Zelfstudie: Een on-premises toepassing voor externe toegang toevoegen via Application Proxy in Azure Active Directory

  • Artikel
  • 14 minuten om te lezen

Azure Active Directory (Azure AD) heeft een Application Proxy-service waarmee gebruikers toegang krijgen tot on-premises toepassingen door zich aan te melden met hun Azure AD-account. Zie Wat is app toepassingsproxy proxy? voor meer informatie over de toepassing. In deze zelfstudie wordt uw omgeving voorbereid voor gebruik van Application Proxy. Zodra uw omgeving gereed is, gebruikt u de Azure-portal om een on-premises toepassing toe te voegen aan uw Azure AD-tenant.

toepassingsproxy overzichtsdiagram

Voordat u aan de slag gaat, moet u weten dat u bekend bent met de concepten voor app-beheer en single Sign-On (SSO). Bekijk de volgende koppelingen:

Connectors zijn een belangrijk onderdeel van Application Proxy. Zie Informatie over connectors voor de Azure AD-toepassingsproxy voor meer informatie over connectors.

Deze zelfstudie:

  • Opent poorten voor uitgaand verkeer en verschaft toegang tot specifieke URL 's
  • Installeert de connector op uw Windows-server en registreert deze bij Application Proxy
  • Controleert of de connector juist is geïnstalleerd en geregistreerd
  • Voegt een toepassing toe aan uw Azure AD-tenant
  • Controleert of een testgebruiker zich kan aanmelden bij de toepassing met behulp van een Azure AD-account

Vereisten

Als u een on-premises toepassing wilt toevoegen aan Azure AD, hebt u het volgende nodig:

  • Een Microsoft Azure AD Premium-abonnement
  • Een beheerdersaccount voor de toepassing
  • Gebruikersidentiteiten moeten vanuit een on-premises directory worden gesynchroniseerd of rechtstreeks in uw Azure AD-tenants worden gemaakt. Dankzij identiteitssynchronisatie kan Azure AD gebruikers vooraf verifiëren alvorens hen toegang tot gepubliceerde Application Proxy-toepassingen te verlenen, en over de benodigde gebruikers-id-gegevens beschikken om eenmalige aanmelding (SSO) uit te voeren.

Windows-server

Als u Application Proxy wilt gebruiken, hebt u een Windows-server nodig waarop Windows Server 2012 R2 of hoger wordt uitgevoerd. U installeert de Application Proxy-connector op de server. Deze connectorserver moet verbinding maken met de Application Proxy-service in Azure en met de on-premises toepassingen die u van plan bent te publiceren.

Om een hoge beschikbaarheid in uw productieomgeving te realiseren wordt aangeraden meer dan één Windows-server te gebruiken. Voor deze zelfstudie is één Windows-server toereikend.

Belangrijk

Als u de connector op Windows Server 2019 installeert, moet u HTTP2-protocolondersteuning uitschakelen in het WinHTTP-onderdeel voor beperkte Kerberos-delegering. Dit is standaard uitgeschakeld in eerdere versies van ondersteunde besturingssystemen. U kunt het uitschakelen op Windows Server 2019 door de volgende registersleutel toe te voegen en de server opnieuw te starten. Dit is een machinebrede registersleutel.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

De sleutel kan worden ingesteld via PowerShell met de volgende opdracht:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Aanbevelingen voor de connectorserver

  1. Plaats de connectorserver fysiek dicht bij de toepassingsservers om de prestaties tussen de connector en de toepassing te optimaliseren. Zie Verkeersstroom optimaliseren met Azure Active Directory toepassingsproxy voor meer Azure Active Directory toepassingsproxy.
  2. De connectorserver en de webtoepassingsservers moeten deel uitmaken van hetzelfde Active Directory-domein of zich in vertrouwde domeinen bevinden. Voor het gebruik van eenmalige aanmelding (SSO) met geïntegreerde Windows-verificatie (IWA) en Beperkte Kerberos-delegering (KCD) is het vereist dat de servers zich in hetzelfde domein of vertrouwensdomeinen kunnen aanmelden. Als de connectorserver en de webtoepassingsservers zich in verschillende Active Directory-domeinen bevinden, moet u delegatie op basis van resources gebruiken voor eenmalige aanmelding. Zie KCD voor eenmalige aanmelding met Application Proxy voor meer informatie.

