Uso di Azure AD Application Proxy per pubblicare app locali per gli utenti remotiUsing Azure AD Application Proxy to publish on-premises apps for remote users

Azure Active Directory (Azure AD) offre molte funzionalità per la protezione di utenti, app e dati nel cloud e nell'ambiente locale.Azure Active Directory (Azure AD) offers many capabilities for protecting users, apps, and data in the cloud and on-premises. In particolare, la funzionalità Azure AD Application Proxy può essere implementata da professionisti IT che vogliono pubblicare all'esterno applicazioni Web locali.In particular, the Azure AD Application Proxy feature can be implemented by IT professionals who want to publish on-premises web applications externally. Con questa funzionalità, gli utenti remoti possono accedere alle app interne in modo sicuro.Remote users who need access to internal apps can then access them in a secure manner.

La possibilità di accedere in modo sicuro alle app interne dall'esterno della rete risulta ancora più utile nell'ambiente di lavoro moderno.The ability to securely access internal apps from outside your network becomes even more critical in the modern workplace. Con la diffusione degli scenari di tipo BYOD (Bring Your Own Device) e dei dispositivi mobili, i professionisti IT sono chiamati a soddisfare due obiettivi:With scenarios such as BYOD (Bring Your Own Device) and mobile devices, IT professionals are challenged to meet two goals:

  • Garantire la produttività degli utenti finali sempre e ovunqueEmpower end users to be productive anytime and anywhere
  • Assicurare la protezione costante degli asset aziendaliProtect corporate assets at all times

Molte organizzazioni ritengono di poter tenere tutto al sicuro e sotto controllo mantenendo le risorse entro i limiti della rete aziendale.Many organizations believe they are in control and protected when resources exist within the boundaries of their corporate networks. Al giorno d'oggi, tuttavia, l'ambiente di lavoro digitale ha esteso questi limiti, con dispositivi mobili, risorse e servizi gestiti nel cloud.But in today's digital workplace, that boundary has expanded with managed mobile devices and resources and services in the cloud. La sfida attuale è quella di gestire la complessità legata alla protezione delle identità degli utenti e dei dati archiviati su dispositivi e app.Now you need to manage the complexity of protecting your users' identities and data stored on their devices and apps.

Forse si sta già usando Azure AD per gestire gli utenti nel cloud che devono accedere Microsoft 365 e altre applicazioni SaaS, nonché le app Web ospitate in locale.Perhaps you're already using Azure AD to manage users in the cloud who need to access Microsoft 365 and other SaaS applications, as well as web apps hosted on-premises. Se si ha già Azure AD, è possibile sfruttarlo come singolo piano di controllo per consentire un accesso semplice e sicuro alle applicazioni in locale.If you already have Azure AD, you can leverage it as one control plane to allow seamless and secure access to your on-premises applications. Se invece si sta ancora valutando l'opportunità di passare al cloud,Or, maybe you're still contemplating a move to the cloud. è possibile iniziare il proprio percorso verso il cloud implementando Application Proxy, compiendo così il primo passo verso la creazione di una solida base di gestione delle identità.If so, you can begin your journey to the cloud by implementing Application Proxy and taking the first step towards building a strong identity foundation.

L'elenco seguente illustra alcune delle opportunità offerte dall'implementazione di Application Proxy in uno scenario di coesistenza ibrida:While not comprehensive, the list below illustrates some of the things you can enable by implementing App Proxy in a hybrid coexistence scenario:

  • Pubblicazione delle app Web locali all'esterno in modo semplice senza una rete perimetralePublish on-premises web apps externally in a simplified way without a DMZ
  • Supporto per l'accesso SSO (Single Sign-On) a dispositivi, risorse e app nel cloud e nell'ambiente localeSupport single sign-on (SSO) across devices, resources, and apps in the cloud and on-premises
  • Supporto per l'autenticazione a più fattori per le app nel cloud e nell'ambiente localeSupport multi-factor authentication for apps in the cloud and on-premises
  • Possibilità di sfruttare rapidamente le funzionalità del cloud con la sicurezza della piattaforma Microsoft CloudQuickly leverage cloud features with the security of the Microsoft Cloud
  • Gestione centralizzata degli account utenteCentralize user account management
  • Controllo centralizzato delle identità e della sicurezzaCentralize control of identity and security
  • Aggiunta o rimozione automatiche dell'accesso utente alle applicazioni in base all'appartenenza a gruppiAutomatically add or remove user access to applications based on group membership

Questo articolo illustra l'esperienza di accesso SSO offerta agli utenti remoti da Azure AD e Application Proxy.This article explains how Azure AD and Application Proxy give remote users a single sign-on (SSO) experience. Gli utenti possono connettersi in modo sicuro alle app locali senza una VPN o server dual-homed e regole del firewall.Users securely connect to on-premises apps without a VPN or dual-homed servers and firewall rules. L'articolo contiene informazioni utili per comprendere come Application Proxy offre la possibilità di sfruttare le funzionalità e i vantaggi della sicurezza del cloud per le applicazioni Web locali.This article helps you understand how Application Proxy brings the capabilities and security advantages of the cloud to your on-premises web applications. Descrive inoltre l'architettura e le topologie che è possibile implementare.It also describes the architecture and topologies that are possible.

