Fejlécalapú egyszeri bejelentkezés helyszíni alkalmazásokhoz Azure AD alkalmazás proxyval

Azure Active Directory (Azure AD) alkalmazásproxy natív módon támogatja az egyszeri bejelentkezéses hozzáférést az olyan alkalmazásokhoz, amelyek fejléceket használnak a hitelesítéshez. Az alkalmazáshoz szükséges fejlécértékeket az Azure AD-ban konfigurálhatja. A fejlécértékeket a rendszer a következőn keresztül küldi le az alkalmazásproxy. Néhány előny, ha natív támogatást használ a fejlécalapú hitelesítéshez a alkalmazásproxy esetén:

  • A helyszíni alkalmazásokhoz való távelérés leegyszerűsítése – Az alkalmazásproxy lehetővé teszi a meglévő távelérési architektúra egyszerűsítését. Az alkalmazások VPN-hozzáférését lecserélheti. A helyszíni identitásmegoldások függőségeit is eltávolíthatja a hitelesítéshez. A felhasználók semmit sem fognak észre venni, amikor bejelentkeznek a vállalati alkalmazások használatára. Továbbra is bárhonnan dolgozhatnak bármilyen eszközön.

  • Nincs szükség további szoftverekre vagy az alkalmazások módosításaira – Használhatja a meglévő alkalmazásproxy összekötőit, és nincs szükség további szoftverek telepítésére.

  • Az elérhető attribútumok és átalakítások széles listája – Minden elérhető fejlécérték az Azure AD által kiadott standard jogcímek alapján érhető el. Az SAML- vagy OIDC-alkalmazások jogcímének konfigurálásához elérhető összes attribútum és átalakítás fejlécértékként is használható.

Előfeltételek

Mielőtt elkezdi a fejlécalapú hitelesítési alkalmazások egyszeri bejelentkezését, győződjön meg arról, hogy a környezet készen áll a következő beállításokkal és konfigurációval:

  • Engedélyeznie kell a alkalmazásproxy és telepítenie kell egy összekötőt, amely az alkalmazásokhoz kapcsolódó helyvonalon keresztül csatlakozik. Az Add an on-premises application for remote access through alkalmazásproxy (Helyszíni alkalmazás hozzáadása táveléréshez a alkalmazásproxy-on keresztül) oktatóanyagból megtudhatja, hogyan készítheti elő a helyszíni környezetet, hogyan telepíthet és regisztrálhat egy összekötőt, és hogyan tesztelheti az összekötőt.

Támogatott képességek

Az alábbi táblázat a fejlécalapú hitelesítési alkalmazásokhoz szükséges általános képességeket sorolja fel, amelyek támogatottak a alkalmazásproxy.

Követelmény Leírás
Összevont egyszeri bejelentkezés Az előre hitelesített módban minden alkalmazás Azure AD-hitelesítéssel van védve, és lehetővé teszi a felhasználók számára az egyszeri bejelentkezést.
Távelérés alkalmazásproxy lehetővé teszi a távoli hozzáférést az alkalmazáshoz. A felhasználók bármely böngészőből elérhetik az alkalmazást az internetről a Külső URL-cím használatával. alkalmazásproxy nem vállalati hozzáféréshez való használatra szolgál.
Fejlécalapú integráció alkalmazásproxy az SSO-integrációt az Azure AD-val, majd HTTP-fejlécként átadja az identitást vagy más alkalmazásadatokat az alkalmazásnak.
Alkalmazásengedélyezési A gyakori szabályzatok az elért alkalmazás, a felhasználó csoporttagsága és egyéb szabályzatok alapján is megszabadulnak. Az Azure AD-ben a szabályzatok feltételes hozzáféréssel vannak megvalósítva. Az alkalmazásengedélyezési házirendek csak a kezdeti hitelesítési kérésre vonatkoznak.
Hitelesítés lépésenként Szabályzatok definiálhatóak a hozzáadott hitelesítés kényszerítése érdekében, például a bizalmas erőforrásokhoz való hozzáférés érdekében.
Finomhangolt engedélyezés Hozzáférés-vezérlést biztosít az URL-cím szintjén. A hozzáadott szabályzatok az elért URL-cím alapján kényszeríthetőek. Az alkalmazáshoz konfigurált belső URL-cím határozza meg az alkalmazás hatókörét, amelyre a szabályzat vonatkozik. A rendszer kényszeríti a legszemlesebb elérési úthoz konfigurált szabályzatot.

Megjegyzés

Ez a cikk a fejlécalapú hitelesítési alkalmazások Azure AD-hez való csatlakoztatását alkalmazásproxy, és ez az ajánlott minta. Alternatív megoldásként érhetők el olyan integrációs minták is, amelyek a PingAccess és az Azure AD segítségével engedélyezik a fejlécalapú hitelesítést. További részletekért lásd: Fejlécalapú hitelesítés egyszeri bejelentkezéshez a alkalmazásproxy pingAccess használatával.

Működés

A fejlécalapú egyszeri bejelentkezés működése a alkalmazásproxy.

