Helyettesítő karakterek alkalmazásai a Microsoft Entra alkalmazásproxyjában

  • Cikk

A Microsoft Entra ID-ban számos helyszíni alkalmazás konfigurálása gyorsan kezelhetetlenné válhat, és szükségtelen kockázatot jelent a konfigurációs hibák esetében, ha sokuknak ugyanazokat a beállításokat kell megadnia. A Microsoft Entra alkalmazásproxyval a probléma megoldásához használjon helyettesítő alkalmazás-közzétételt számos alkalmazás egyidejű közzétételéhez és kezeléséhez. Ez egy olyan megoldás, amely lehetővé teszi a következőket:

  • A rendszergazdai többletterhelés egyszerűsítése
  • A lehetséges konfigurációs hibák számának csökkentése
  • További erőforrások biztonságos elérésének engedélyezése a felhasználók számára

Ez a cikk a helyettesítő alkalmazások környezetbeli közzétételének konfigurálásához szükséges információkat tartalmazza.

Helyettesítő karaktereket tartalmazó alkalmazás létrehozása

Helyettesítő (*) alkalmazást akkor hozhat létre, ha ugyanazzal a konfigurációval rendelkező alkalmazáscsoporttal rendelkezik. A helyettesítő alkalmazások lehetséges jelöltjei az alábbi beállításokat megosztó alkalmazások:

  • A hozzájuk hozzáféréssel rendelkező felhasználók csoportja
  • Az egyszeri bejelentkezés metódusa
  • A hozzáférési protokoll (http, https)

Az alkalmazásokat helyettesítő karakterekkel is közzéteheti, ha mind a belső, mind a külső URL-címek a következő formátumban vannak:

http(s)://*.<Tartomány>

Például: http(s)://*.adventure-works.com

Bár a belső és külső URL-címek különböző tartományokat használhatnak, ajánlott eljárásként ezeknek is meg kell egyezniük. Az alkalmazás közzétételekor hibaüzenet jelenik meg, ha az EGYIK URL-cím nem rendelkezik helyettesítő karakterrel.

A helyettesítő alkalmazások létrehozása ugyanazon az alkalmazás-közzétételi folyamaton alapul, amely az összes többi alkalmazáshoz elérhető. Az egyetlen különbség az, hogy egy helyettesítő karaktert tartalmaz az URL-címekben és potenciálisan az SSO-konfigurációban.

Előfeltételek

Első lépésként győződjön meg arról, hogy megfelel ezeknek a követelményeknek.

Egyéni tartományok

Bár az egyéni tartományok nem kötelezőek az összes többi alkalmazáshoz, a helyettesítő alkalmazások előfeltételei. Az egyéni tartományok létrehozásához az alábbiakra van szükség:

  1. Ellenőrzött tartomány létrehozása az Azure-ban.
  2. Töltsön fel egy TLS/SSL-tanúsítványt PFX formátumban az alkalmazásproxyba.

Érdemes lehet helyettesítő tanúsítványt használni a létrehozni kívánt alkalmazáshoz.

Biztonsági okokból ez egy szigorú követelmény, és nem támogatjuk az olyan alkalmazások helyettesítő karaktereit, amelyek nem használhatnak egyéni tartományt a külső URL-címhez.

DNS-frissítések

Egyéni tartományok használatakor létre kell hoznia egy DNS-bejegyzést egy CNAME rekorddal a külső URL-címhez (például *.adventure-works.com) az alkalmazásproxy-végpont külső URL-címére mutatva. Helyettesítő karakterek alkalmazása esetén a CNAME rekordnak a vonatkozó külső URL-címre kell mutatnia:

<yourAADTenantId>.tenant.runtime.msappproxy.net

Annak ellenőrzéséhez, hogy helyesen konfigurálta-e a CNAME-t, használhatja az nslookup parancsot az egyik célvégponton, például expenses.adventure-works.com. A válasznak tartalmaznia kell a már említett aliast (<yourAADTenantId>.tenant.runtime.msappproxy.net).

Az alapértelmezett régiótól eltérő alkalmazásproxy felhőszolgáltatás-régióhoz rendelt összekötőcsoportok használata

Ha az összekötők az alapértelmezett bérlői régiótól eltérő régiókban vannak telepítve, érdemes módosítani, hogy melyik régióra van optimalizálva az összekötőcsoport az alkalmazásokhoz való hozzáférés javítása érdekében. További információ: Összekötőcsoportok optimalizálása a legközelebbi alkalmazásproxy felhőszolgáltatás használatára.