L'accesso remoto in passatoRemote access in the past

In passato, il piano di controllo per proteggere le risorse interne da utenti malintenzionati, facilitando l'accesso degli utenti remoti, era incentrato sull'uso della rete perimetrale.Previously, your control plane for protecting internal resources from attackers while facilitating access by remote users was all in the DMZ, or perimeter network. Tuttavia, le soluzioni con VPN e proxy inverso distribuite nella rete perimetrale usata dai client esterni per accedere alle risorse aziendali non sono adatte all'ambiente cloud.But the VPN and reverse proxy solutions deployed in the DMZ used by external clients to access corporate resources aren't suited to the cloud world. Le soluzioni di questo tipo presentano in genere gli svantaggi seguenti:They typically suffer from the following drawbacks:

  • Costi dell'hardwareHardware costs
  • Gestione della sicurezza (applicazione di patch, monitoraggio delle porte e così via)Maintaining security (patching, monitoring ports, etc.)
  • Autenticazione degli utenti sul perimetroAuthenticating users at the edge
  • Autenticazione degli utenti ai server Web nella rete perimetraleAuthenticating users to web servers in the perimeter network
  • Gestione dell'accesso alla VPN per gli utenti remoti, con la distribuzione e la configurazione del software client VPN,Maintaining VPN access for remote users with the distribution and configuration of VPN client software. e anche gestione dei server aggiunti a un dominio nella rete perimetrale, che può essere vulnerabile ad attacchi esterni.Also, maintaining domain-joined servers in the DMZ, which can be vulnerable to outside attacks.

Nel mondo attuale incentrato sul cloud, Azure AD offre la soluzione ideale per controllare chi e che cosa entra in una rete.In today's cloud-first world, Azure AD is best suited to control who and what gets into your network. Azure AD Application Proxy si integra con le moderne tecnologie di autenticazione basate sul cloud, come le applicazioni SaaS e i provider di identità.Azure AD Application Proxy integrates with modern authentication and cloud-based technologies, like SaaS applications and identity providers. Grazie a questa integrazione, gli utenti possono accedere alle app da qualsiasi luogo.This integration enables users to access apps from anywhere. Oltre a essere più adatto all'attuale ambiente di lavoro digitale, Application Proxy offre maggiore sicurezza rispetto alle soluzioni con VPN e proxy inverso ed è più facile da implementare.Not only is App Proxy more suited for today's digital workplace, it's more secure than VPN and reverse proxy solutions and easier to implement. Gli utenti remoti possono accedere alle applicazioni locali nello stesso modo in cui accedono a Microsoft e ad altre app SaaS integrate con Azure AD.Remote users can access your on-premises applications the same way they access Microsoft and other SaaS apps integrated with Azure AD. Non è necessario modificare o aggiornare le applicazioni per usare il proxy di applicazione.You don't need to change or update your applications to work with Application Proxy. Inoltre, Application Proxy non richiede l'apertura di connessioni in ingresso attraverso il firewall.Furthermore, App Proxy doesn't require you to open inbound connections through your firewall. Con Application Proxy è tutto più semplice. Basta configurarlo.With App Proxy, you simply set it and forget it.

Il futuro dell'accesso remotoThe future of remote access

Nell'attuale ambiente di lavoro digitale, gli utenti lavorano ovunque con più dispositivi e app.In today's digital workplace, users work anywhere with multiple devices and apps. L'unica costante è l'identità utente.The only constant is user identity. Ecco perché il primo passo da compiere oggi per la protezione di una rete è quello di usare le funzionalità di gestione delle identità di Azure AD come piano di controllo della sicurezza.That's why the first step to a secure network today is to use Azure AD's identity management capabilities as your security control plane. Un modello che usa le identità come piano di controllo è in genere costituito dai componenti seguenti:A model that uses identity as your control plane is typically comprised of the following components:

  • Un provider di identità per tenere traccia degli utenti e delle informazioni correlate.An identity provider to keep track of users and user-related information.
  • Una directory dei dispositivi per gestire un elenco dei dispositivi che hanno accesso alle risorse aziendali.Device directory to maintain a list of devices that have access to corporate resources. Nella directory sono incluse le informazioni relative ai dispositivi, ad esempio il tipo di dispositivo, l'integrità e così via.This directory includes corresponding device information (for example, type of device, integrity etc.).
  • Un servizio di valutazione dei criteri per determinare se un utente e un dispositivo sono conformi ai criteri stabiliti dagli amministratori della sicurezza.Policy evaluation service to determine if a user and device conforms to the policy set forth by security admins.
  • La possibilità di concedere o negare l'accesso alle risorse dell'organizzazione.The ability to grant or deny access to organizational resources.

Con Application Proxy, Azure AD tiene traccia degli utenti che devono accedere alle app Web pubblicate in locale e nel cloud,With Application Proxy, Azure AD keeps track of users who need to access web apps published on-premises and in the cloud. offrendo un punto di gestione centrale per tali app.It provides a central management point for those apps. Sebbene non sia necessario, è consigliabile anche abilitare l'Accesso Condizionale di Azure AD.While not required, it's recommended you also enable Azure AD Conditional Access. Definendo le condizioni relative alla modalità di autenticazione e accesso degli utenti, è possibile essere più sicuri che le applicazioni siano accessibili solo alle persone autorizzate.By defining conditions for how users authenticate and gain access, you further ensure the right people have access to applications.

Nota: è importante comprendere che Azure AD Application Proxy è stato progettato come alternativa a una soluzione con VPN o proxy inverso per gli utenti mobili (o remoti) che devono accedere alle risorse interne.Note: It's important to understand that Azure AD Application Proxy is intended as a VPN or reverse proxy replacement for roaming (or remote) users who need access to internal resources. Non è destinato agli utenti interni alla rete aziendale.It's not intended for internal users on the corporate network. Facendo inutilmente uso di Application Proxy, gli utenti interni possono causare problemi di prestazioni imprevisti e indesiderati.Internal users who unnecessarily use Application Proxy can introduce unexpected and undesirable performance issues.

