Pubblicare applicazioni in reti e posizioni separate tramite i gruppi di connettoriPublish applications on separate networks and locations using connector groups

Il proxy di applicazione di Azure AD viene usato per un numero crescente di scenari e applicazioni dei clienti.Customers utilize Azure AD's Application Proxy for more and more scenarios and applications. Per questo motivo, il proxy di applicazione è stato reso ancora più flessibile grazie all'abilitazione di altre topologie.So we've made App Proxy even more flexible by enabling more topologies. È possibile creare gruppi di connettori proxy di applicazione in modo da poter assegnare connettori specifici per la gestione di determinate applicazioni.You can create Application Proxy connector groups so that you can assign specific connectors to serve specific applications. Questa funzionalità offre un controllo maggiore e più metodi per ottimizzare la distribuzione dei proxy di applicazione.This capability gives you more control and ways to optimize your Application Proxy deployment.

Ogni connettore proxy di applicazione viene assegnato a un gruppo di connettori.Each Application Proxy connector is assigned to a connector group. Tutti i connettori che appartengono allo stesso gruppo di connettori costituiscono un'unità separata per la disponibilità elevata e il bilanciamento del carico.All the connectors that belong to the same connector group act as a separate unit for high-availability and load balancing. Tutti i connettori appartengono a un gruppo di connettori.All connectors belong to a connector group. Se non si creano i gruppi, tutti i connettori vengono inclusi in un gruppo predefinito.If you don't create groups, then all your connectors are in a default group. L'amministratore può creare nuovi gruppi e assegnare connettori ai gruppi usando il portale di Azure.Your admin can create new groups and assign connectors to them in the Azure portal.

Tutte le applicazioni sono assegnate a un gruppo di connettori.All applications are assigned to a connector group. Se non si creano i gruppi, tutte le applicazioni vengono assegnate a un gruppo predefinito.If you don't create groups, then all your applications are assigned to a default group. Se però i connettori vengono organizzati in gruppi, è possibile impostare ogni applicazione per l'uso di un gruppo di connettori specifico.But if you organize your connectors into groups, you can set each application to work with a specific connector group. In questo caso, vengono usati su richiesta solo i connettori inclusi nel gruppo specifico.In this case, only the connectors in that group serve the application upon request. Questa funzionalità è utile se le applicazioni sono ospitate in posizioni diverse.This feature is useful if your applications are hosted in different locations. È possibile creare gruppi di connettori in base alla posizione, in modo che le applicazioni vengano sempre gestite dai connettori che si trovano fisicamente più vicini.You can create connector groups based on location, so that applications are always served by connectors that are physically close to them.

Suggerimento

Nel caso di una distribuzione di proxy di applicazione di grandi dimensioni, non assegnare alcuna applicazione al gruppo di connettori predefinito.If you have a large Application Proxy deployment, don't assign any applications to the default connector group. In questo caso, i nuovi connettori non riceveranno traffico live finché non vengono assegnati a un gruppo di connettori attivi.That way, new connectors don't receive any live traffic until you assign them to an active connector group. Questa configurazione permette anche di applicare ai connettori una modalità inattiva spostandoli di nuovo nel gruppo predefinito, in modo da eseguire operazioni di manutenzione senza alcun impatto sugli utenti.This configuration also enables you to put connectors in an idle mode by moving them back to the default group, so that you can perform maintenance without impacting your users.

PrerequisitiPrerequisites

Per raggruppare i connettori è necessario assicurarsi di avere installato più connettori.To group your connectors, you have to make sure you installed multiple connectors. Quando si installa un nuovo connettore, questo si aggiunge automaticamente al gruppo di connettori predefinito .When you install a new connector, it automatically joins the Default connector group.

Creare gruppi di connettoriCreate connector groups

Usare questi passaggi per creare il numero di gruppi di connettori desiderato.Use these steps to create as many connector groups as you want.

