyagban láthatja.

  • Összekötők:Az összekötők egyszerű ügynökök, amelyekre telepíthetők:

    • Fizikai hardver a helyszínen
    • Bármely hipervizormegoldásban üzemeltetett virtuális gép
    • Az Azure-ban üzemeltetett virtuális gép, amely lehetővé teszi a kimenő kapcsolatot alkalmazásproxy szolgáltatáshoz.
  • Részletesebb áttekintést Azure AD alkalmazás A proxy-összekötők és proxy-összekötők áttekintése témakörben talál.

    • Az összekötők telepítése előtt az összekötő gépeket engedélyezni kell a TLS 1.2-höz.

    • Ha lehetséges, az összekötőket ugyanabban a hálózatban és szegmensben telepítse, mint a háttér-webalkalmazás-kiszolgálókat. Az alkalmazások felderítésének befejezése után ajánlott összekötőket üzembe helyezni.

    • Javasoljuk, hogy minden összekötőcsoport legalább két összekötővel rendelkezik a magas rendelkezésre állás és a méretezés érdekében. A három összekötő optimális arra az esetre, ha bármikor szervizelnünk kell egy gépet. Tekintse át az összekötő kapacitástábláját, amely segít eldönteni, hogy milyen típusú gépre telepítse az összekötőket. Minél nagyobb a gép, annál nagyobb lesz a puffer, és annál nagyobb lesz az összekötő.

  • Hálózati hozzáférési beállítások:Az Azure AD alkalmazásproxy összekötői HTTPS-kapcsolaton (443-as TCP-port) és HTTP-n (80-as TCP-port)keresztül csatlakoznak az Azure-hoz.

    • Az összekötőK TLS-forgalmának megszakítása nem támogatott, és megakadályozza, hogy az összekötők biztonságos csatornát létesítsen a megfelelő Azure-alkalmazásproxy-végpontjaikkal.

    • Kerülje az összekötők és az Azure közötti kimenő TLS-kommunikáción végzett beágyazott vizsgálat minden formáját. Az összekötők és a háttéralkalmazások közötti belső vizsgálat lehetséges, de ronthatja a felhasználói élményt, ezért nem ajánlott.

    • Maguk az összekötők terheléselosztása szintén nem támogatott, és nem is szükséges.

Fontos szempontok az Azure AD-alkalmazásproxy

Az Azure AD-szolgáltatások konfigurálásának és megvalósításához a következő alapvető követelményeknek kell alkalmazásproxy.

  • Azure-beli bevetés:Az alkalmazásproxy üzembe helyezése előtt a felhasználói identitásokat szinkronizálni kell egy helyszíni címtárból, vagy közvetlenül az Azure AD-bérlőkben kell létrehozni. identitásszinkronizálás lehetővé teszi, hogy az Azure AD előzetesen hitelesítse a felhasználókat, mielőtt hozzáférést ad nekik az alkalmazásproxy által közzétett alkalmazásokhoz, és hogy rendelkezik az egyszeri bejelentkezés (SSO) végrehajtásához szükséges felhasználói azonosító adatokkal.

  • Feltételes hozzáférési követelmények:Nem javasoljuk a alkalmazásproxy használata intranetes hozzáféréshez, mert ez olyan késést ad hozzá, amely hatással lesz a felhasználókra. Javasoljuk, hogy alkalmazásproxy előhitelesítési és feltételes hozzáférési házirendekkel használja az internetről történő táveléréshez. A feltételes hozzáférést intranetes használatra úgy lehet biztosítani, hogy modernizálja az alkalmazásokat, hogy azok közvetlenül hitelesíthetők legyenek a AAD. További információ: Resources for migrating applications to AAD to AAD.

  • Szolgáltatáskorlátok:Az erőforrások egyéni bérlők által túltervesztése elleni védelem érdekében alkalmazásonként és bérlőnként szabályozási korlátok vannak beállítva. A korlátokat az Azure AD szolgáltatási korlátozásait és korlátozásait lásd:. Ezek a szabályozási korlátok a tipikus használati mennyiségnél jóval nagyobb teljesítményteszten alapulnak, és elegendő puffert kínálnak az üzemelő példányok többségéhez.

  • Nyilvános tanúsítvány:Ha egyéni tartományneveket használ, TLS-/SSL-tanúsítványt kell beszereznie. A szervezeti követelményektől függően a tanúsítvány lekérhet egy kis időt, és azt javasoljuk, hogy a lehető leghamarabb útjára ássa a folyamatot. Az Azure alkalmazásproxy támogatja a szabványos, helyettesítő vagySAN-alapú tanúsítványokat. További részletekért lásd: Egyéni tartományok konfigurálása az Azure AD alkalmazásproxy.