Azure Active Directory e tutte le app

Panoramica del funzionamento di Application ProxyAn overview of how App Proxy works

Application Proxy è un servizio di Azure AD che viene configurato nel portale di Azure.Application Proxy is an Azure AD service you configure in the Azure portal. Questo servizio consente di pubblicare un endpoint per URL HTTP/HTTPS pubblici esterni nel cloud di Azure, che si connette all'URL di un server applicazioni all'interno dell'organizzazione.It enables you to publish an external public HTTP/HTTPS URL endpoint in the Azure Cloud, which connects to an internal application server URL in your organization. Le app Web locali possono essere integrate con Azure AD per supportare l'accesso Single Sign-On.These on-premises web apps can be integrated with Azure AD to support single sign-on. Gli utenti finali possono quindi accedere alle app Web locali nello stesso modo in cui accedono a Microsoft 365 e ad altre app SaaS.End users can then access on-premises web apps in the same way they access Microsoft 365 and other SaaS apps.

I componenti di questa funzionalità includono il servizio Application Proxy, che viene eseguito nel cloud, il connettore di Application Proxy, un agente semplice che viene eseguito in un server locale, e Azure AD, ovvero il provider di identità.Components of this feature include the Application Proxy service, which runs in the cloud, the Application Proxy connector, which is a lightweight agent that runs on an on-premises server, and Azure AD, which is the identity provider. Tutti e tre i componenti interagiscono in modo da offrire all'utente un'esperienza Single Sign-On per accedere alle applicazioni Web locali.All three components work together to provide the user with a single sign-on experience to access on-premises web applications.

Dopo l'accesso, gli utenti esterni possono accedere alle applicazioni Web locali usando un URL familiare o le mie app dai dispositivi desktop o iOS/Mac.After signing in, external users can access on-premises web applications by using a familiar URL or My Apps from their desktop or iOS/MAC devices. Application Proxy può ad esempio consentire l'accesso remoto e Single Sign-On a Desktop remoto, siti SharePoint, Tableau, Qlik, Outlook sul Web e applicazioni line-of-business.For example, App Proxy can provide remote access and single sign-on to Remote Desktop, SharePoint sites, Tableau, Qlik, Outlook on the web, and line-of-business (LOB) applications.

Architettura di Azure AD Application Proxy

AuthenticationAuthentication

Esistono diversi metodi per configurare un'applicazione per l'accesso Single Sign-On e la scelta del metodo dipende dall'autenticazione usata dall'applicazione.There are several ways to configure an application for single sign-on and the method you select depends on the authentication your application uses. Application Proxy supporta i tipi seguenti di applicazioni:Application Proxy supports the following types of applications:

  • Applicazioni WebWeb applications
  • API Web che si vuole esporre ad applicazioni avanzate in dispositivi diversiWeb APIs that you want to expose to rich applications on different devices
  • Applicazioni ospitate dietro Gateway Desktop remotoApplications hosted behind a Remote Desktop Gateway
  • App rich client integrate con Microsoft Authentication Library (MSAL)Rich client apps that are integrated with the Microsoft Authentication Library (MSAL)

Application Proxy funziona con le app che usano il protocollo di autenticazione nativo seguente:App Proxy works with apps that use the following native authentication protocol:

  • Autenticazione integrata di Windows.Integrated Windows Authentication (IWA). Per l'autenticazione integrata di Windows, i connettori di Application Proxy usano la delega vincolata Kerberos per autenticare gli utenti con l'applicazione Kerberos.For IWA, the Application Proxy connectors use Kerberos Constrained Delegation (KCD) to authenticate users to the Kerberos application.

Application Proxy supporta anche i protocolli di autenticazione seguenti con integrazione di terze parti o in scenari di configurazione specifici:App Proxy also supports the following authentication protocols with third-party integration or in specific configuration scenarios:

  • Autenticazione basata su intestazione.Header-based authentication. Questo metodo di accesso usa un servizio di autenticazione di terze parti chiamato PingAccess e viene usato quando l'applicazione usa le intestazioni per l'autenticazione.This sign-on method uses a third-party authentication service called PingAccess and is used when the application uses headers for authentication. In questo scenario l'autenticazione viene gestita da PingAccess.In this scenario, authentication is handled by PingAccess.
  • Autenticazione basata su moduli o su password.Forms- or password-based authentication. Con questo metodo di autenticazione, gli utenti eseguono la procedura di accesso all'applicazione con nome utente e password solo la prima volta.With this authentication method, users sign on to the application with a username and password the first time they access it. Agli accessi successivi sarà Azure AD a indicare il nome utente e la password all'applicazione.After the first sign-on, Azure AD supplies the username and password to the application. In questo scenario l'autenticazione viene gestita da Azure AD.In this scenario, authentication is handled by Azure AD.
  • Autenticazione SAML.SAML authentication. L'accesso Single Sign-On basato su SAML è supportato per le applicazioni che usano protocolli SAML 2.0 o WS-Federation.SAML-based single sign-on is supported for applications that use either SAML 2.0 or WS-Federation protocols. Con l'accesso Single Sign-On SAML, Azure AD esegue l'autenticazione all'applicazione usando l'account Azure AD dell'utente.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account.

Per altre informazioni sui metodi supportati, vedere Scelta di un metodo di accesso Single Sign-On.For more information on supported methods, see Choosing a single sign-on method.