Ha a helyettesítő alkalmazáshoz rendelt összekötőcsoport az alapértelmezett régiótól eltérő régiót használ, frissítenie kell a CNAME rekordot, hogy egy régióspecifikus külső URL-címre mutasson. A megfelelő URL-cím meghatározásához használja az alábbi táblázatot:

Csatlakozás or hozzárendelt régió Külső URL-cím
Ázsia <yourAADTenantId>.asia.tenant.runtime.msappproxy.net
Ausztrália <yourAADTenantId>.aus.tenant.runtime.msappproxy.net
Európa <yourAADTenantId>.eur.tenant.runtime.msappproxy.net
Észak-Amerika <yourAADTenantId>.nam.tenant.runtime.msappproxy.net

Megfontolások

Az alábbiakban néhány szempontot érdemes figyelembe venni a helyettesítő karaktereket tartalmazó alkalmazások esetében.

Elfogadott formátumok

Helyettesítő karakterek esetén a belső URL-címet a következőképpen kell formázni http(s)://*.<domain>: .

For internal URL, use the format http(s)://*.<domain>

Külső URL-cím konfigurálásakor a következő formátumot kell használnia:https://*.<custom domain>

For external URL, use the format https://*.<custom domain>

A helyettesítő karakterek, több helyettesítő karakter vagy más regex sztring más pozíciói nem támogatottak, és hibákat okoznak.

Alkalmazások kizárása a helyettesítő karakterből

Egy alkalmazást kizárhat a helyettesítő alkalmazásból a következővel:

  • A kivételalkalmazás közzététele normál alkalmazásként
  • A helyettesítő karakter engedélyezése csak bizonyos alkalmazásokhoz a DNS-beállításokon keresztül

Az alkalmazás normál alkalmazásként való közzététele az előnyben részesített módszer, amely kizár egy alkalmazást egy helyettesítő karakterből. A kizárt alkalmazásokat a helyettesítő alkalmazások előtt kell közzétennie, hogy a kivételeket az elejétől érvényesíteni lehessen. A legspecifikusabb alkalmazás mindig elsőbbséget élvez – a közzétett budgets.finance.adventure-works.com alkalmazások elsőbbséget élveznek az alkalmazásokkal *.finance.adventure-works.comszemben, ami elsőbbséget élvez az alkalmazásnál *.adventure-works.com.

Azt is korlátozhatja, hogy a helyettesítő karakter csak bizonyos alkalmazásokhoz működjön a DNS-kezelésen keresztül. Ajánlott eljárásként olyan CNAME bejegyzést kell létrehoznia, amely helyettesítő karaktert tartalmaz, és megfelel a konfigurált külső URL-cím formátumának. Ehelyett azonban adott alkalmazás URL-címeit a helyettesítő karakterekre irányíthatja. Például ahelyett*.adventure-works.com, hogy a pont hr.adventure-works.com, expenses.adventure-works.com és travel.adventure-works.com individually a .000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.net

Ha ezt a lehetőséget használja, az értékhez AppId.domainegy másik CNAME bejegyzésre is szüksége van , például 00000000-1a11-22b2-c333-444d4d4dd444.adventure-works.comugyanarra a helyre mutatva. Az AppId a helyettesítő alkalmazás alkalmazástulajdonságok lapján található:

Find the application ID on the app's property page

A Kezdőlap URL-címének beállítása a MyApps panelen

A helyettesítő alkalmazás csak egy csempével jelenik meg a MyApps panelen. Alapértelmezés szerint ez a csempe rejtett. Ha meg szeretné jeleníteni a csempét, és hogy a felhasználók egy adott oldalra lépjenek:

  1. Kövesse a kezdőlap URL-címének beállítására vonatkozó irányelveket.
  2. Állítsa az Alkalmazás megjelenítése igaz értékre az alkalmazás tulajdonságai lapon.

Kerberos korlátozott delegálás

A kerberos korlátozott delegálást (KCD) SSO-metódusként használó alkalmazások esetében az SSO-metódushoz felsorolt egyszerű szolgáltatásnévnek helyettesítő karakterre van szüksége. Az egyszerű szolgáltatásnév például a következő lehet: HTTP/*.adventure-works.com. Továbbra is konfigurálnia kell az egyes egyszerű szolgáltatásneveket a háttérkiszolgálókon (például HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).