  • Tartományi követelmények:A Kerberos által korlátozott delegálással (KCD) közzétett alkalmazásokba való egyszeri bejelentkezéshez az összekötőt és az alkalmazást futtató kiszolgálót tartományhoz kell csatlakoztatni, és ugyanannak a tartománynak vagy megbízhatósági tartománynak kell lennie. A témával kapcsolatos részletes információkért lásd: KCD egyszeri bejelentkezéshez alkalmazásproxy. Az összekötő szolgáltatás a helyi rendszer környezetében fut, és nem konfigurálható egyéni identitás használatára.

  • URL-címek DNS-rekordjai

    • Mielőtt egyéni tartományokat használ alkalmazásproxy létre kell hoznia egy CNAME rekordot a nyilvános DNS-ben, amely lehetővé teszi az ügyfelek számára, hogy az egyéni meghatározott külső URL-címet az előre meghatározott alkalmazásproxy feloldják. Ha nem hoz létre CNAME rekordot egy egyéni tartományt használó alkalmazáshoz, a távoli felhasználók nem fognak tudni csatlakozni az alkalmazáshoz. A CNAME-rekordok hozzáadásához szükséges lépések DNS-szolgáltatónként eltérőek lehetnek, ezért ismerje meg, hogyan kezelheti a DNS-rekordokat és -rekordhalmazokat a Azure Portal.

    • Hasonlóképpen, az összekötő gazdagépek képeseknek kell lennie feloldani a közzétett alkalmazások belső URL-címét.

  • Rendszergazdai jogosultságok és szerepkörök

    • Az összekötő telepítéséhez helyi rendszergazdai jogosultság szükséges ahhoz Windows kiszolgálóhoz, amelyre telepítve van. Emellett legalább egy alkalmazás-rendszergazdai szerepkörre van szükség az összekötőpéldány hitelesítéséhez és az Azure AD-bérlőben való regisztrálásához.

    • Az alkalmazások közzétételéhez és felügyelethezalkalmazás-rendszergazdai szerepkör szükséges. Az alkalmazás-rendszergazdák a címtárban található összes alkalmazást kezelhetik, beleértve a regisztrációkat, az SSO-beállításokat, a felhasználói és csoport-hozzárendeléseket és a licencelést, alkalmazásproxy beállításokat és jóváhagyásokat. Nem biztosít lehetőséget a feltételes hozzáférés kezelésére. A felhőalkalmazás-rendszergazda szerepkör az alkalmazás-rendszergazda összes képességével rendelkezik, azzal a kivételekkel, hogy nem engedélyezi az alkalmazásbeállítások alkalmazásproxy felügyeletét.

  • Licencelés:alkalmazásproxy előfizetésen keresztül prémium szintű Azure AD érhető el. A licencelési lehetőségek Azure Active Directory és funkciók teljes listájáért tekintse meg a díjszabási Azure Active Directory oldalon.

Alkalmazásfelderítés

Állítson össze egy leltárt az összes olyan hatókörön belül, amelyet a alkalmazásproxy közzé a következő információk gyűjtésével:

Információ típusa Gyűjthető információk
Szolgáltatástípus Például: SharePoint, SAP, CRM, Egyéni webalkalmazás, API
Alkalmazásplatform Például: IIS Windows Apache On Linux, Tomcat, NGINX
Tartományi tagság Webkiszolgáló ’ teljes tartományneve (FQDN)
Alkalmazás helye Hol található a webkiszolgáló vagy a farm az infrastruktúrában
Belső hozzáférés Az alkalmazás belső eléréséhez használt pontos URL-cím.
Farm esetén milyen típusú terheléselosztást használ?
Azt határozza meg, hogy az alkalmazás nem saját forrásból származó tartalmat rajzol-e.
Állapítsa meg, hogy az alkalmazás WebSocketen keresztül működik-e.
Külső hozzáférés Az a szállítói megoldás, amely számára az alkalmazás már elérhető külsőleg.
A külső hozzáféréshez használni kívánt URL-cím. Ha SharePoint, győződjön meg arról, hogy az alternatív hozzáférés-leképezések az útmutatónak megfelelően vannak konfigurálva. Ha nem, meg kell határoznia külső URL-címeket.
Nyilvános tanúsítvány Ha egyéni tartományt használ, beszerez egy tanúsítványt a megfelelő tulajdonosnévvel. Ha létezik tanúsítvány, jegyezze fel a sorozatszámot és a helyet, ahonnan beszerezhető.
Hitelesítéstípus Az alkalmazás által támogatott hitelesítési típus, például alapszintű, Windows integrációs hitelesítés, űrlapalapú, fejlécalapú és jogcímek.
Ha az alkalmazás úgy van konfigurálva, hogy egy adott tartományi fiók alatt fusson, jegyezze fel a szolgáltatásfiók teljes tartománynevét.
SamL-alapúak az azonosítók és a válasz URL-címek.
Ha fejlécalapú, a szállítói megoldás és a hitelesítési típus kezelésének konkrét követelményei.
Összekötőcsoport neve Annak az összekötőcsoportnak a logikai neve, amely a háttéralkalmazás számára biztosítja a conduitot és az SSO-t.
Felhasználók/csoportok hozzáférése Azok a felhasználók vagy felhasználói csoportok, akik külső hozzáférést kapnak az alkalmazáshoz.
További követelmények Jegyezze fel a további távelérési vagy biztonsági követelményeket, amelyek figyelembe lesznek véve az alkalmazás közzétételében.