Vantaggi di sicurezzaSecurity benefits

La soluzione di accesso remoto offerta da Application Proxy e Azure AD offre ai clienti diversi vantaggi per la sicurezza, tra cui:The remote access solution offered by Application Proxy and Azure AD support several security benefits customers may take advantage of, including:

  • Accesso autenticato.Authenticated access. Application Proxy è particolarmente adatto per pubblicare applicazioni con preautenticazione al fine di assicurarsi che solo le connessioni autenticate raggiungano la rete.Application Proxy is best suited to publish applications with pre-authentication to ensure that only authenticated connections hit your network. Per le applicazioni pubblicate con preautenticazione, il passaggio di traffico dal servizio Application Proxy all'ambiente locale è consentito solo con un token valido.For applications published with pre-authentication, no traffic is allowed to pass through the App Proxy service to your on-premises environment, without a valid token. Per sua natura, la preautenticazione blocca un numero significativo di attacchi mirati, poiché solo le identità autenticate possono accedere all'applicazione back-end.Pre-authentication, by its very nature, blocks a significant number of targeted attacks, as only authenticated identities can access the backend application.

  • Accesso condizionale.Conditional Access. È possibile applicare controlli più avanzati basati su criteri prima che vengano stabilite connessioni alla rete.Richer policy controls can be applied before connections to your network are established. L'Accesso Condizionale consente di definire restrizioni sul tipo di traffico autorizzato ad accedere alle applicazioni back-end.With Conditional Access, you can define restrictions on the traffic that you allow to hit your backend application. È possibile, ad esempio, creare criteri per definire restrizioni in base alla posizione, al livello di autenticazione e al profilo di rischio dell'utente.You create policies that restrict sign-ins based on location, strength of authentication, and user risk profile. Con la progressiva evoluzione dell'Accesso Condizionale, sono disponibili più controlli per offrire maggiore sicurezza, ad esempio l'integrazione con Microsoft Cloud App Security (MCAS).As Conditional Access evolves, more controls are being added to provide additional security such as integration with Microsoft Cloud App Security (MCAS). Questa integrazione consente di configurare un'applicazione locale per il monitoraggio in tempo reale sfruttando l'Accesso Condizionale per monitorare e controllare le sessioni in tempo reale in base a criteri di Accesso Condizionale.MCAS integration enables you to configure an on-premises application for real-time monitoring by leveraging Conditional Access to monitor and control sessions in real-time based on Conditional Access policies.

  • Terminazione del traffico.Traffic termination. Tutto il traffico verso l'applicazione back-end viene terminato nel servizio Application Proxy nel cloud mentre viene ristabilita la sessione con il server back-end.All traffic to the backend application is terminated at the Application Proxy service in the cloud while the session is re-established with the backend server. Con questa strategia di connessione, i server back-end non sono esposti al traffico HTTP diretto.This connection strategy means that your backend servers are not exposed to direct HTTP traffic. Sono protetti in modo più efficace dagli attacchi DoS (Denial of Service) mirati perché il firewall non è soggetto ad attacchi.They are better protected against targeted DoS (denial-of-service) attacks because your firewall isn't under attack.

  • Tutti gli accessi sono in uscita.All access is outbound. I connettori di Application Proxy usano solo connessioni in uscita verso il servizio Application Proxy nel cloud sulle porte 80 e 443.The Application Proxy connectors only use outbound connections to the Application Proxy service in the cloud over ports 80 and 443. Senza connessioni in ingresso, non è necessario aprire le porte del firewall per i componenti o le connessioni in ingresso nella rete perimetrale.With no inbound connections, there's no need to open firewall ports for incoming connections or components in the DMZ. Tutte le connessioni vengono stabilite in uscita e su un canale sicuro.All connections are outbound and over a secure channel.

  • Intelligenza basata su analisi della sicurezza e Machine Learning (ML) .Security Analytics and Machine Learning (ML) based intelligence. Poiché fa parte di Azure Active Directory, Application Proxy può sfruttare Azure AD Identity Protection (per questo servizio è necessaria la licenza Premium P2).Because it's part of Azure Active Directory, Application Proxy can leverage Azure AD Identity Protection (requires Premium P2 licensing). Azure AD Identity Protection combina l'intelligenza di Machine Learning per la sicurezza con i feed di dati della Microsoft Digital Crimes Unit e del Microsoft Security Response Center per identificare in modo proattivo gli account compromessi.Azure AD Identity Protection combines machine-learning security intelligence with data feeds from Microsoft's Digital Crimes Unit and Microsoft Security Response Center to proactively identify compromised accounts. Identity Protection offre protezione in tempo reale da accessi ad alto rischio. Il servizio prende in considerazione fattori quali l'accesso da dispositivi infetti, attraverso reti anonime o da posizioni atipiche e improbabili per aumentare il profilo di rischio di una sessione.Identity Protection offers real-time protection from high-risk sign-ins. It takes into consideration factors like accesses from infected devices, through anonymizing networks, or from atypical and unlikely locations to increase the risk profile of a session. Questo profilo di rischio viene usato per la protezione in tempo reale.This risk profile is used for real-time protection. Molte di queste segnalazioni ed eventi sono già disponibili tramite un'API per l'integrazione con i sistemi SIEM.Many of these reports and events are already available through an API for integration with your SIEM systems.

