Externe toegang tot on-premises toepassingen via een Azure Active Directory-toepassingsproxy

de toepassingsproxy van Azure Active Directory biedt beveiligde externe toegang tot on-premises webtoepassingen. Na eenmalige aanmelding bij Azure AD hebben gebruikers toegang tot zowel cloudtoepassingen als on-premises toepassingen via een externe URL of een interne toepassingsportal. Toepassingsproxy kan bijvoorbeeld externe toegang en eenmalige aanmelding bieden voor Extern bureaublad, SharePoint, Teams, Tableau, Qlik en LOB-toepassingen (Line-Of-Business).

Azure AD-toepassingsproxy is:

  • Eenvoudig te gebruiken. Gebruikers hebben toegang tot uw on-premises toepassingen op dezelfde manier als ze toegang hebben tot Microsoft 365 en andere SaaS-apps die zijn geïntegreerd met Azure AD. U hoeft uw toepassing niet te wijzigen of bij te werken om te kunnen werken met een toepassingsproxy.

  • Veilig. On-premises toepassingen kunnen de autorisatiecontroles en beveiligingsanalyses van Azure gebruiken. On-premises toepassingen kunnen bijvoorbeeld gebruikmaken van voorwaardelijke toegang en verificatie in twee stappen. toepassingsproxy hoeft u geen binnenkomende verbindingen via uw firewall te openen.

  • Kosteneffectief. Voor on-premises oplossingen moet u doorgaans gedemilitariseerde zones (DMZ's), randservers of andere complexe infrastructuren instellen en onderhouden. toepassingsproxy wordt uitgevoerd in de cloud, waardoor het eenvoudig te gebruiken is. Als u toepassingsproxy wilt gebruiken, hoeft u de netwerkinfrastructuur niet te wijzigen of extra apparaten in uw on-premises omgeving te installeren.

Wat is toepassingsproxy?

Toepassingsproxy is een functie van Azure AD waarmee gebruikers toegang hebben tot on-premises webtoepassingen vanaf een externe client. Toepassingsproxy bevat zowel de toepassingsproxyservice die wordt uitgevoerd in de cloud als de connector van de toepassingsproxy die wordt uitgevoerd op een on-premises server. Azure AD, de toepassingsproxyservice en de connector van de toepassingsproxy werken samen om het token voor aanmelding van gebruikers veilig door te geven van Azure AD aan de webtoepassing.

toepassingsproxy werkt met:

  • Webtoepassingen die gebruikmaken van geïntegreerde Windows-verificatie voor verificatie
  • Webtoepassingen die gebruikmaken van toegang op basis van formulieren of headers
  • Web-API's die u beschikbaar wilt maken voor uitgebreide toepassingen op verschillende apparaten
  • Toepassingen die worden gehost achter een extern bureaublad-gateway
  • Uitgebreide client-apps die zijn geïntegreerd met deMicrosoft Authentication Library (MSAL)

toepassingsproxy ondersteunt eenmalige aanmelding. Zie Kiezen voor eenmalige aanmeldingsmethode voor meer informatie over ondersteunde methoden.

toepassingsproxy wordt aanbevolen om externe gebruikers toegang te geven tot interne resources. toepassingsproxy vervangt de noodzaak van een VPN of omgekeerde proxy. Het is niet bedoeld voor interne gebruikers in het bedrijfsnetwerk. Deze gebruikers die onnodig toepassingsproxy gebruiken, kunnen onverwachte en ongewenste prestatieproblemen veroorzaken.

Hoe toepassingsproxy werkt

In het volgende diagram ziet u hoe Azure AD en toepassingsproxy samenwerken om eenmalige aanmelding te bieden voor on-premises toepassingen.

AzureAD Application Proxy diagram

  1. Nadat de gebruiker toegang heeft tot de toepassing via een eindpunt, wordt de gebruiker omgeleid naar de aanmeldingspagina van Azure AD.
  2. Na een geslaagde aanmelding stuurt Azure AD een token naar het clientapparaat van de gebruiker.
  3. De client stuurt het token naar de toepassingsproxyservice, waarmee de user principal name (UPN) en de Security principal name (SPN) van het token worden opgehaald. toepassingsproxy stuurt de aanvraag vervolgens naar de toepassingsproxy connector.
  4. Als u eenmalige aanmelding hebt geconfigureerd, voert de connector aanvullende verificatie uit namens de gebruiker.
  5. De connector verzendt de aanvraag naar de on-premises toepassing.
  6. Het antwoord wordt verzonden via de connector en toepassingsproxy service naar de gebruiker.

Notitie

Net als bij de meeste hybride Azure AD-agents hoeft de toepassingsproxy Connector geen binnenkomende verbindingen via uw firewall te openen. Gebruikersverkeer in stap 3 wordt beëindigd bij de toepassingsproxy Service (in Azure AD). De toepassingsproxy Connector (on-premises) is verantwoordelijk voor de rest van de communicatie.

Onderdeel Beschrijving
Eindpunt Het eindpunt is een URL of een portal voor eindgebruikers. Gebruikers kunnen toepassingen en buiten uw netwerk bereiken door toegang te krijgen tot een externe URL. Gebruikers in uw netwerk hebben toegang tot de toepassing via een URL of een portal voor eindgebruikers. Wanneer gebruikers naar een van deze eindpunten gaan, verifiëren ze zichzelf in Azure AD en worden ze vervolgens via de connector naar de on-premises toepassing gestuurd.
Azure AD Azure AD voert de verificatie uit met behulp van de tenantmap die is opgeslagen in de cloud.
Service voor proxytoepassing Deze toepassingsproxyservice wordt uitgevoerd in de cloud als onderdeel van Azure AD. Hiermee wordt het aanmeldingstoken van de gebruiker aan de toepassingsproxy-connector doorgegeven. Met de toepassingsproxy worden alle toegankelijke headers voor de aanvraag doorgestuurd en worden de headers volgens het bijbehorende protocol ingesteld op het IP-adres van de client. Als de binnenkomende aanvraag voor de proxy die header al heeft, wordt het IP-adres van de client toegevoegd aan het einde van de door komma's gescheiden lijst die de waarde van de header is.
toepassingsproxy-connector De connector is een lichtgewicht agent die wordt uitgevoerd op een Windows-server in uw netwerk. De connector beheert de communicatie tussen de toepassingsproxyservice in de cloud en de on-premises toepassing. De connector gebruikt alleen uitgaande verbindingen. U hoeft geen binnenkomende poorten te openen of iets in de DMZ te plaatsen. De connectors zijn staatloos en halen indien nodig gegevens uit de cloud. Zie Inzicht in Azure AD toepassingsproxy connectors voor meer informatie over connectors, zoals hoe ze taken verdelen en verifiëren.
Active Directory (AD) Active Directory wordt on-premises uitgevoerd om verificatie voor domeinaccounts uit te voeren. Wanneer eenmalige aanmelding is geconfigureerd, communiceert de connector met AD voor het uitvoeren van vereiste aanvullende verificatie.
On-premises toepassing Ten slotte heeft de gebruiker toegang tot een on-premises toepassing.

Volgende stappen

Zie Zelfstudie: Een on-premises toepassing toevoegen voor externe toegang via toepassingsproxy om toepassingsproxy te gebruiken.