Az alkalmazások leltározásához letöltheti ezt az alkalmazásleltár-táblázatot.

Szervezeti követelmények meghatározása

Az alábbiakban azokat a területeket érdemes meghatározni, amelyekhez meg kell ’ határoznia a szervezet üzleti követelményeit. Mindegyik terület példákat tartalmaz a követelményekre

Hozzáférés

  • A tartományhoz vagy Az Azure AD-hez csatlakozott eszközökkel a távoli felhasználók biztonságosan, zökkenőmentes egyszeri bejelentkezéssel (SSO) férhetnek hozzá a közzétett alkalmazásokhoz.

  • A jóváhagyott személyes eszközökkel dolgozó távoli felhasználók biztonságosan hozzáférhetnek a közzétett alkalmazásokhoz, ha regisztrálva vannak az MFA-ban, és a Microsoft Authenticator-alkalmazást regisztrálták a mobiltelefonjukon hitelesítési módszerként.

Szabályozás

  • A rendszergazdák meghatározhatják és figyelhetik a felhasználói hozzárendelések életciklusát a alkalmazásproxy.

Biztonság

  • Csak az alkalmazásokhoz csoporttagságon keresztül vagy egyénileg hozzárendelt felhasználók férhetnek hozzá ezekhez az alkalmazásokhoz.

Teljesítmény

  • Az alkalmazásteljesítmény nem romlása a belső hálózatról való alkalmazás-hozzáféréshez képest.

Felhasználói élmény

  • A felhasználók tisztában vannak azzal, hogyan férhetnek hozzá az alkalmazásaikhoz ismerős vállalati URL-címekkel bármilyen eszközplatformon.

Naplózás

  • A rendszergazdák naplólhatják a felhasználói hozzáférési tevékenységeket.

Ajánlott eljárások a próba próba-hez

Állapítsa meg, hogy mennyi időre és erőfeszítésre van szükség ahhoz, hogy egyetlen alkalmazás teljes mértékben be tudja azt tenni a táveléréshez egyszeri bejelentkezéssel (SSO). Ezt egy olyan próba futtatásával tegye meg, amely a kezdeti felderítést, közzétételt és általános tesztelést veszi figyelembe. Az integrált Windows-hitelesítéshez (IWA) előre konfigurált egyszerű IIS-alapú webalkalmazás használata segíthet az alapkonfiguráció megállapításában, mivel ehhez a beállításhoz minimális erőfeszítésre van szükség a távelérés és az SSO sikeres próbatelepítéséhez.

A következő tervezési elemeknek növelniük kell a próba-implementáció sikerességét közvetlenül egy éles bérlőben.

Összekötők kezelése:

  • Az összekötők kulcsfontosságú szerepet játszanak abban, hogy helyszíni összekötőket biztosítsunk az alkalmazásoknak. Az Alapértelmezett összekötő csoport használata elegendő a közzétett alkalmazások kezdeti próbatesztjéhez, mielőtt éles környezetbe csatlakoztatja őket. A sikeresen tesztelt alkalmazások ezután áthelyezhatók az éles összekötők csoportjaiba.

Alkalmazáskezelés:

  • A munkaerő nagy valószínűséggel emlékszik arra, hogy egy külső URL-cím ismerős és releváns. Kerülje az alkalmazás közzétételét az előre meghatározott msappproxy.net vagy onmicrosoft.com használatával. Ehelyett adjon meg egy jól ismert legfelső szintű ellenőrzött tartományt, amely előtagja egy logikai állomásnév, például intranet. customers_domain > .com.