  • Accesso remoto come servizio.Remote access as a service. Per abilitare l'accesso remoto non è necessario preoccuparsi di gestire e applicare patch ai server locali.You don't have to worry about maintaining and patching on-premises servers to enable remote access. Application Proxy è un servizio Internet di Microsoft ed è quindi sempre possibile ottenere gli aggiornamenti e le patch di sicurezza più recenti.Application Proxy is an internet scale service that Microsoft owns, so you always get the latest security patches and upgrades. Il software senza patch è tuttora responsabile di un numero elevato di attacchi.Unpatched software still accounts for a large number of attacks. Secondo il dipartimento per la sicurezza interna degli Stati Uniti, ben l'85% degli attacchi mirati può essere evitato.According to the Department of Homeland Security, as many as 85 percent of targeted attacks are preventable. Con questo modello di servizio, non è più necessario sostenere il gravoso carico che comporta la gestione dei server perimetrali né preoccuparsi di applicare le opportune patch.With this service model, you don't have to carry the heavy burden of managing your edge servers anymore and scramble to patch them as needed.

  • Integrazione di Intune.Intune integration. Con Intune, il traffico aziendale viene instradato separatamente da quello personale.With Intune, corporate traffic is routed separately from personal traffic. Application Proxy garantisce che il traffico aziendale sia autenticato.Application Proxy ensures that the corporate traffic is authenticated. È inoltre possibile usare Application Proxy insieme alla funzionalità Intune Managed Browser per consentire agli utenti remoti di accedere in modo sicuro a siti Web interni da dispositivi iOS e Android.Application Proxy and the Intune Managed Browser capability can also be used together to enable remote users to securely access internal websites from iOS and Android devices.

Guida di orientamento al cloudRoadmap to the cloud

Un altro vantaggio importante offerto dall'implementazione di Application Proxy consiste nell'estensione di Azure AD all'ambiente locale.Another major benefit of implementing Application Proxy is extending Azure AD to your on-premises environment. L'implementazione di Application Proxy è infatti una fase fondamentale del processo di migrazione dell'organizzazione e delle app al cloud.In fact, implementing App Proxy is a key step in moving your organization and apps to the cloud. Passando dall'autenticazione locale al cloud, si riduce il footprint locale e si possono sfruttare le funzionalità di gestione delle identità di Azure AD come piano di controllo.By moving to the cloud and away from on-premises authentication, you reduce your on-premises footprint and use Azure AD's identity management capabilities as your control plane. Con un intervento minimo di aggiornamento delle applicazioni esistenti, o addirittura senza alcun aggiornamento, sarà possibile accedere alle funzionalità del cloud, come l'accesso Single Sign-On, l'autenticazione a più fattori e la gestione centralizzata.With minimal or no updates to existing applications, you have access to cloud capabilities such as single sign-on, multi-factor authentication, and central management. L'installazione dei componenti necessari per Application Proxy è un processo semplice che consente di stabilire un framework di accesso remoto.Installing the necessary components to App Proxy is a simple process for establishing a remote access framework. Inoltre, con il passaggio al cloud, si può usufruire delle funzionalità e degli aggiornamenti più recenti di Azure AD, come la disponibilità elevata e il ripristino di emergenza.And by moving to the cloud, you have access to the latest Azure AD features, updates, and functionality, such as high availability and the disaster recovery.

Per altre informazioni sulla migrazione delle app ad Azure AD, vedere il white paper Migrazione delle applicazioni ad Azure Active Directory.To learn more about migrating your apps to Azure AD, see the Migrating Your Applications to Azure Active Directory white paper.

ArchitectureArchitecture

Il diagramma seguente illustra in generale come i servizi di autenticazione di Azure AD interagiscono con Application Proxy per offrire agli utenti finali l'accesso Single Sign-On alle applicazioni locali.The following diagram illustrates in general how Azure AD authentication services and Application Proxy work together to provide single sign-on to on-premises applications to end users.