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Selezionare Azure Active Directory > Applicazioni aziendali > Proxy dell'applicazione.Select Azure Active Directory > Enterprise applications > Application proxy.
  3. Selezionare Nuovo gruppo di connettori.Select New connector group. Viene visualizzato il pannello New Connector Group (Nuovo gruppo di connettori).The New Connector Group blade appears.

    Selezionare il nuovo gruppo di connettori

  4. Assegnare un nome al nuovo gruppo di connettori, quindi usare il menu a discesa per selezionare i connettori appartenenti a questo gruppo.Give your new connector group a name, then use the dropdown menu to select which connectors belong in this group.

  5. Selezionare Salva.Select Save.

Assegnare applicazioni ai gruppi di connettoriAssign applications to your connector groups

Usare questi passaggi per ogni applicazione pubblicata con il proxy di applicazione.Use these steps for each application that you've published with Application Proxy. È possibile assegnare un'applicazione a un gruppo di connettori quando l'applicazione viene pubblicata per la prima volta oppure è possibile usare questi passaggi per modificare l'assegnazione ogni volta che è necessario.You can assign an application to a connector group when you first publish it, or you can use these steps to change the assignment whenever you want.

  1. Nel dashboard di gestione per la directory selezionare Applicazioni aziendali > All applications (Tutte le applicazioni) > l'applicazione che si vuole assegnare a un gruppo di connettori > Proxy dell'applicazione.From the management dashboard for your directory, select Enterprise applications > All applications > the application you want to assign to a connector group > Application Proxy.
  2. Usare il menu a discesa Gruppo di connettori per selezionare il gruppo che dovrà essere usato dall'applicazione.Use the Connector Group dropdown menu to select the group you want the application to use.
  3. Fare clic su Salva per salvare la modifica.Select Save to apply the change.

Casi d'uso per gruppi di connettoriUse cases for connector groups

I gruppi di connettori sono utili in varie situazioni, ad esempio:Connector groups are useful for various scenarios, including:

Siti con più data center interconnessiSites with multiple interconnected datacenters

Molte organizzazioni hanno diversi data center interconnessi.Many organizations have a number of interconnected datacenters. In questo caso è preferibile mantenere la maggior quantità di traffico possibile all'interno del data center, perché i collegamenti tra data center sono lenti e dispendiosi.In this case, you want to keep as much traffic within the datacenter as possible because cross-datacenter links are expensive and slow. È possibile distribuire connettori in ogni data center per rendere disponibili solo le applicazioni che risiedono all'interno del data center.You can deploy connectors in each datacenter to serve only the applications that reside within the datacenter. Questo approccio riduce al minimo i collegamenti tra data center e offre un'esperienza completamente trasparente agli utenti.This approach minimizes cross-datacenter links and provides an entirely transparent experience to your users.

Applicazioni installate in reti isolateApplications installed on isolated networks

È possibile ospitare le applicazioni in reti che non fanno parte della rete aziendale principale.Applications can be hosted in networks that are not part of the main corporate network. È possibile usare gruppi di connettori per installare connettori dedicati in reti isolate, in modo da isolare anche le applicazioni per la rete.You can use connector groups to install dedicated connectors on isolated networks to also isolate applications to the network. Questo accade in genere quando un fornitore di terze parti gestisce un'applicazione specifica per l'organizzazione.This usually happens when a third-party vendor maintains a specific application for your organization.

I gruppi di connettori permettono di installare connettori dedicati per le reti che pubblicano solo applicazioni specifiche, rendendo più semplice e sicuro l'outsourcing della gestione delle applicazioni a fornitori di terze parti.Connector groups allow you to install dedicated connectors for those networks that publish only specific applications, making it easier and more secure to outsource application management to third-party vendors.

