Élőfej-alapú egyszeri bejelentkezés (SSO) a Microsoft Entra alkalmazásproxyval rendelkező helyszíni alkalmazásokhoz

  • Cikk

A Microsoft Entra alkalmazásproxy natív módon támogatja az egyszeri bejelentkezés (SSO) elérését azokhoz az alkalmazásokhoz, amelyek fejléceket használnak a hitelesítéshez. Az alkalmazás által igényelt fejlécértékeket a Microsoft Entra-azonosítóban konfigurálhatja. A fejlécértékeket a rendszer alkalmazásproxyn keresztül küldi el az alkalmazásnak. A fejlécalapú hitelesítés alkalmazásproxyval történő natív támogatásának előnyei a következők:

  • A helyszíni alkalmazások távoli elérésének egyszerűsítése – Az alkalmazásproxy leegyszerűsíti a meglévő távelérési architektúrát. Az alkalmazások virtuális magánhálózati (VPN-) hozzáférését cseréli le. Eltávolítja a helyszíni identitáskezelési megoldások függőségeit a hitelesítéshez. Egyszerűbbé teheti a felhasználói élményt, és nem észlelnek semmi mást, ha vállalati alkalmazásokat használnak. A felhasználók bárhonnan dolgozhatnak bármilyen eszközön.

  • Nincs további szoftver vagy módosítás az alkalmazásokban – A meglévő magánhálózati összekötőket használja. Nincs szükség további szoftverre.

  • Az elérhető attribútumok és átalakítások széles listája – Minden elérhető fejlécérték a Microsoft Entra ID által kiadott standard jogcímeken alapul. A Security Assertion Markup Language (SAML) vagy az OpenID Csatlakozás (OIDC) alkalmazások jogcímeinek konfigurálásához elérhető összes attribútum és átalakítás fejlécértékként is elérhető.

Előfeltételek

Engedélyezze az alkalmazásproxyt, és telepítsen egy összekötőt, amely közvetlen hálózati hozzáféréssel rendelkezik az alkalmazásokhoz. További információ: Helyszíni alkalmazás hozzáadása az alkalmazásproxyn keresztüli táveléréshez.

Támogatott képességek

A táblázat felsorolja a fejlécalapú hitelesítési alkalmazásokhoz szükséges általános képességeket.

Követelmény Leírás
Összevont egyszeri bejelentkezés Előre hitelesített módban minden alkalmazás Microsoft Entra-hitelesítéssel védett, a felhasználók pedig egyszeri bejelentkezéssel rendelkeznek.
Távelérés Az alkalmazásproxy távoli hozzáférést biztosít az alkalmazáshoz. A felhasználók az alkalmazást az internetről bármely webböngészőben elérhetik a külső Egységes erőforráskereső (URL) használatával. Az alkalmazásproxy nem általános vállalati hozzáférésre szolgál. Az általános vállalati hozzáférésről lásd: Microsoft Entra privát hozzáférés.
Fejlécalapú integrálás Az alkalmazásproxy kezeli a Microsoft Entra-azonosítóval való egyszeri bejelentkezés integrációját, majd http-fejlécként továbbítja az identitásokat vagy más alkalmazásadatokat az alkalmazásnak.
Alkalmazásengedélyezés A gyakori szabályzatok a hozzáférés alatt álló alkalmazás, a felhasználó csoporttagság és egyéb szabályzatok alapján vannak megadva. A Microsoft Entra ID-ban a szabályzatok feltételes hozzáféréssel vannak implementálva. Az alkalmazásengedélyezési szabályzatok csak a kezdeti hitelesítési kérésre vonatkoznak.
Szigorított hitelesítés A szabályzatok úgy vannak meghatározva, hogy kényszerítse a hozzáadott hitelesítést, például a bizalmas erőforrásokhoz való hozzáféréshez.
Részletes engedélyezés URL-szintű hozzáférés-vezérlést biztosít. A hozzáadott szabályzatok az elérni kívánt URL-cím alapján kényszeríthetőek. Az alkalmazáshoz konfigurált belső URL-cím határozza meg annak az alkalmazásnak a hatókörét, amelyet a szabályzat alkalmaz. A rendszer a legrészletesebb elérési útra konfigurált szabályzatot kényszeríti ki.

Feljegyzés

Ez a cikk a fejlécalapú hitelesítési alkalmazások és a Microsoft Entra-azonosító közötti kapcsolatot ismerteti alkalmazásproxy használatával, és ez az ajánlott minta. Alternatív megoldásként létezik egy integrációs minta, amely a PingAccess és a Microsoft Entra ID használatával engedélyezi a fejlécalapú hitelesítést. További információ: Fejlécalapú hitelesítés az egyszeri bejelentkezéshez alkalmazásproxyval és PingAccess használatával.

Hogyan működik?

A fejlécalapú egyszeri bejelentkezés működése az alkalmazásproxyval.