Waarschuwing

Als u Azure AD Password Protection Proxy hebt geïmplementeerd, moet u Azure AD Application Proxy en Azure AD Password Protection Proxy niet samen op dezelfde machine installeren. Azure AD Application Proxy en Azure AD Password Protection Proxy installeren verschillende versies van de Azure AD Connect Agent Updater-service. Deze verschillende versies zijn niet compatibel wanneer ze samen op dezelfde machine worden geïnstalleerd.

TLS-vereisten

Voor de Windows-connectorserver moet TLS 1.2 zijn ingeschakeld voordat u de Application Proxy-connector installeert.

TLS 1.2 inschakelen:

  1. Stel de volgende registersleutels in:

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Start de server opnieuw.

Notitie

Microsoft werkt Azure-services bij om TLS-certificaten te gebruiken van een andere set basis-CA's (certificeringsinstanties). Deze wijziging wordt doorgevoerd omdat de huidige CA-certificaten niet voldoen aan een van de forumbasislijnvereisten voor CA's/browsers. Raadpleeg Wijzigingen in Azure TLS-certificaten voor meer informatie.

Bereid uw on-premises omgeving voor

Begin door communicatie met Azure-datacenters in te schakelen om uw omgeving voor te bereiden voor Azure AD Application Proxy. Als het pad een firewall bevat, zorg dan dat deze openstaat. Dankzij een open firewall kan de connector HTTPS-aanvragen (TCP) versturen naar Application Proxy.

Belangrijk

Als u de connector voor Azure Government cloud installeert, volgt u de vereisten en installatiestappen. Hiervoor moet u de toegang tot een andere set URL's en een extra parameter inschakelen om de installatie uit te voeren.

Poorten openen

Open de volgende poorten voor uitgaand verkeer.

Poortnummer Hoe dat wordt gebruikt
80 Het downloaden van certificaatintrekkingslijsten (CRL's) tijdens het valideren van het TLS-/SSL-certificaat
443 Alle uitgaande communicatie met de Application Proxy-service

Als met uw firewall verkeer wordt afgedwongen op basis van de herkomst van gebruikers, open dan ook poorten 80 en 443 voor verkeer dat afkomstig is van Windows-services die als netwerkservice worden uitgevoerd.

Toegang tot URL's toestaan

Sta toegang tot de volgende URL's toe:

URL Poort Hoe dat wordt gebruikt
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Communicatie tussen de connector en de Application Proxy-cloudservice
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP De connector gebruikt deze URL's om certificaten te verifiëren.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS De connector gebruikt deze URL's tijdens het registratieproces.
ctldl.windowsupdate.com 80/HTTP De connector gebruikt deze URL tijdens het registratieproces.

U kunt verbindingen met , en andere URL's hierboven toestaan als u met uw firewall of proxy toegangsregels kunt configureren op *.msappproxy.net *.servicebus.windows.net basis van domeinachtervoegsels. Zo niet, dan moet u toegang tot de Azure IP-bereiken en -servicetags – Openbare cloud toestaan. die overigens elke week worden bijgewerkt.

Belangrijk

Vermijd alle vormen van inlineinspectie en beëindiging van uitgaande TLS-communicatie tussen Azure AD toepassingsproxy-connectors en Azure AD toepassingsproxy Cloud-services.

DNS-naamresolutie voor Azure AD toepassingsproxy-eindpunten

Openbare DNS-records voor Azure AD toepassingsproxy eindpunten zijn geketende CNAME-records die naar een A-record wijzen. Dit garandeert fouttolerantie en flexibiliteit. Het is gegarandeerd dat de Azure AD toepassingsproxy-connector altijd toegang heeft tot hostnamen met de domeinachtervoegsels *.msappproxy.net of *.servicebus.windows.net . Tijdens de naamresolutie kunnen de CNAME-records echter DNS-records met verschillende hostnamen en achtervoegsels bevatten. Daarom moet u ervoor zorgen dat het apparaat (afhankelijk van uw installatie - connectorserver, firewall, uitgaande proxy) alle records in de keten kan oplossen en verbinding kan maken met de opgeloste IP-adressen. Aangezien de DNS-records in de keten van tijd tot tijd kunnen worden gewijzigd, kunnen we u geen lijst met DNS-records bieden.

Een connector installeren en registreren

Voor het gebruik van Application Proxy installeert u een connector op elke Windows-server die u gebruikt met de Application Proxy-service. De connector is een agent die de uitgaande verbinding vanaf de on-premises toepassingsservers naar Application Proxy in Azure AD beheert. U kunt een connector installeren op servers waarop ook andere verificatie-agents zijn geïnstalleerd, zoals Azure AD Connect.