  • Az Azure MyApps portálon elrejtve korlátozhatja a próbaalkalmazás ikonjának ’ láthatóságát egy próbacsoportra. Ha készen áll az éles környezetben való használatra, az alkalmazást a célközönségére is ki lehet hatókörbe ásni, akár ugyanabban az éles üzem előtti bérlőben, akár az éles bérlőben való közzétételével.

Egyszeri bejelentkezési beállítások:Egyes SSO-beállítások meghatározott függőségekkel is vannak, amelyek beállítása időt is időt vehet, ezért a függőségek időben való kezelése által elkerülheti a változásvezérlési késéseket. Ez magában foglalja az összekötő gazdagépek tartományhoz való csatlakozását az SSO Kerberos által korlátozott delegálás (KCD) használatával való végrehajtásához, valamint az egyéb időigényes tevékenységek elvégzéséhez. Például ping-hozzáférési példány beállítása fejlécalapú SSO-hoz.

TLS az összekötő gazdagépe ésa célalkalmazás között: A biztonság alapvető fontosságú, ezért mindig érdemes TLS-t használni az összekötő gazdagépe és a célalkalmazások között. Különösen akkor, ha a webalkalmazás űrlapalapú hitelesítésre (FBA) van konfigurálva, mivel a rendszer ezután hatékonyan, tiszta szövegként továbbítja a felhasználói hitelesítő adatokat.

Implementálja növekményesen, és tesztelje az egyes lépéseket. Egy alkalmazás közzététele után végezzen alapvető funkcionális tesztelést, hogy az alábbi utasítások szerint biztosítsa az összes felhasználói és üzleti követelménynek való megfelelést:

  1. Tesztelje és ellenőrizze a webalkalmazás általános hozzáférését az előhitelesítés letiltásával.
  2. Ha ez sikeres, engedélyezze az előhitelesítést, és rendeljen hozzá felhasználókat és csoportokat. A hozzáférés tesztelése és ellenőrzése.
  3. Ezután adja hozzá az SSO metódust az alkalmazáshoz, és tesztelje újra a hozzáférés érvényesítéséhez.
  4. Feltételes hozzáférési és MFA-szabályzatok alkalmazása szükség szerint. A hozzáférés tesztelése és ellenőrzése.

Hibaelhárítási eszközök:Hibaelhárításkor először mindig ellenőrizze a közzétett alkalmazáshoz való hozzáférést az összekötő gazdagépének böngészőjében, és ellenőrizze, hogy az alkalmazás a várt módon működik-e. Annál egyszerűbb a beállítás, annál könnyebben meghatározható a kiváltó ok, ezért érdemes lehet minimális konfigurációval reprodukálni a problémákat, például egyetlen összekötőt használni, egyszeri bejelentkezés nélkül. Bizonyos esetekben az olyan webes hibakeresési eszközök, mint a Telerik s Fiddler, bizonyítják a proxyn keresztül elért alkalmazások hozzáférési vagy tartalomproblémáinak ’ elhárítását. A Fiddler proxyként is használható a mobilplatformok, például az iOS és az Android forgalmának nyomon követéséhez és hibakereséshez, és gyakorlatilag bármihez, amely proxyn keresztüli útválasztásra konfigurálható. További információért tekintse meg a hibaelhárítási útmutatót.

A megoldás megvalósítása

Üzembe alkalmazásproxy

A virtuális gép alkalmazásproxy lépéseit ez az oktatóanyag egy helyszíni alkalmazás táveléréshez való hozzáadását ismertető oktatóanyagban található. Ha a telepítés sikertelen, válassza a hibaelhárítási alkalmazásproxy a portálon, vagy használja a hibaelhárítási útmutatót a Következő hibaelhárítási útmutatóban: Az alkalmazásproxy Agent Connector telepítése.

Alkalmazások közzététele az alkalmazásproxyval

A közzétételi alkalmazások feltételezik, hogy az összes előfeltétel teljesült, és hogy több összekötő is regisztráltként és aktívként jelenik meg a alkalmazásproxy lapon.

Az alkalmazásokat a PowerShell használatával is közzéteheti.

Az alábbiakban néhány ajánlott gyakorlatot olvashat az alkalmazások közzétételekor:

  • Összekötőcsoportok használata:Az egyes alkalmazások közzétételére kijelölt összekötőcsoport hozzárendelése. Javasoljuk, hogy minden összekötőcsoport legalább két összekötővel rendelkezik a magas rendelkezésre állás és a méretezés érdekében. A három összekötő optimális arra az esetre, ha bármikor ki kell szervizelni egy gépet. Emellett az Alkalmazások közzététele külön hálózatokon és helyeken összekötőcsoportok használatával szakaszból is láthatja, hogyan szegmentálhatja az összekötőket hálózat vagy hely alapján összekötőcsoportokkal.