Flusso di autenticazione tramite Azure AD Application Proxy

  1. Dopo avere eseguito l'accesso all'applicazione tramite un endpoint, l'utente viene reindirizzato alla pagina di accesso di Azure AD.After the user has accessed the application through an endpoint, the user is redirected to the Azure AD sign-in page. Se sono stati configurati criteri di Accesso Condizionale, in questa fase vengono verificate condizioni specifiche per determinare la conformità ai requisiti di sicurezza dell'organizzazione.If you've configured Conditional Access policies, specific conditions are checked at this time to ensure that you comply with your organization's security requirements.
  2. Dopo un accesso corretto, Azure AD invia un token al dispositivo client dell'utente.After a successful sign-in, Azure AD sends a token to the user's client device.
  3. Il client invia il token al servizio Application Proxy che recupera dal token il nome dell'entità utente (UPN) e il nome dell'entità di sicurezza (SPN).The client sends the token to the Application Proxy service, which retrieves the user principal name (UPN) and security principal name (SPN) from the token.
  4. Application Proxy inoltra la richiesta, che viene acquisita dal relativo connettore.Application Proxy forwards the request, which is picked up by the Application Proxy connector.
  5. Il connettore esegue le altre operazioni di autenticazione necessarie per conto dell'utente (facoltative, a seconda del metodo di autenticazione), richiede l'endpoint interno del server applicazioni e invia la richiesta all'applicazione locale.The connector performs any additional authentication required on behalf of the user (Optional depending on authentication method), requests the internal endpoint of the application server and sends the request to the on-premises application.
  6. La risposta del server applicazioni viene inviata al servizio Application Proxy tramite il connettore.The response from the application server is sent through the connector to the Application Proxy service.
  7. La risposta del servizio Application Proxy viene inviata all'utente.The response is sent from the Application Proxy service to the user.
ComponenteComponent DescrizioneDescription
EndpointEndpoint L'endpoint è un URL o un portale per gli utenti finali.The endpoint is a URL or an end-user portal. Gli utenti possono raggiungere le applicazioni all'esterno della rete accedendo a un URL esterno.Users can reach applications while outside of your network by accessing an external URL. Gli utenti all'interno della rete possono accedere all'applicazione tramite un URL o un portale per gli utenti finali.Users within your network can access the application through a URL or an end-user portal. Quando gli utenti proseguono verso uno di questi endpoint, si autenticano in Azure AD e quindi vengono instradati tramite il connettore all'applicazione locale.When users go to one of these endpoints, they authenticate in Azure AD and then are routed through the connector to the on-premises application.
Azure ADAzure AD Azure AD esegue l'autenticazione usando la directory del tenant archiviata nel cloud.Azure AD performs the authentication using the tenant directory stored in the cloud.
Servizio Application ProxyApplication Proxy service Il servizio Application Proxy viene eseguito nel cloud come parte di Azure AD.This Application Proxy service runs in the cloud as part of Azure AD. Il servizio passa il token di accesso dall'utente al connettore Application Proxy.It passes the sign-on token from the user to the Application Proxy Connector. Application Proxy inoltra eventuali intestazioni accessibili nella richiesta e imposta le intestazioni in base al relativo protocollo, all'indirizzo IP del client.Application Proxy forwards any accessible headers on the request and sets the headers as per its protocol, to the client IP address. Se la richiesta in ingresso per il proxy include già tale intestazione, l'indirizzo IP del client viene aggiunto alla fine dell'elenco delimitato da virgole che rappresenta il valore dell'intestazione.If the incoming request to the proxy already has that header, the client IP address is added to the end of the comma-separated list that is the value of the header.
Connettore di Application ProxyApplication Proxy connector Il connettore è un agente semplice eseguito in un server Windows all'interno della rete.The connector is a lightweight agent that runs on a Windows Server inside your network. Il connettore gestisce la comunicazione tra il servizio Application Proxy nel cloud e l'applicazione locale.The connector manages communication between the Application Proxy service in the cloud and the on-premises application. Il connettore usa solo connessioni in uscita, per cui non è necessario aprire porte in ingresso né inserire nulla nella rete perimetrale.The connector only uses outbound connections, so you don't have to open any inbound ports or put anything in the DMZ. I connettori sono senza stato e prelevano le informazioni dal cloud in base alle esigenze.The connectors are stateless and pull information from the cloud as necessary. Per altre informazioni sui connettori, ad esempio come bilanciano il carico ed effettuano l'autenticazione, vedere Comprendere i connettori del proxy applicazione Azure AD.For more information about connectors, like how they load-balance and authenticate, see Understand Azure AD Application Proxy connectors.
Active Directory (AD)Active Directory (AD) Active Directory viene eseguito in locale per eseguire l'autenticazione per gli account di dominio.Active Directory runs on-premises to perform authentication for domain accounts. Quando si configura l'accesso Single Sign-On, il connettore comunica con AD per eseguire eventuali autenticazioni aggiuntive necessarie.When single sign-on is configured, the connector communicates with AD to perform any additional authentication required.
Applicazione localeOn-premises application Infine, l'utente è in grado di accedere a un'applicazione locale.Finally, the user is able to access an on-premises application.

Azure AD Application Proxy è costituito dal servizio Application Proxy basato sul cloud e da un connettore locale.Azure AD Application Proxy consists of the cloud-based Application Proxy service and an on-premises connector. Il connettore rimane in ascolto delle richieste provenienti dal servizio Application Proxy e gestisce le connessioni verso le applicazioni interne.The connector listens for requests from the Application Proxy service and handles connections to the internal applications. È importante notare che tutte le comunicazioni avvengono tramite TLS, hanno sempre origine dal connettore e sono indirizzate al servizio Application Proxy.It's important to note that all communications occur over TLS, and always originate at the connector to the Application Proxy service. In altre parole, le comunicazioni sono solo in uscita.That is, communications are outbound only. Il connettore usa un certificato client per l'autenticazione al servizio Application Proxy per tutte le chiamate.The connector uses a client certificate to authenticate to the Application Proxy service for all calls. L'unica eccezione alla sicurezza della connessione è data dal passaggio di configurazione iniziale in cui viene stabilito il certificato client.The only exception to the connection security is the initial setup step where the client certificate is established. Per altri dettagli, vedere le informazioni sul funzionamento dietro le quinte di Application Proxy.See the Application Proxy Under the hood for more details.

Connettori di Application ProxyApplication Proxy Connectors

I connettori di Application Proxy sono agenti semplici, distribuiti a livello locale, che facilitano la connessione in uscita verso il servizio Application Proxy nel cloud.Application Proxy connectors are lightweight agents deployed on-premises that facilitate the outbound connection to the Application Proxy service in the cloud. I connettori devono essere installati in un server Windows dotato di accesso all'applicazione back-end.The connectors must be installed on a Windows Server that has access to the backend application. Gli utenti si connettono al servizio Application Proxy nel cloud che indirizza il traffico alle app tramite i connettori, come illustrato di seguito.Users connect to the App Proxy cloud service that routes their traffic to the apps via the connectors as illustrated below.

Connessioni di rete di Azure AD Application Proxy

Le operazioni di installazione e registrazione tra un connettore e il servizio Application Proxy vengono eseguite nel modo seguente:Setup and registration between a connector and the App Proxy service is accomplished as follows:

  1. L'amministratore IT apre le porte 80 e 443 al traffico in uscita e consente l'accesso agli URL richiesti dal connettore, dal servizio Application Proxy e da Azure AD.The IT administrator opens ports 80 and 443 to outbound traffic and allows access to several URLs that are needed by the connector, the App Proxy service, and Azure AD.
  2. L'amministratore accede al portale di Azure e avvia un eseguibile per installare il connettore in un server Windows in locale.The admin signs into the Azure portal and runs an executable to install the connector on an on-premises Windows server.
  3. Il connettore inizia ad ascoltare le richieste del servizio Application Proxy.The connector starts to "listen" to the App Proxy service.
  4. L'amministratore aggiunge l'applicazione locale ad Azure AD e configura le impostazioni, ad esempio gli URL che gli utenti devono usare per connettersi alle proprie app.The admin adds the on-premises application to Azure AD and configures settings such as the URLs users need to connect to their apps.