De connector installeren:

  1. Meld u aan bij de Azure-portal als een toepassingsbeheerder van de map die gebruikmaakt van Application Proxy. Als het tenantdomein bijvoorbeeld is, moet de beheerder of een contoso.com admin@contoso.com andere beheerdersalias in dat domein zijn.

  2. Selecteer uw gebruikersnaam in de rechterbovenhoek. Controleer of u bent aangemeld in een directory die gebruikmaakt van Application Proxy. Als u van directory moet veranderen, selecteert u Schakelen tussen directory’s en kiest u een directory die gebruikmaakt van Application Proxy.

  3. Selecteer Azure Active Directory in het navigatiepaneel aan de linkerkant.

  4. Selecteer onder Beheren de optie Application Proxy.

  5. Selecteer Service-connector downloaden.

    Download de service-connector om de servicevoorwaarden te bekijken

  6. Lees de servicevoorwaarden. Wanneer u klaar bent, selecteert u Voorwaarden accepteren en downloaden.

  7. Selecteer Uitvoeren onderaan het venster om de connector te installeren. Er wordt een installatiewizard geopend.

  8. Volg de instructies in de wizard om de service te installeren. Wanneer u wordt gevraagd de connector te registreren voor de Application Proxy voor uw Azure AD-tenant, geeft u uw gegevens als toepassingsbeheerder op.

    • Voor Internet Explorer (IE) geldt dat als Verbeterde beveiliging van Internet Explorer is ingesteld op Aan, het registratiescherm niet wordt weergegeven. Volg de instructies in het foutbericht om toegang te krijgen. Zorg ervoor dat Verbeterde beveiliging van Internet Explorer is ingesteld op Uit.

Algemene opmerkingen

Als u al een connector hebt geïnstalleerd, voert u een nieuwe installatie uit met de meest recente versie. Voor informatie over eerder uitgebrachte versies en welke wijzigingen ze bevatten, raadpleegt u Application Proxy: releasegeschiedenis van versie.

Als u meer dan één Windows-server voor uw on-premises toepassingen wilt, moet u de connector op elke server installeren en registreren. U kunt de connectors onderverdelen in connectorgroepen. Zie Connectorgroepen voor meer informatie.

Als u connectors in verschillende regio's hebt geïnstalleerd, kunt u het verkeer optimaliseren door de dichtstbijzijnde toepassingsproxy-cloudserviceregio te selecteren voor gebruik met elke connectorgroep. Zie Verkeersstroom optimaliseren met Azure Active Directory toepassingsproxy

Als uw organisatie proxyservers gebruikt om verbinding met internet te maken, moet u ze configureren voor Application Proxy. Zie Werken met bestaande on-premises proxyservers voor meer informatie.

Zie Informatie over Azure AD Application Proxy-connectors voor meer informatie over connectors, capaciteitsplanning en hoe connectors up-to-date blijven.

Controleer of de connector juist is geïnstalleerd en geregistreerd

U kunt de Azure-portal of uw Windows-server gebruiken om te bevestigen dat er een nieuwe connector correct is geïnstalleerd.

De installatie verifiëren via de Azure-portal

Controleren of de connector juist is geïnstalleerd en geregistreerd:

  1. Meld u aan bij uw tenantmap in de Azure-portal.

  2. Selecteer Azure Active Directory in het navigatiepaneel aan de linkerkant en selecteer vervolgens Application Proxy in de sectie Beheren. Al uw connectors en connectorgroepen worden op deze pagina weergegeven.

  3. Bekijk een connector om de details ervan te controleren. De connectors moeten standaard zijn uitgevouwen. Als de connector die u wilt bekijken niet is uitgevouwen, vouwt u de connector uit om de details te bekijken. Een actief groen label geeft aan dat de connector verbinding kan maken met de service. Maar ook al is het label groen, toch kan een netwerkprobleem er nog steeds voor zorgen dat de connector geen berichten ontvangt.

    Azure AD Application Proxy-connectors

Zie Probleem bij het installeren van de Application Proxy-connector voor meer hulp bij het installeren van een connector.

De installatie verifiëren via uw Windows-server

Controleren of de connector juist is geïnstalleerd en geregistreerd:

  1. Open Windows Services Manager door te klikken op de Windows-toets en services.msc in te voeren.

  2. Controleer of de status van de volgende twee services Wordt uitgevoerd is.

    • Met Microsoft AAD Application Proxy Connector wordt de connectiviteit mogelijk gemaakt.