  1. A rendszergazda testreszabja az alkalmazáshoz szükséges attribútumleképezéseket az Azure AD portálon.
  2. Amikor egy felhasználó hozzáfér az alkalmazáshoz, a alkalmazásproxy a felhasználót az Azure AD hitelesíti
  3. A alkalmazásproxy felhőszolgáltatás ismeri a szükséges attribútumokat. Így a szolgáltatás lekéri a megfelelő jogcímeket a hitelesítés során kapott azonosító jogkivonatból. A szolgáltatás ezután lefordítja az értékeket a szükséges HTTP-fejlécekbe az összekötőnek való kérés részeként.
  4. A rendszer ezután továbbküldi a kérést az összekötőnek, majd továbbküldi a háttéralkalmazásnak.
  5. Az alkalmazás fogadja a fejléceket, és szükség szerint használhatja ezeket a fejléceket.

Az alkalmazás közzététele a alkalmazásproxy

  1. Tegye közzé az alkalmazást az Alkalmazások közzététele a következővel alkalmazásproxy.

    • A Belső URL-cím érték határozza meg az alkalmazás hatókörét. Ha a belső URL-címet az alkalmazás gyökérútvonalán konfigurálja, akkor a gyökér alatti összes alútvonal ugyanazt a fejléckonfigurációt és más alkalmazáskonfigurációt kapja.
    • Hozzon létre egy új alkalmazást, amely a konfigurált alkalmazástól eltérő fejléckonfigurációt vagy felhasználói hozzárendelést ad meg részletesebb elérési úthoz. Az új alkalmazásban konfigurálja a belső URL-címet a szükséges elérési úttal, majd konfigurálja az URL-címhez szükséges fejléceket. alkalmazásproxy a konfigurációs beállítások mindig egy alkalmazáshoz beállított legszemlebb részletes elérési úthoz fognak illeszkedni.
  2. Előhitelesítési módszerként válassza a Azure Active Directory    **** lehetőséget.

  3. Rendeljen hozzá egy tesztfelhasználót úgy, hogy a Felhasználók és csoportok között navigál, és hozzárendeli a megfelelő felhasználókat és csoportokat.

  4. Nyisson meg egy böngészőt, és navigáljon a Külső URL-címhez   alkalmazásproxy beállításokból.

  5. Ellenőrizze, hogy tud-e csatlakozni az alkalmazáshoz. Bár tud csatlakozni, még nem tudja elérni az alkalmazást, mivel a fejlécek nincsenek konfigurálva.

Egyszeri bejelentkezés konfigurálása

Mielőtt elkezdi a fejlécalapú alkalmazások egyszeri bejelentkezését, telepítenie kell egy alkalmazásproxy-összekötőt, és az összekötő hozzáférhet a célalkalmazáshoz. Ha nem, kövesse az Oktatóanyag: Azure AD-alkalmazásproxy,   majd visszatér ide.

  1. Miután az alkalmazás megjelenik a vállalati alkalmazások listájában, jelölje ki, majd válassza az Egyszeri bejelentkezés lehetőséget.
  2. Állítsa az egyszeri bejelentkezési módot Fejlécalapúra.
  3. Az Alapszintű konfiguráció Azure Active Directory alapértelmezett beállításként a következő lesz kiválasztva: .
  4. A Fejlécek alatt válassza a szerkesztési ceruza kódot az alkalmazásnak küldened kívánt fejlécek konfigurálához.
  5. Válassza az Új fejléc hozzáadása lehetőséget. Adja meg a fejléc nevét, válassza az Attribútum vagy az Átalakítás lehetőséget, majd a legördülő menüből válassza ki, hogy melyik fejlécre van szüksége az alkalmazásnak.
  6. Kattintson a Mentés gombra.

Az alkalmazás tesztelése

Az összes lépés befejezése után az alkalmazásnak futnia kell és elérhetőnek kell lennie. Az alkalmazás tesztelése:

  1. Nyisson meg egy új böngészőablakot vagy egy privát böngészőablakot, és győződjön meg arról, hogy a korábban gyorsítótárazott fejlécek törölve vannak. Ezután lépjen a Külső URL-címre   a alkalmazásproxy beállítások között.
  2. Jelentkezzen be az alkalmazáshoz rendelt tesztfiókkal. Ha be tudja tölteni az alkalmazást, és bejelentkezik az SSO-val, akkor minden rendben van!

Megfontolandó szempontok

  • alkalmazásproxy helyszíni vagy magánfelhőbeli alkalmazásokhoz való távoli hozzáférésre használható. alkalmazásproxy nem ajánlott a belsőleg a vállalati hálózatról származó forgalom kezeléshez.
  • A fejlécalapú hitelesítési alkalmazásokhoz való hozzáférést csak az összekötőből vagy más engedélyezett fejlécalapú hitelesítési megoldásból származó forgalomra kell korlátozni. Ezt általában az alkalmazáshoz való hálózati hozzáférés tűzfallal vagy IP-korlátozással való korlátozásával lehet elérni az alkalmazáskiszolgálón.

Következő lépések