1. forgatókönyv: Általános helyettesítő karakterek alkalmazása

Ebben a forgatókönyvben három különböző alkalmazást szeretne közzétenni:

  • expenses.adventure-works.com
  • hr.adventure-works.com
  • travel.adventure-works.com

Mindhárom alkalmazás:

  • Az összes felhasználó használja
  • Integrált Windows-hitelesítés használata
  • Ugyanazokkal a tulajdonságokkal rendelkezik

A helyettesítő alkalmazást a Microsoft Entra alkalmazásproxyval végzett alkalmazások közzététele című témakörben ismertetett lépésekkel teheti közzé. Ez a forgatókönyv a következőket feltételezi:

  • A következő azonosítójú bérlő: 000aa000-11b1-2ccc-d333-4444eee4444e
  • Konfigurálva lett egy ellenőrzött tartomány adventure-works.com .
  • Egy CNAME bejegyzés, amely arra 000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.net mutat*.adventure-works.com, hogy létrejött.

A dokumentált lépéseket követve létrehoz egy új alkalmazásproxy-alkalmazást a bérlőben. Ebben a példában a helyettesítő karakter a következő mezőkben található:

  • Belső URL-cím:

    Example: Wildcard in internal URL

  • Külső URL-cím:

    Example: Wildcard in external URL

  • Belső alkalmazás spn:

    Example: Wildcard in SPN configuration

A helyettesítő alkalmazás közzétételével mostantól hozzáférhet a három alkalmazáshoz a használt URL-címekre való navigálással (például travel.adventure-works.com).

A konfiguráció a következő struktúrát valósítja meg:

Shows the structure implemented by the example configuration

Color Leírás
Kék Kifejezetten közzétett és látható alkalmazások a Microsoft Entra felügyeleti központban.
Szürke A szülőalkalmazáson keresztül elérhető alkalmazások.

2. forgatókönyv: Általános helyettesítő karakteres alkalmazás kivétellel

Ebben a forgatókönyvben a három általános alkalmazás mellett egy másik alkalmazással is rendelkezik, finance.adventure-works.comamelyet csak a Pénzügyi részleg érhet el. A jelenlegi alkalmazásstruktúrával a pénzügyi alkalmazás a helyettesítő alkalmazáson keresztül és az összes alkalmazott számára elérhető lesz. Ennek módosításához kizárja az alkalmazást a helyettesítő karakterből, ha a Financet külön, szigorúbb engedélyekkel rendelkező alkalmazásként konfigurálja.

Győződjön meg arról, hogy létezik olyan CNAME rekord, amely az alkalmazásproxy oldalán megadott alkalmazásspecifikus végpontra mutat finance.adventure-works.com . Ebben a forgatókönyvben finance.adventure-works.com a következőre mutat: https://finance-awcycles.msappproxy.net/.

A dokumentált lépéseket követve ez a forgatókönyv a következő beállításokat igényli:

  • A belső URL-címben helyettesítő karakter helyett a pénzügyet kell megadnia.

    Example: Set finance instead of a wildcard in internal URL

  • A Külső URL-címben helyettesítő karakter helyett a pénzügyet kell beállítania.

    Example: Set finance instead of a wildcard in external URL

  • A belső alkalmazás spN-jének beállításához helyettesítő karakter helyett pénzügyet kell megadnia.

    Example: Set finance instead of a wildcard in SPN configuration

Ez a konfiguráció a következő forgatókönyvet valósítja meg:

Shows the configuration implemented by the sample scenario

Az URL-cím finance.adventure-works.com konkrét. Az URL-cím *.adventure-works.com nem specifikus. A pontosabb URL-cím elsőbbséget élvez. Azok a finance.adventure-works.com felhasználók, akiknek a Pénzügyi erőforrások alkalmazásban meg van adva a felhasználói élmény. Ebben az esetben csak a pénzügyi alkalmazottak férhetnek hozzá finance.adventure-works.com.

Ha több, pénzügyi célra közzétett alkalmazás van közzétéve, és ellenőrzött tartományként rendelkezik finance.adventure-works.com , közzétehet egy másik helyettesítő alkalmazást *.finance.adventure-works.com. Mivel ez pontosabb, mint az általános *.adventure-works.com, elsőbbséget élvez, ha egy felhasználó hozzáfér egy alkalmazáshoz a pénzügyi tartományban.

Következő lépések