    • Microsoft AAD Application Proxy Connector Updater is een automatische updateservice. De updater controleert op nieuwe versies van de connector en werkt de connector bij als dat nodig is.

      Connectorservices voor toepassingsproxy - schermafbeelding

  3. Als de status van de services niet Wordt uitgevoerd is, klikt u met de rechtermuisknop om elke service te selecteren en kiest u Starten.

Een on-premises app toevoegen aan Azure AD

Nu u uw omgeving hebt voorbereid en een connector hebt geïnstalleerd, kunt u on-premises toepassingen gaan toevoegen aan Azure AD.

  1. Meld u aan als beheerder in de Azure-portal.

  2. Selecteer Azure Active Directory in het navigatiepaneel aan de linkerkant.

  3. Selecteer Ondernemingstoepassingen en selecteer vervolgens Nieuwe toepassing.

  4. Selecteer de knop Een on-premises toepassing toevoegen. Deze ziet u ergens halverwege de pagina in de sectie On-premises toepassingen. U kunt ook bovenaan de pagina Uw eigen toepassing maken selecteren en vervolgens Toepassingsproxy configureren voor veilige externe toegang tot een on-premises toepassing selecteren.

  5. Geef in de sectie Uw eigen on-premises toepassing toevoegen de volgende informatie over uw toepassing op:

    Veld Beschrijving
    Naam De naam van de toepassing die wordt weergegeven in My Apps en in de Azure-portal.
    Interne URL Dit is de URL voor toegang tot de toepassing vanuit uw particuliere netwerk. U kunt voor het publiceren een specifiek pad opgeven op de back-endserver, terwijl de rest van de server ongepubliceerd blijft. Op deze manier kunt u verschillende sites op dezelfde server als verschillende apps publiceren en elk daarvan een eigen naam en toegangsregels geven.

    Als u een pad publiceert, moet u ervoor zorgen dat dit alle benodigde installatiekopieën, scripts en opmaakmodellen voor uw toepassing bevat. Als uw app zich bijvoorbeeld bevindt op https://yourapp/app en gebruikmaakt van installatiekopieën op https://yourapp/media, moet u https://yourapp/ publiceren als het pad. Deze interne URL hoeft niet de bestemmingspagina te zijn die uw gebruikers te zien krijgen. Zie Een aangepaste startpagina voor gepubliceerde apps instellen voor meer informatie.
    Externe URL Het adres voor gebruikers om toegang te krijgen tot de app van buiten uw netwerk. Als u het standaarddomein voor Application Proxy niet wilt gebruiken, lees dan de informatie over aangepaste domeinen in Azure AD Application Proxy.
    Verificatie vooraf De manier waarop gebruikers door Application Proxy worden geverifieerd voordat ze toegang krijgen tot uw toepassing.

    Azure Active Directory: de gebruikers worden omgeleid door Application Proxy zodat ze zich kunnen aanmelden met Azure AD. Hierbij worden hun machtigingen geverifieerd voor de map en de toepassing. Het is raadzaam deze optie standaard ingesteld te houden, zodat u gebruik kunt maken van Azure AD-beveiligingsfuncties zoals voorwaardelijke toegang en meervoudige verificatie. Azure Active Directory is vereist voor het bewaken van de toepassing met Microsoft Cloud Application Security.

    Passthrough: gebruikers hoeven geen verificatie te doorlopen in Azure AD om toegang te krijgen tot de toepassing. U kunt nog steeds verificatievereisten op de back-end instellen.
    Connectorgroep Connectors verwerken de externe toegang tot uw toepassing en met connectorgroepen kunt u connectors en toepassingen indelen per regio, netwerk of doel. Als u nog geen connectorgroepen hebt gemaakt, wordt uw toepassing toegewezen als Standaard.

    Als uw toepassing gebruikmaakt van WebSockets om verbinding te maken, moeten alle connectors in de groep versie 1.5.612.0 of hoger hebben.

  6. Configureer zo nodig aanvullende instellingen. Voor de meeste toepassingen moet u voor deze instellingen de standaardwaarden behouden.

