Come fornire l'accesso remoto sicuro alle applicazioni localiHow to provide secure remote access to on-premises applications

Oggi i dipendenti vogliono essere produttivi in qualsiasi luogo, in qualsiasi momento e da qualsiasi dispositivo.Employees today want to be productive at any place, at any time, and from any device. Vogliono lavorare con i propri dispositivi, che si tratti di tablet, di telefoni o di portatili,They want to work on their own devices, whether they be tablets, phones, or laptops. e si aspettano di poter accedere a tutte le applicazioni, sia le app SaaS nel cloud sia le app aziendali locali.And they expect to be able to access all their applications, both SaaS apps in the cloud and corporate apps on-premises. Per fornire l'accesso alle applicazioni locali, sono sempre state necessarie reti private virtuali (VPN) o reti perimetrali .Providing access to on-premises applications has traditionally involved virtual private networks (VPNs) or demilitarized zones (DMZs). Queste soluzioni non sono solo complesse e difficili da proteggere, ma sono anche costose da configurare e gestire.Not only are these solutions complex and hard to make secure, but they are costly to set up and manage.

C'è una soluzione migliore.There is a better way!

Una forza lavoro moderna in un mondo dominato dai dispositivi mobili e basato sul cloud richiede una soluzione di accesso remoto moderna.A modern workforce in the mobile-first, cloud-first world needs a modern remote access solution. Il proxy dell'applicazione di Azure AD è una funzionalità di Azure Active Directory che offre l'accesso remoto come servizio.Azure AD Application Proxy is a feature of Azure Active Directory that offers remote access as a service. Per questo è facile da distribuire, usare e gestire.That means it's easy to deploy, use, and manage.

Nota

Per informazioni sul supporto di funzionalità specifiche in base al tipo di licenza, vedere la pagina Prezzi di Azure Active Directory.To learn if specific features are supported by your license type, check the Azure Active Directory Pricing information page.

Informazioni sul proxy dell'applicazione di Azure Active DirectoryWhat is Azure Active Directory Application Proxy?

Il proxy dell'applicazione di Azure AD fornisce sia l'accesso Single Sign-On (SSO) sia l'accesso remoto sicuro per le applicazioni Web ospitate in locale,Azure AD Application Proxy provides single sign-on (SSO) and secure remote access for web applications hosted on-premises. ad esempio siti di SharePoint, Outlook Web Access o qualsiasi altra applicazione Web line-of-business.Some apps you would want to publish include SharePoint sites, Outlook Web Access, or any other LOB web applications you have. Queste applicazioni Web locali sono integrate con Azure AD, la stessa piattaforma delle identità e di controllo usata da O365.These on-premises web applications are integrated with Azure AD, the same identity and control platform that is used by O365. Gli utenti finali possono accedere alle applicazioni locali nello stesso modo in cui accedono a Office 365 e alle altre app SaaS integrate in Azure AD.End users can access your on-premises applications the same way they access O365 and other SaaS apps integrated with Azure AD. Non è necessario modificare l'infrastruttura di rete o richiedere una VPN per fornire questa soluzione agli utenti.You don't need to change the network infrastructure or require VPN to provide this solution for your users.

Perché un Proxy dell'applicazione è una soluzione migliore?Why is Application Proxy a better solution?

Il proxy dell'applicazione di Azure AD fornisce una soluzione di accesso remoto semplice, sicura ed economicamente conveniente a tutte le applicazioni locali.Azure AD Application Proxy provides a simple, secure, and cost-effective remote access solution to all your on-premises applications.