Per altre informazioni, vedere Pianificare una distribuzione di Azure AD Application Proxy.For more information, see Plan an Azure AD Application Proxy deployment.

È consigliabile distribuire in ogni caso più connettori per garantire ridondanza e scalabilità.It's recommended that you always deploy multiple connectors for redundancy and scale. Insieme al servizio, i connettori si occupano di tutte le attività che richiedono disponibilità elevata e possono essere aggiunti o rimossi in modo dinamico.The connectors, in conjunction with the service, take care of all the high availability tasks and can be added or removed dynamically. Ogni volta che arriva una nuova richiesta, questa viene indirizzata a uno dei connettori disponibili.Each time a new request arrives it's routed to one of the connectors that is available. Quando un connettore è in esecuzione, rimane attivo quando si connette al servizio.When a connector is running, it remains active as it connects to the service. Se un connettore è temporaneamente non disponibile, non risponde a questo traffico.If a connector is temporarily unavailable, it doesn't respond to this traffic. I connettori inutilizzati vengono contrassegnati come inattivi e rimossi dopo 10 giorni di inattività.Unused connectors are tagged as inactive and removed after 10 days of inactivity.

Viene inoltre eseguito automaticamente il polling del server per verificare se per i connettori è disponibile una versione più recente.Connectors also poll the server to find out if there is a newer version of the connector. Anche se è possibile eseguire un aggiornamento manuale, i connettori vengono aggiornati automaticamente, purché il servizio Application Proxy Connector Updater sia in esecuzione.Although you can do a manual update, connectors will update automatically as long as the Application Proxy Connector Updater service is running. In caso di tenant con più connettori, gli aggiornamenti automatici vengono applicati a un connettore per volta in ogni gruppo, al fine di evitare tempo di inattività nell'ambiente in uso.For tenants with multiple connectors, the automatic updates target one connector at a time in each group to prevent downtime in your environment.

Nota: è possibile monitorare la pagina della cronologia delle versioni di Application Proxy, per ricevere una notifica del rilascio di aggiornamenti, sottoscrivendo il relativo feed RSS.Note: You can monitor the Application Proxy version history page to be notified when updates have been released by subscribing to its RSS feed.

Ogni connettore di Application Proxy viene assegnato a un gruppo di connettori.Each Application Proxy connector is assigned to a connector group. I connettori appartenenti allo stesso gruppo agiscono come singola unità per la disponibilità elevata e il bilanciamento del carico.Connectors in the same connector group act as a single unit for high availability and load balancing. È possibile creare nuovi gruppi, assegnare connettori a tali gruppi nel portale di Azure e quindi assegnare connettori specifici per gestire determinate applicazioni.You can create new groups, assign connectors to them in the Azure portal, then assign specific connectors to serve specific applications. È consigliabile avere almeno due connettori in ogni gruppo per garantire disponibilità elevata.It's recommended to have at least two connectors in each connector group for high availability.

I gruppi di connettori sono utili quando è necessario supportare gli scenari seguenti:Connector groups are useful when you need to support the following scenarios:

  • Pubblicazione di app geograficheGeographical app publishing
  • Segmentazione/isolamento di applicazioniApplication segmentation/isolation
  • Pubblicazione di app Web in esecuzione nel cloud o in localePublishing web apps running in the cloud or on-premises

Per altre informazioni sulla scelta della posizione dei connettori e sull'ottimizzazione della rete, vedere Considerazioni relative alla topologia di rete quando si usa Azure Active Directory Application Proxy.For more information about choosing where to install your connectors and optimizing your network, see Network topology considerations when using Azure Active Directory Application Proxy.

Altri casi d'usoOther use cases

Fino a questo momento, la discussione si è concentrata sull'uso di Application Proxy per la pubblicazione di app locali all'esterno della rete, con abilitazione dell'accesso Single Sign-On a tutte le app cloud e locali.Up to this point, we've focused on using Application Proxy to publish on-premises apps externally while enabling single sign-on to all your cloud and on-premises apps. È tuttavia opportuno citare altri casi d'uso di Application Proxy,However, there are other use cases for App Proxy that are worth mentioning. Tali impostazioni includono:They include:

  • Pubblicazione sicura di API REST.Securely publish REST APIs. Quando si dispone di logica di business o API eseguite in locale o ospitate su macchine virtuali nel cloud, Application Proxy offre un endpoint pubblico per l'accesso alle API.When you have business logic or APIs running on-premises or hosted on virtual machines in the cloud, Application Proxy provides a public endpoint for API access. L'accesso alle API tramite l'endpoint consente di controllare l'autenticazione e l'autorizzazione senza richiedere porte in ingresso.API endpoint access lets you control authentication and authorization without requiring incoming ports. Offre inoltre maggiore sicurezza grazie alle funzionalità di Azure AD Premium, ad esempio l'autenticazione a più fattori e l'accesso condizionale basato su dispositivo per computer desktop e dispositivi iOS, Mac e Android tramite Intune.It provides additional security through Azure AD Premium features such as multi-factor authentication and device-based Conditional Access for desktops, iOS, MAC, and Android devices using Intune. Per altre informazioni, vedere Come abilitare le applicazioni client native per l'interazione con applicazioni proxy e Proteggere un'API usando OAuth 2.0 con Azure Active Directory e Gestione API.To learn more, see How to enable native client applications to interact with proxy applications and Protect an API by using OAuth 2.0 with Azure Active Directory and API Management.
  • Servizi Desktop remoto. (RDS) .Remote Desktop Services (RDS). Le distribuzioni standard di Servizi Desktop remoto richiedono connessioni in ingresso aperte,Standard RDS deployments require open inbound connections. mentre la distribuzione di Servizi Desktop remoto con Application Proxy dispone di una connessione in uscita permanente dal server che esegue il servizio connettore.However, the RDS deployment with Application Proxy has a permanent outbound connection from the server running the connector service. In questo modo, è possibile offrire un maggior numero di applicazioni agli utenti finali pubblicando le applicazioni locali attraverso Servizi Desktop remoto.This way, you can offer more applications to end users by publishing on-premises applications through Remote Desktop Services. È inoltre possibile ridurre la superficie di attacco della distribuzione con un set limitato di controlli di verifica in due passaggi e di Accesso Condizionale per Servizi Desktop remoto.You can also reduce the attack surface of the deployment with a limited set of two-step verification and Conditional Access controls to RDS.
  • Pubblicazione di applicazioni che si connettono tramite WebSocket.Publish applications that connect using WebSockets. Il supporto con Qlik Sense è in anteprima pubblica e verrà esteso ad altre app in futuro.Support with Qlik Sense is in Public Preview and will be expanded to other apps in the future.
  • Abilitazione di applicazioni client native per l'interazione con le applicazioni proxy.Enable native client applications to interact with proxy applications. Oltre che per la pubblicazione di app Web, è possibile usare Azure AD Application Proxy per pubblicare applicazioni client native configurate con Azure AD Authentication Library (ADAL).You can use Azure AD Application Proxy to publish web apps, but it also can be used to publish native client applications that are configured with the Azure AD Authentication Library (ADAL). Le applicazioni client native si differenziano dalle app Web perché vengono installate in un dispositivo, mentre le app Web sono accessibili tramite un browser.Native client applications differ from web apps because they're installed on a device, while web apps are accessed through a browser.

ConclusioniConclusion

Il modo di lavorare e gli strumenti di lavoro sono in rapida evoluzione.The way we work and the tools we use are changing rapidly. Poiché sempre più dipendenti portano i propri dispositivi al lavoro e fanno ampio uso di applicazioni SaaS (Software as a Service), anche il modo in cui le organizzazioni gestiscono e proteggono i propri dati deve evolversi.With more employees bringing their own devices to work and the pervasive use of Software-as-a-Service (SaaS) applications, the way organizations manage and secure their data must also evolve. Le aziende non operano più esclusivamente all'interno delle proprie mura, protette da una barriera di sicurezza.Companies no longer operate solely within their own walls, protected by a moat that surrounds their border. I dati sono sempre più in movimento e questo fenomeno ha assunto proporzioni senza precedenti, attraverso ambienti locali e cloud.Data travels to more locations than ever before -- across both on-premises and cloud environments. Questa evoluzione ha consentito di incrementare la produttività degli utenti e le opportunità di collaborazione, ma ha reso più impegnativa l'attività di protezione dei dati sensibili.This evolution has helped increase users' productivity and ability to collaborate, but it also makes protecting sensitive data more challenging.

Indipendentemente dal fatto che si usi Azure AD per gestire gli utenti in uno scenario di coesistenza ibrida o che si sia interessati ad affrontare il passaggio al cloud, l'implementazione di Azure AD Application Proxy può contribuire a ridurre le dimensioni del footprint locale, offrendo l'accesso remoto come servizio.Whether you're currently using Azure AD to manage users in a hybrid coexistence scenario or are interested in starting your journey to the cloud, implementing Azure AD Application Proxy can help reduce the size of your on-premises footprint by providing remote access as a service.

Iniziando oggi stesso a usare Application Proxy, le organizzazioni potranno usufruire dei vantaggi seguenti:Organizations should begin taking advantage of App Proxy today to take advantage of the following benefits:

  • Pubblicazione di app locali all'esterno, senza i costi associati alla gestione di una VPN tradizionale, o di altre soluzioni per la pubblicazione Web in locale, e all'approccio basato su rete perimetralePublish on-premises apps externally without the overhead associated with maintaining traditional VPN or other on-premises web publishing solutions and DMZ approach
  • L'accesso Single Sign-on a tutte le applicazioni è Microsoft 365 o altre app SaaS e incluse le applicazioni localiSingle sign-on to all applications, be they Microsoft 365 or other SaaS apps and including on-premises applications
  • Sicurezza a livello di cloud in cui Azure AD sfrutta Microsoft 365 la telemetria per impedire accessi non autorizzatiCloud scale security where Azure AD leverages Microsoft 365 telemetry to prevent unauthorized access
  • Integrazione di Intune per garantire l'autenticazione del traffico aziendaleIntune integration to ensure corporate traffic is authenticated
  • Gestione centralizzata degli account utenteCentralization of user account management
  • Aggiornamenti automatici per accertarsi di avere le patch di sicurezza più recentiAutomatic updates to ensure you have the latest security patches
  • Nuove funzionalità appena rilasciate, tra cui le più recenti per il supporto di Single Sign-On SAML e la gestione più granulare dei cookie delle applicazioniNew features as they are released; the most recent being support for SAML single sign-on and more granular management of application cookies

Passaggi successiviNext steps