  • Háttéralkalmazásidőtúllépésének beállítása: Ez a beállítás olyan esetekben lehet hasznos, amikor az alkalmazásnak több mint 75 másodpercre van szüksége egy ügyféltranzakció feldolgozásához. Például amikor egy ügyfél lekérdezést küld egy olyan webalkalmazásnak, amely előoldalként működik egy adatbázis számára. Az előtere elküldi ezt a lekérdezést a háttéradatbázis-kiszolgálójának, és megvárja a választ, de mire választ kap, a beszélgetés ügyféloldala időkorrelkul. A hosszabb tranzakciók befejezéséhez az időtúllépés hosszúra való beállításával 180 másodpercet biztosít.

  • Megfelelő cookie-típusok használata

    • Csak HTTP-alapú cookie:További biztonságot nyújt azáltal, alkalmazásproxy a HTTPOnly jelzőt a set-cookie HTTP-válaszfejlécekbe. Ezzel a beállítással csökkenthetők az olyan biztonsági rések, mint a webhelyközi parancsfájlok használata (XSS). Ne állítsa a Nem beállításra a munkamenet-cookie-hoz hozzáférést igénylő ügyfelek/felhasználói ügynökök esetében. Például egy alkalmazásproxyn keresztül közzétett rdp-/MTSC-ügyfél Távoli asztali átjáró egy alkalmazáshoz.

    • Biztonságos cookie:Ha a cookie Secure attribútummal van beállítva, a felhasználói ügynök (ügyféloldali alkalmazás) csak akkor fogja a cookie-t a HTTP-kérésekbe foglalni, ha a kérésTLS által védett csatornán keresztül van továbbítva. Ez segít csökkenteni annak kockázatát, hogy egy cookie-t feltörnek a tiszta szöveges csatornákon keresztül, ezért engedélyezni kell.

    • Perzisztenscookie: Lehetővé teszi, alkalmazásproxy munkamenet-cookie a böngésző bezárásai között is megmaradjon, amíg az érvényesség nem jár le vagy törölve nem lesz. Olyan forgatókönyvekhez használatos, ahol egy gazdag alkalmazás, például az office egy közzétett webalkalmazáson belül fér hozzá egy dokumentumhoz anélkül, hogy a felhasználónak újra meg kell adnia a hitelesítést. Legyen óvatos, mivel az állandó cookie-k végső soron a szolgáltatást jogosulatlan hozzáférés veszélyének tehetik ki, ha nem használják más kompenzáló vezérlőkkel együtt. Ezt a beállítást csak olyan régebbi alkalmazásokhoz szabad használni, amelyek nem tudnak cookie-kat megosztani a folyamatok között. A beállítás használata helyett jobb úgy frissíteni az alkalmazást, hogy kezelje a cookie-k folyamatok közötti megosztását.

  • URL-címek fordításaa fejlécek között: Ezt olyan esetekben engedélyezi, amikor a belső DNS nem konfigurálható úgy, hogy megfeleljen a szervezet nyilvános névterének (azaz a Split DNS-nek). Ha az alkalmazásnak nincs szüksége az eredeti állomásfejlécre az ügyfélkérésben, hagyja ezt az értéket Igen értékre állítva. Másik lehetőségként az összekötő a belső URL-címben található teljes tartománynévvel útválasztást használ a tényleges forgalomhoz, a külső URL-címben pedig a teljes tartománynévvel, gazdafejlécként. A legtöbb esetben ennek az alternatívának lehetővé kell tennie, hogy az alkalmazás a megszokott módon működn távolról való hozzáférés esetén, de a felhasználók elveszítik a külső URL-címen belüli egyeztetés & előnyeit.

  • Url-címek fordításaaz alkalmazás törzsében: Kapcsolja be az alkalmazás törzsének hivatkozásfordítását, ha azt szeretné, hogy az alkalmazás hivatkozásait lefordítsa a rendszer az ügyfélnek adott válaszokban. Ha engedélyezve van, ez a függvény mindent megtesz annak érdekében, hogy lefordítsa az alkalmazásproxy által HTML-ben és CSS-ben talált összes belső hivatkozást, és visszaadja az ügyfeleknek. Ez akkor hasznos, ha olyan alkalmazásokat ad közzé, amelyek nem kódolt abszolút vagy NetBIOS rövid név hivatkozásokat tartalmaznak a tartalomban, vagy olyan alkalmazások közzétételekor, amelyek más helyszíni alkalmazásokra mutató tartalmakra mutató hivatkozásokat tartalmaznak.