Il proxy di applicazione di Azure AD:Azure AD Application Proxy is:

  • SimpleSimple
    • Non è necessario modificare o aggiornare le applicazioni per usare il proxy di applicazione.You don't need to change or update your applications to work with Application Proxy.
    • Offre agli utenti un'esperienza di autenticazione coerente.Your users get a consistent authentication experience. Possono usare il portale MyApps per ottenere l'accesso Single Sign-On per entrambe le app SaaS nel cloud e nelle app locali.They can use the MyApps portal to get single sign-on to both SaaS apps in the cloud and your apps on-premises.
  • ProteggereSecure
    • Quando si pubblicano le app usando il proxy dell'applicazione di Azure AD, è possibile sfruttare l'analisi della sicurezza e i controlli di autorizzazione avanzati in Azure.When you publish your apps using Azure AD Application Proxy, you can take advantage of the rich authorization controls and security analytics in Azure. Si ottiene sicurezza a livello di cloud e funzionalità di sicurezza Azure come l'accesso condizionale e la verifica in due passaggi.You get cloud-scale security and Azure security features like conditional access and two-step verification.
    • Non è necessario aprire le connessioni in ingresso attraverso il firewall per consentire agli utenti l'accesso remoto.You don't have to open any inbound connections through your firewall to give your users remote access.
  • ConvenienzaCost-effective
    • Il proxy di applicazione opera nel cloud, facendo risparmiare tempo e denaro.Application Proxy works in the cloud, so you can save time and money. Le soluzioni locali richiedono generalmente di configurare e gestire reti perimetrali, server perimetrali o altre infrastrutture complesse.On-premises solutions typically require you to set up and maintain DMZs, edge servers, or other complex infrastructures.

Quale tipo di applicazione funziona con il proxy di applicazione?What kind of applications work with Application Proxy?

Con il proxy dell'applicazione di Azure AD è possibile accedere a tipi diversi di applicazioni interne:With Azure AD Application Proxy you can access different types of internal applications:

  • Applicazioni Web che usano l'autenticazione integrata di Windows per l'autenticazioneWeb applications that use Integrated Windows Authentication for authentication
  • Applicazioni Web che usano l'accesso basato su form o su intestazioneWeb applications that use form-based or header-based access
  • API Web che si vuole esporre ad applicazioni avanzate in dispositivi diversiWeb APIs that you want to expose to rich applications on different devices
  • Applicazioni ospitate dietro Gateway Desktop remotoApplications hosted behind a Remote Desktop Gateway
  • App rich client integrate con Active Directory Authentication Library (ADAL)Rich client apps that are integrated with the Active Directory Authentication Library (ADAL)

Come funziona il proxy di applicazione?How does Application Proxy work?

Vi sono due componenti da configurare per fare in modo che il proxy di applicazione funzioni: un connettore e un endpoint esterno.There are two components that you need to configure to make Application Proxy work: a connector and an external endpoint.

Il connettore è un agente semplice che si trova in un server di Windows all'interno della rete.The connector is a lightweight agent that sits on a Windows Server inside your network. Il connettore facilita il flusso del traffico del servizio Proxy di applicazione nel cloud per l'applicazione locale.The connector facilitates the traffic flow from the Application Proxy service in the cloud to your application on-premises. Usa solo connessioni in uscita, per cui non è necessario aprire porte in ingresso né inserire nulla nella rete perimetrale.It only uses outbound connections, so you don't have to open any inbound ports or put anything in the DMZ. I connettori sono senza stato e prelevano le informazioni dal cloud in base alle esigenze.The connectors are stateless and pull information from the cloud as necessary. Per altre informazioni sui connettori, ad esempio come bilanciano il carico ed effettuano l'autenticazione, vedere Comprendere i connettori del proxy applicazione Azure AD.For more information about connectors, like how they load-balance and authenticate, see Understand Azure AD Application Proxy connectors.

L'endpoint esterno rappresenta il metodo attraverso il quale gli utenti raggiungono le applicazioni all'esterno della rete.The external endpoint is how your users reach your applications while outside of your network. Possono proseguire direttamente a un URL esterno determinato oppure accedere all'applicazione tramite il portale MyApps.They can either go directly to an external URL that you determine, or they can access the application through the MyApps portal. Quando gli utenti proseguono verso uno di questi endpoint, si autenticano in Azure AD e quindi vengono instradati tramite il connettore all'applicazione locale.When users go to one of these endpoints, they authenticate in Azure AD and then are routed through the connector to the on-premises application.