  1. A Rendszergazda testre szabja az alkalmazás által igényelt attribútumleképezéseket a Microsoft Entra felügyeleti központban.
  2. Az alkalmazásproxy biztosítja, hogy a felhasználó a Microsoft Entra-azonosítóval legyen hitelesítve.
  3. Az alkalmazásproxy felhőszolgáltatása ismeri a szükséges attribútumokat. A szolgáltatás így képes lekérni a megfelelő jogcímeket a hitelesítés során kapott azonosító tokenből. A szolgáltatás ezután lefordítja az értékeket a szükséges HTTP-fejlécekbe az összekötőnek küldött kérelem részeként.
  4. A kérelmet ezután a rendszer továbbküldi az összekötőnek, amely aztán a háttéralkalmazásnak lesz átadva.
  5. Az alkalmazás megkapja a fejléceket, és szükség szerint felhasználhatja őket.

Az alkalmazás közzététele alkalmazásproxyval

  1. Az alkalmazás közzététele az Alkalmazások közzététele alkalmazásproxyval című cikkben leírt utasításoknak megfelelően.

    • A belső URL-érték határozza meg az alkalmazás hatókörét. A belső URL-értéket az alkalmazás gyökérútvonalán konfigurálja, és a gyökér alatti összes alútvonal ugyanazt a fejlécet és alkalmazáskonfigurációt kapja.
    • Hozzon létre egy új alkalmazást, amely a konfiguráltnál részletesebb elérési úthoz más fejléckonfigurációt vagy felhasználói hozzárendelést állít be. Az új alkalmazásban konfigurálja a belső URL-címet a kívánt elérési úttal, majd konfigurálja az URL-címhez szükséges fejléceket. Az alkalmazásproxy mindig megfelel a konfigurációs beállításoknak az alkalmazás legrészletesebb elérési útjának.

  2. Válassza ki a Microsoft Entra-azonosítót az előhitelesítési módszerként.

  3. Rendeljen hozzá egy tesztfelhasználót a felhasználókhoz és csoportokhoz való navigálással, valamint a megfelelő felhasználók és csoportok hozzárendelésével.

  4. Nyisson meg egy böngészőt, és keresse meg a külső URL-címet az alkalmazásproxy beállításai között.

  5. Ellenőrizze, hogy tud-e csatlakozni az alkalmazáshoz. Bár csatlakozhat, még nem férhet hozzá az alkalmazáshoz, mivel a fejlécek nincsenek konfigurálva.

Egyszeri bejelentkezés konfigurálása

Mielőtt elkezdené a fejlécalapú alkalmazások egyszeri bejelentkezését, telepítsen egy privát hálózati összekötőt. Az összekötőnek hozzá kell férnie a célalkalmazásokhoz. További információ: Oktatóanyag: Microsoft Entra alkalmazásproxy.

  1. Miután az alkalmazás megjelenik a vállalati alkalmazások listájában, jelölje ki, majd válassza az Egyszeri bejelentkezés lehetőséget.
  2. Állítsa be az egyszeri bejelentkezési módot fejlécalapúra.
  3. Az alapkonfigurációban a Microsoft Entra ID van kiválasztva alapértelmezettként.
  4. Válassza ki a szerkesztési ceruzát a Fejlécek területen az alkalmazásnak küldendő fejlécek konfigurálásához .
  5. Válassza az Új fejléc hozzáadása lehetőséget. Adjon nevet a fejlécnek, és válassza az Attribútum vagy az Átalakítás lehetőséget, és válassza ki azt a legördülő menüt, amelyre az alkalmazásnak szüksége van.
  6. Válassza a Mentés lehetőséget.

Az alkalmazás tesztelése

Az alkalmazás most már fut és elérhető. Az alkalmazás tesztelése:

  1. Törölje a korábban gyorsítótárazott fejléceket egy új böngésző vagy privát böngészőablak megnyitásával.
  2. Lépjen a külső URL-címre. Ezt a beállítást külső URL-címként találja az alkalmazásproxy beállításai között.
  3. Jelentkezzen be az alkalmazáshoz rendelt tesztfiókkal.
  4. Ellenőrizze, hogy be tud-e tölteni és bejelentkezni az alkalmazásba az egyszeri bejelentkezéssel.

Megfontolások

  • Az alkalmazásproxy távoli hozzáférést biztosít a helyszíni vagy magánfelhőben lévő alkalmazásokhoz. Az alkalmazásproxy nem ajánlott a tervezett alkalmazással azonos hálózaton belülről érkező forgalomhoz.
  • A fejlécalapú hitelesítési alkalmazásokhoz való hozzáférést csak az összekötőből vagy más engedélyezett fejlécalapú hitelesítési megoldásból érkező forgalomra kell korlátozni. A hozzáférés-korlátozást általában tűzfal vagy IP-korlátozás használatával hajtják végre az alkalmazáskiszolgálón.

Következő lépések