Olyan forgatókönyvek esetén, ahol egy közzétett alkalmazás más közzétett alkalmazásokra hivatkozik, engedélyezze a hivatkozásfordítást minden alkalmazáshoz, hogy alkalmazásonként szabályozni tudja a felhasználói élményt.

Tegyük fel például, hogy három alkalmazás van közzétéve az alkalmazásproxy-ön, amelyek mind egymásra hivatkoznak: Előnyök, Kiadások és Utazás, valamint egy negyedik alkalmazás, a Visszajelzés, amely nem a alkalmazásproxy.

Picture 1

Ha engedélyezi a hivatkozásfordítást az Előnyök alkalmazáshoz, a költségekre és az utazásra mutató hivatkozások az alkalmazások külső URL-címére vannak átirányítva, hogy a vállalati hálózaton kívülről hozzáférő felhasználók el tudjanak férni hozzájuk. A Költségek és az Előnyökre való visszaút hivatkozásai nem működnek, mert a hivatkozásfordítás nincs engedélyezve a két alkalmazáshoz. A visszajelzésre mutató hivatkozás nem lesz átirányítva, mert nincs külső URL-cím, így az Előnyök alkalmazást használó felhasználók nem fognak tudni hozzáférni a visszajelzési alkalmazáshoz a vállalati hálózaton kívülről. Tekintse meg a hivatkozásfordítással és az egyéb átirányítási lehetőségekkel kapcsolatos részletes információkat.

Az alkalmazás elérése

Az alkalmazásproxykon közzétett erőforrásokhoz való hozzáférés többféleképpen kezelhető, ezért válassza az Ön forgatókönyvének és skálázhatósági igényeinek leginkább megfelelőt. Gyakori megközelítések a következők: az Azure AD Csatlakozás-n keresztül szinkronizált helyszíni csoportok használata, dinamikus csoportok létrehozása az Azure AD-ben felhasználói attribútumok alapján, erőforrás-tulajdonos által felügyelt önkiszolgáló csoportok használata, vagy ezek kombinációja. Az egyes erőforrások előnyeiért tekintse meg a csatolt erőforrásokat.

A felhasználók alkalmazás-hozzáférésének hozzárendelésének legátlottabb módja a közzétett alkalmazás bal oldali panelének Felhasználók és csoportok beállításai, és a csoportok vagy személyek közvetlen hozzárendelése.

Picture 24

Önkiszolgáló hozzáférést is engedélyezhet a felhasználóknak az alkalmazáshoz, ha olyan csoportot rendel hozzá, amely jelenleg nem tagja, és konfigurálja az önkiszolgáló beállításokat.

Picture 25

Ha engedélyezve van, a felhasználók bejelentkeznek a MyApps portálra, és hozzáférést kérhetnek, és automatikusan jóváhagyhatják és hozzáadhatják őket a már engedélyezett önkiszolgáló csoporthoz, vagy jóváhagyást kérhetnek egy kijelölt jóváhagyótól.

A vendégfelhasználók az Azure AD B2B-nkeresztül alkalmazásproxy belső alkalmazások eléréséhez is meghívhatóak.

Az olyan helyszíni alkalmazások esetében, amelyek általában névtelenül érhetők el, és nincs szükség hitelesítésre, inkább tiltsa le az alkalmazás Tulajdonságok területén ’’

Picture 26

Ha ezt a beállítást a Nem beállítással hagyja meg, a felhasználók engedély nélkül férhetnek hozzá a helyszíni alkalmazáshoz Azure AD alkalmazás proxyn keresztül, ezért legyen körültekintő.

Miután közzétette az alkalmazást, elérhetővé kell tenni a külső URL-címének egy böngészőbe való beírásával vagy a címen található https://myapps.microsoft.com ikonnal.

Előhitelesítés engedélyezése

Ellenőrizze, hogy az alkalmazás elérhető-alkalmazásproxy a külső URL-címen keresztül.

  1. Lépjen a Azure Active Directoryalkalmazások Minden alkalmazás lapra,és válassza ki a kezelni kívánt alkalmazást.

  2. Válassza a alkalmazásproxylehetőséget.

  3. Az Előhitelesítés mezőben a legördülő listában válassza ki a Azure Active Directory, majd válassza aMentés lehetőséget.