Diagramma del proxy dell'applicazione di AzureAD

  1. L'utente accede all'applicazione tramite il servizio proxy di applicazione e viene reindirizzato alla pagina di accesso di Azure AD per l'autenticazione.The user accesses the application through the Application Proxy service and is directed to the Azure AD sign-in page to authenticate.
  2. Dopo avere completato l'accesso, un token viene generato e inviato al dispositivo client.After a successful sign-in, a token is generated and sent to the client device.
  3. Il client invia il token al servizio proxy di applicazione che recupera dal token il nome dell'entità utente (UPN) e il nome dell'entità di sicurezza (SPN) e indirizza la richiesta al connettore proxy di applicazione.The client sends the token to the Application Proxy service, which retrieves the user principal name (UPN) and security principal name (SPN) from the token, then directs the request to the Application Proxy connector.
  4. Se è stato configurato Single Sign-On, il connettore esegue le autenticazioni aggiuntive necessarie per conto dell'utente.If you have configured single sign-on, the connector performs any additional authentication required on behalf of the user.
  5. Il connettore invia la richiesta all'applicazione locale.The connector sends the request to the on-premises application.
  6. La risposta viene inviata all'utente con il servizio e il connettore proxy di applicazione.The response is sent through Application Proxy service and connector to the user.

Single sign-onSingle sign-on

Il proxy dell'applicazione di Azure AD fornisce l'accesso Single Sign-On (SSO) alle applicazioni che usano l'autenticazione integrata di Windows o alle applicazioni che riescono a riconoscere le attestazioni.Azure AD Application Proxy provides single sign-on (SSO) to applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Se l'applicazione usa l'autenticazione integrata di Windows, il proxy dell'applicazione rappresenta l'utente tramite la delega vincolata Kerberos per fornire l'accesso Single Sign-On.If your application uses IWA, Application Proxy impersonates the user using Kerberos Constrained Delegation to provide SSO. Se invece si dispone di un'applicazione con riconoscimento delle attestazione che considera attendibile Azure Active Directory, l'accesso Single Sign-On funziona perché l'utente era già stato autenticato da Azure AD.If you have a claims-aware application that trusts Azure Active Directory, SSO works because the user was already authenticated by Azure AD.

Per altre informazioni su Kerberos, vedere All you want to know about Kerberos Constrained Delegation (KCD) (Tutto quello che si desidera sapere sulla delega vincolata Kerberos (KCD)).For more information about Kerberos, see All you want to know about Kerberos Constrained Delegation (KCD).

Gestione delle appManaging apps

Dopo che è stata pubblicata con il proxy di applicazione, l'app può essere gestita come qualsiasi altra app aziendale nel portale di Azure.Once your app is published with Application Proxy, you can manage it like any other enterprise app in the Azure portal. È possibile usare funzioni di sicurezza di Azure Active Directory come la verifica in due passaggi e l'accesso condizionale, controllare le autorizzazioni utente e personalizzare il branding dell'app.You can use Azure Active Directory security features like conditional access and two-step verification, control user permissions, and customize the branding for your app.

IntroduzioneGet started

Prima di configurare Proxy di applicazione, assicurarsi di avere una edizione di Azure Active Directory supportata e una directory di Azure AD di cui si è un amministratore globale.Before you configure Application Proxy, make sure you have a supported Azure Active Directory edition and an Azure AD directory for which you are a global administrator.

Introduzione a Proxy di applicazione in due passaggi:Get started with Application Proxy in two steps:

  1. Abilitazione del proxy dell'applicazione e configurazione del connettore.Enable Application Proxy and configure the connector.
  2. Pubblicazione delle applicazioni : usare la procedura guidata, veloce e intuitiva, per pubblicare applicazioni locali e renderle accessibili in remoto.Publish applications - use the quick and easy wizard to get your on-premises apps published and accessible remotely.

Passaggi successiviWhat's next?

Dopo aver pubblicato la prima app, si può fare molto di più con il proxy di applicazione:Once you publish your first app, there's a lot more you can do with Application Proxy:

Per le notizie e gli aggiornamenti più recenti, vedere Application Proxy blogFor the latest news and updates, check out the Application Proxy blog