Applicazioni installate in IaaSApplications installed on IaaS

Per le applicazioni installate in IaaS per l'accesso al cloud, i gruppi di connettori offrono un servizio comune per proteggere l'accesso a tutte le app.For applications installed on IaaS for cloud access, connector groups provide a common service to secure the access to all the apps. I gruppi di connettori non creano dipendenza aggiuntiva dalla rete aziendale o non frammentano l'esperienza delle app.Connector groups don't create additional dependency on your corporate network, or fragment the app experience. I connettori possono essere installati in ogni data center nel cloud e gestire solo le applicazioni che si trovano nella rete.Connectors can be installed on every cloud datacenter and serve only applications that reside in that network. È possibile installare più connettori per ottenere una disponibilità elevata.You can install several connectors to achieve high availability.

Considerare come esempio un'organizzazione con diverse macchine virtuali connesse alla rete virtuale IaaS ospitata.Take as an example an organization that has several virtual machines connected to their own IaaS hosted virtual network. Per permettere ai dipendenti di usare le applicazioni, tali reti private sono connesse alla rete aziendale tramite VPN da sito a sito.To allow employees to use these applications, these private networks are connected to the corporate network using site-to-site VPN. Questa soluzione offre un'esperienza ottimale ai dipendenti a livello locale.This provides a good experience for employees that are located on-premises. Può tuttavia non essere ideale per i dipendenti che lavorano in remoto, poiché richiede un'infrastruttura locale aggiuntiva per instradare l'accesso, come illustra il diagramma seguente:But, it may not be ideal for remote employees, because it requires additional on-premises infrastructure to route access, as you can see in the diagram below:

Rete IaaS di Azure AD

Con i gruppi di connettori del proxy di applicazione di Azure AD, è possibile abilitare un servizio comune per proteggere l'accesso a tutte le applicazioni senza creare una dipendenza aggiuntiva nella rete aziendale:With Azure AD Application Proxy connector groups, you can enable a common service to secure the access to all applications without creating additional dependency on your corporate network:

Più fornitori cloud IaaS per Azure AD

Scenario a più foreste: gruppi di connettori diversi per ogni forestaMulti-forest – different connector groups for each forest

La maggior parte dei clienti che hanno distribuito il proxy di applicazione usa le funzionalità Single Sign-On (SSO) eseguendo la delega vincolata Kerberos (KCD).Most customers who have deployed Application Proxy are using its single-sign-on (SSO) capabilities by performing Kerberos Constrained Delegation (KCD). A questo scopo, i computer del connettore devono essere aggiunti a un dominio in grado di delegare gli utenti verso l'applicazione.To achieve this, the connector’s machines need to be joined to a domain that can delegate the users toward the application. La delega vincolata Kerberos supporta le funzionalità tra foreste.KCD supports cross-forest capabilities. Tuttavia, per le aziende che hanno ambienti a più foreste distinti senza una relazione di trust tra di essi, è possibile usare un solo connettore per tutte le foreste.But for companies who have distinct multi-forest environments with no trust between them, a single connector cannot be used for all forests.

In tal caso, è possibile distribuire connettori specifici per ogni foresta e impostarli per la gestione delle applicazioni pubblicate per gestire solo gli utenti della foresta specifica.In this case, specific connectors can be deployed per forest, and set to serve applications that were published to serve only the users of that specific forest. Ogni gruppo di connettori rappresenta una foresta diversa.Each connector group represents a different forest. Mentre il tenant e buona parte dell'esperienza sono unificati per tutte le foreste, è possibile assegnare utenti alle applicazioni della rispettiva foresta tramite i gruppi di Azure AD.While the tenant and most of the experience is unified for all forests, users can be assigned to their forest applications using Azure AD groups.