    Veld Beschrijving
    Toepassingstime-out voor de back-end Stel deze waarde alleen in op Lang als uw toepassing traag is met verifiëren en verbinding maken. De toepassingstime-out voor de back-end is standaard 85 seconden. Wanneer u de waarde instelt op ‘Lang’, wordt de time-out voor de back-end verlengd tot 180 seconden.
    Alleen-HTTP-cookies gebruiken Stel deze waarde in op Ja om ervoor te zorgen dat Application Proxy-cookies de HTTPOnly-vlag in de HTTP-antwoordheader bevatten. Als u Extern bureaublad-services gebruikt, stelt u deze waarde in op Nee.
    Beveiligde cookies gebruiken Stel deze waarde in op Ja om cookies te verzenden via een beveiligd kanaal, zoals een versleutelde HTTPS-aanvraag.
    Permanente cookies gebruiken Houd deze waarde ingesteld op Nee. Gebruik deze instelling alleen voor toepassingen die cookies niet kunnen delen tussen processen. Zie Cookie-instellingen voor toegang tot on-premises toepassingen in Azure Active Directory voor meer informatie over cookie-instellingen.
    URL's in headers vertalen Laat deze waarde op Ja staan, tenzij voor uw toepassing de oorspronkelijke host-header in de verificatieaanvraag moet zijn opgenomen.
    URL's vertalen in de hoofdtekst van de toepassing Laat deze waarde op Nee staan, tenzij u hardcoded HTML-koppelingen naar andere on-premises toepassingen hebt en geen aangepaste domeinen gebruikt. Zie Vertaling koppelen aan Application Proxy voor meer informatie.

    Stel deze waarde in op Ja als u van plan bent om deze toepassing te bewaken met Microsoft Defender voor Cloud Apps. Zie Realtime bewaking van toepassingstoegang configureren met Microsoft Defender voor Cloud Apps en Azure Active Directory.

  7. Selecteer Toevoegen.

De toepassing testen

U kunt nu testen of de toepassing correct is toegevoegd. Hiervoor gaat u in de volgende stappen een gebruikersaccount toevoegen aan de toepassing en u vervolgens proberen aan te melden.

Een gebruiker toevoegen voor het testen

Controleer voordat u een gebruiker aan de toepassing toevoegt of het gebruikersaccount al machtigingen heeft voor toegang tot de toepassing vanuit het bedrijfsnetwerk.

Een testgebruiker toevoegen:

  1. Selecteer Ondernemingstoepassingen en selecteer vervolgens de toepassing die u wilt testen.
  2. Selecteer Aan de slag en selecteer vervolgens Een gebruiker toewijzen voor de test.
  3. Selecteer onder Gebruikers en groepen de optie Gebruiker toevoegen.
  4. Selecteer onder Toewijzing toevoegen de optie Gebruikers en groepen. De sectie Gebruikers en groepen wordt nu weergegeven.
  5. Kies het account dat u wilt toevoegen.
  6. Kies Selecteren en selecteer vervolgens Toewijzen.

De aanmelding testen

De aanmelding voor de toepassing testen:

  1. Selecteer Application Proxy in de toepassing die u wilt testen.
  2. Selecteer Toepassing testen bovenaan de pagina om een test op de toepassing uit te voeren en om op eventuele configuratieproblemen te controleren.
  3. Zorg ervoor dat u eerst de toepassing opent om de aanmelding voor de toepassing te testen en vervolgens het diagnostische rapport downloadt om de hulp te bekijken voor het oplossen van eventuele gedetecteerde problemen.

Zie Problemen en foutberichten met Application Proxy oplossen voor het oplossen van problemen.

Resources opschonen

Verwijder de resources die u in deze zelfstudie hebt gemaakt, als u ze niet meer nodig hebt.

Volgende stappen

In deze zelfstudie hebt u uw on-premises omgeving voorbereid om te werken met Application Proxy en hebt u vervolgens de Application Proxy-connector geïnstalleerd en geregistreerd. Vervolgens hebt u een toepassing toegevoegd aan uw Azure AD-tenant. U hebt ook gecontroleerd of een gebruiker zich kan aanmelden bij de toepassing met behulp van een Azure AD-account

U hebt het volgende gedaan:

  • Poorten geopend voor uitgaand verkeer en toegang verschaft tot specifieke URL 's
  • De connector geïnstalleerd op uw Windows-server en deze geregistreerd bij Application Proxy
  • Gecontroleerd of de connector juist is geïnstalleerd en geregistreerd
  • Een toepassing toegevoegd aan uw Azure AD-tenant
  • Gecontroleerd of een testgebruiker zich kan aanmelden bij de toepassing met behulp van een Azure AD-account

U kunt de toepassing nu gaan configureren voor eenmalige aanmelding. Gebruik de volgende koppeling om een methode voor eenmalige aanmelding te kiezen en om de zelfstudies voor eenmalige aanmelding te vinden.

Eenmalige aanmelding configureren