Ha az előhitelesítés engedélyezve van, az Azure AD először a felhasználók hitelesítését fogja igényelni, és ha az egyszeri bejelentkezés konfigurálva van, akkor a háttéralkalmazás a felhasználót is ellenőrzi, mielőtt hozzáférést kap az alkalmazáshoz. Ha az előhitelesítési módot áttűnő módról Azure AD-re módosítja, a külső URL-címet is HTTPS-kapcsolaton keresztül konfigurálja, így a KEZDETBEN HTTP-hez konfigurált összes alkalmazás HTTPS-kapcsolaton keresztül lesz biztosítva.

Egyetlen Sign-On

Az SSO a lehető legjobb felhasználói élményt és biztonságot biztosítja, mivel a felhasználóknak csak egyszer kell bejelentkezniük az Azure AD elérésekor. Miután a felhasználó előzetesen hitelesítve lett, az SSO-t az alkalmazásproxy-összekötő végzi el, amely a felhasználó nevében hitelesíti magát a helyszíni alkalmazásban. A háttéralkalmazás úgy dolgozza fel a bejelentkezést, mintha maga a felhasználó lenne.

Az Áttűnés lehetőség választásával a felhasználók anélkül férhetnek hozzá a közzétett alkalmazáshoz, hogy hitelesíteniük kell magukat az Azure AD-ban.

Az SSO végrehajtása csak akkor lehetséges, ha az Azure AD azonosítani tudja az erőforráshoz hozzáférést kérő felhasználót, ezért az alkalmazást úgy kell konfigurálni, hogy az SSO működéséhez való hozzáféréskor előre hitelesítse a felhasználókat az Azure AD-val, különben az SSO-beállítások le lesznek tiltva.

Olvassa el az Azure AD-alkalmazásokba való egyszeri bejelentkezést, hogy segítsen kiválasztani a legmegfelelőbb egyszeri bejelentkezési módszert az alkalmazások konfigurálásakor.

Munkavégzés más típusú alkalmazásokkal

Az Azure AD alkalmazásproxy a Microsoft Authentication Library (MSAL)használatára fejlesztett alkalmazásokat is támogat. Támogatja a natív ügyfélalkalmazásokat azáltal, hogy az ügyfélkérés fejléc-információiban kapott Azure AD-jogkivonatokat használja az előhitelesítés végrehajtásához a felhasználók nevében.

A natív és mobil ügyfélalkalmazások és jogcímalapú alkalmazások közzétételével kapcsolatos további információért olvassa el a alkalmazásproxy.

A biztonság megerősítése feltételes hozzáféréssel

Az alkalmazásbiztonsághoz fejlett biztonsági képességekre van szükség, amelyek védelmet nyújtanak a helyszíni és a felhőben található összetett fenyegetések ellen, és reagálnak ezekre. A támadók leggyakrabban gyenge, alapértelmezett vagy ellopott felhasználói hitelesítő adatokkal szereznek vállalati hálózati hozzáférést. A Microsoft identitásalapú biztonsága csökkenti az ellopott hitelesítő adatok használatát a kiemelt és a nem kiemelt jogosultságú identitások kezelésével és védelmével.

Az Alábbi képességek használhatók az Azure AD-alkalmazásproxy:

  • Felhasználó- és helyalapú feltételes hozzáférés: A bizalmas adatok védelme érdekében korlátozza a felhasználói hozzáférést földrajzi hely vagy IP-cím alapján, helyalapú feltételes hozzáférési szabályzatokkal.

  • Eszközalapú feltételes hozzáférés: Győződjön meg arról, hogy csak a regisztrált, jóváhagyott és megfelelő eszközök férhetnek hozzá a vállalati adatokhoz eszközalapú feltételes hozzáféréssel.

  • Alkalmazásalapú feltételes hozzáférés: A munkát nem kell leállítani, ha egy felhasználó nem a vállalati hálózaton van. Biztonságos hozzáférés a vállalati felhőhöz és helyszíni alkalmazásokhoz, és a feltételes hozzáféréssel tarthatja fenn az irányítást.

  • Kockázatalapú feltételes hozzáférés: Megvédheti adatait a rosszindulatú támadóktól egy kockázatalapú feltételes hozzáférési szabályzat segítségével, amely minden alkalmazásra és minden felhasználóra alkalmazható, akár a helyszínen, akár a felhőben.