Siti di ripristino di emergenzaDisaster Recovery sites

Sono disponibili due diversi approcci ai siti di ripristino di emergenza, a seconda della modalità di implementazione dei siti:There are two different approaches you can take with a disaster recovery (DR) site, depending on how your sites are implemented:

  • Se il sito di ripristino di emergenza è compilato in modalità attivo-attivo, per cui è esattamente come il sito principale e ha la stessa rete e le stesse impostazioni di Active Directory, è possibile creare i connettori nel sito di ripristino di emergenza nello stesso gruppo di connettori del sito principale.If your DR site is built in active-active mode where it is exactly like the main site and has the same networking and AD settings, you can create the connectors on the DR site in the same connector group as the main site. In questo modo Azure AD può rilevare i failover.This enables Azure AD to detect failovers for you.
  • Se il sito di ripristino di emergenza è separato dal sito principale, è possibile creare un gruppo di connettori diverso nel sito di ripristino di emergenza e 1) predisporre applicazioni di backup o 2) deviare manualmente l'applicazione esistente verso il gruppo di connettori di ripristino di emergenza, in base alle esigenze.If your DR site is separate from the main site, you can create a different connector group in the DR site, and either 1) have backup applications or 2) manually divert the existing application to the DR connector group as needed.

Gestire più aziende da un singolo tenantServe multiple companies from a single tenant

Per implementare un modello in cui un singolo provider di servizi distribuisce e gestisce i servizi correlati ad Azure AD per più aziende, è possibile procedere in diversi modi.There are many different ways to implement a model in which a single service provider deploys and maintains Azure AD related services for multiple companies. I gruppi di connettori permettono all'amministratore di isolare i connettori e le applicazioni in gruppi diversi.Connector groups help the admin segregate the connectors and applications into different groups. Uno dei metodi, adatto alle aziende di piccole dimensioni, consiste nell'avere un singolo tenant di Azure AD mentre le varie aziende hanno reti e nomi di dominio propri.One way, which is suitable for small companies, is to have a single Azure AD tenant while the different companies have their own domain name and networks. Questo vale anche per scenari di fusione e acquisizione e situazioni in cui un singolo reparto IT gestisce diverse aziende per motivi legali o economici.This is also true for M&A scenarios and situations where a single IT division serves several companies for regulatory or business reasons.

Configurazioni di esempioSample configurations

Tra gli esempi che è possibile implementare, sono inclusi i gruppi di connettori seguenti.Some examples that you can implement, include the following connector groups.

Configurazione predefinita senza gruppi di connettoriDefault configuration – no use for connector groups

Se non si usano gruppi di connettori, la configurazione ha un aspetto simile al seguente:If you don’t use connector groups, your configuration would look like this:

Azure AD senza gruppi di connettori

Questa configurazione è sufficiente per distribuzioni di piccole dimensioni e test.This configuration is sufficient for small deployments and tests. È adatta anche a organizzazioni con una topologia di rete flat.It will also work well if your organization has a flat network topology.

Configurazione predefinita con una rete isolataDefault configuration and an isolated network

Questa configurazione rappresenta un'evoluzione di quella predefinita. In questa configurazione un'app specifica viene eseguita in una rete isolata, ad esempio una rete virtuale IaaS:This configuration is an evolution of the default one, in which there is a specific app that runs in an isolated network such as IaaS virtual network:

Azure AD senza gruppi di connettori

La configurazione consigliata per organizzazioni complesse di grandi dimensioni include il gruppo di connettori predefinito come gruppo che non gestisce applicazioni e viene usato per i connettori inattivi o appena installati.The recommended configuration for large and complex organizations is to have the default connector group as a group that doesn’t serve any applications and is used for idle or newly installed connectors. Tutte le applicazioni vengono gestite tramite gruppi di connettori personalizzati.All applications are served using customized connector groups. Questo rende possibile la complessità degli scenari descritti in precedenza.This enables all the complexity of the scenarios described above.

Nell'esempio seguente l'azienda ha due data center, A e B, con due connettori che gestiscono ogni sito.In the example below, the company has two datacenters, A and B, with two connectors that serve each site. In ognuno dei siti vengono eseguite applicazioni diverse.Each site has different applications that run on it.

Azure AD senza gruppi di connettori

Passaggi successiviNext steps