  • Azure AD Saját alkalmazások: Az alkalmazásproxy-szolgáltatás üzembe helyezése és az alkalmazások biztonságos közzététele után a felhasználók egy egyszerű központot kínálnak az összes alkalmazás felderítésére és elérésére. Növelheti az önkiszolgáló képességek hatékonyságát, például új alkalmazásokhoz és csoportokhoz való hozzáférést kérhet, vagy kezelheti az erőforrásokhoz való hozzáférést mások nevében a Saját alkalmazások.

A megvalósítás kezelése

Szükséges szerepkörök

A Microsoft azt az elvet javasolja, hogy a lehető legkevesebb jogosultságot adja meg a szükséges feladatok végrehajtásához az Azure AD-val. Tekintse át a különböző elérhető Azure-szerepköröket, és válassza ki az egyes személyek igényeinek megfelelőt. Előfordulhat, hogy egyes szerepköröket ideiglenesen kell alkalmazni, és az üzembe helyezés befejezése után el kell távolítani őket.

Üzleti szerepkör Üzleti feladatok Azure AD-szerepkörök
Ügyfélszolgálati rendszergazda Jellemzően a végfelhasználók által jelentett problémák minősítésére és korlátozott feladatok elvégzésére, például a felhasználók jelszavának módosítására, a frissítési jogkivonatok érvénytelenítésére és a szolgáltatás állapotának ’ figyelésére korlátozódik. Helpdesk Administrator
Identitás-rendszergazda Az alkalmazásproxyval kapcsolatos hibák hibakereséséhez olvassa el az Azure AD bejelentkezési jelentéseit és auditnaplóit. Biztonsági olvasó
Alkalmazástulajdonos A vállalati alkalmazások, alkalmazásregisztrációk és alkalmazásproxy-beállítások minden aspektusát létrehozhatja és kezelheti. Alkalmazás-rendszergazda
Infrastruktúra-rendszergazda Tanúsítványváltás tulajdonosa Alkalmazás-rendszergazda

A biztonságos információkhoz vagy erőforrásokhoz hozzáférő személyek számának minimalizálása segít csökkenteni annak esélyét, hogy egy rosszindulatú szereplő jogosulatlan hozzáférést szerezzen, vagy hogy egy jogosult felhasználó véletlenül hatással legyen egy bizalmas erőforrásra.

A felhasználóknak azonban továbbra is napi szintű emelt szintű műveleteket kell végezniük, ezért az Azure-erőforrásokhoz és az Azure AD-hez igény szerinti emelt szintű hozzáférés érdekében igény szerinti (JIT Privileged Identity Management) szabályzatok kényszerítése javasolt a felügyeleti hozzáférés és a naplózás hatékony kezeléséhez.

Jelentés és monitorozás

Az Azure AD auditnaplók és jelentések segítségével további betekintést nyújt a szervezet alkalmazáshasználatába és működési ’’ alkalmazásproxy az Azure AD portálról az összekötők figyelése és az eseménynaplók Windows is megkönnyíti.

Alkalmazások auditnaplói

Ezek a naplók részletes információkat nyújtanak a alkalmazásproxy konfigurált alkalmazásokba való bejelentkezésről, valamint az eszközről és az alkalmazást elfelhasználóról. Az auditnaplók a naplók Azure Portal az Audit API for export (Api exportálásának naplózása) alatt találhatók. Emellett a használati és elemzési jelentések is elérhetők az alkalmazáshoz.

alkalmazásproxy összekötő monitorozása

Az összekötők és a szolgáltatás gondoskodik az összes magas rendelkezésre állási feladatról. Az összekötők állapotát az Azure AD alkalmazásproxy lapján követheti nyomon. További információ az összekötők karbantartásról: Az Azure AD alkalmazásproxy összekötői.

Example: Azure AD Application Proxy connectors

Windows eseménynaplók és teljesítményszámlálók megtekintése

Az összekötők rendszergazdai és munkamenet-naplókkal is rendelkezik. A rendszergazdai naplók tartalmazzák a kulcsfontosságú eseményeket és azok hibáit. A munkamenetnaplók tartalmazzák az összes tranzakciót és azok feldolgozási részleteit. A naplók és számlálók az Windows-eseménynaplókban találhatók további információkért lásd az Azure AD alkalmazásproxy összekötőit. Kövesse ezt az oktatóanyagot az eseménynapló-adatforrások konfiguráláshoz a Azure Monitor.

Hibaelhárítási útmutató és lépések

A gyakori problémákról és azok megoldásáról a hibaüzenetek hibaelhárításával kapcsolatos útmutatónkban olvashat bővebben.

Az alábbi cikkek olyan gyakori forgatókönyveket tartalmaznak, amelyek a támogatási szervezet hibaelhárítási útmutatóinak létrehozására is használhatók.