Op headers gebaseerde eenmalige aanmelding voor on-premises apps met Azure AD-toepassingsproxy

De Azure AD-toepassingsproxy (Azure Active Directory) biedt ondersteuning voor SSO-toegang tot toepassingen die gebruikmaken van headers voor verificatie. U kunt headerwaarden configureren die vereist zijn voor uw toepassing in Azure AD. De headerwaarden worden naar de toepassing verzonden via de toepassingsproxy. Enkele voordelen van het gebruik van systeemeigen ondersteuning voor verificatie op basis van headers met toepassingsproxy zijn:

  • Vereenvoudig het bieden van externe toegang tot uw on-premises apps: met app-proxy kunt u uw bestaande architectuur voor externe toegang vereenvoudigen. U kunt VPN-toegang tot deze apps vervangen. U kunt ook afhankelijkheden van on-premises identiteitsoplossingen voor verificatie verwijderen. Uw gebruikers merken niets anders wanneer ze zich aanmelden om uw bedrijfstoepassingen te gebruiken. Ze kunnen nog steeds vanaf elke locatie op elk apparaat werken.

  • Geen extra software of wijzigingen in uw apps: u kunt uw bestaande toepassingsproxy-connectors gebruiken en er hoeft geen extra software te worden geïnstalleerd.

  • Brede lijst met beschikbare kenmerken en transformaties: alle beschikbare headerwaarden zijn gebaseerd op standaardclaims die worden uitgegeven door Azure AD. Alle kenmerken en transformaties die beschikbaar zijn voor het configureren van claims voor SAML- of OIDC-toepassingen , zijn ook beschikbaar voor gebruik als headerwaarden.

Vereisten

Voordat u aan de slag gaat met eenmalige aanmelding voor verificatie-apps op basis van headers, moet u ervoor zorgen dat uw omgeving gereed is met de volgende instellingen en configuraties:

Ondersteunde mogelijkheden

De volgende tabel bevat algemene mogelijkheden die vereist zijn voor verificatietoepassingen op basis van headers die worden ondersteund met toepassingsproxy.

Vereiste Beschrijving
Federatieve SSO In de vooraf geverifieerde modus worden alle toepassingen beveiligd met Azure AD-verificatie en kunnen gebruikers gebruikmaken van SSO.
Externe toegang toepassingsproxy maakt externe toegang tot de app mogelijk. Gebruikers hebben toegang tot de toepassing via internet in elke browser met behulp van de externe URL. toepassingsproxy is niet bedoeld voor zakelijk toegangsgebruik.
Op headers gebaseerde integratie toepassingsproxy wordt de integratie van eenmalige aanmelding met Azure AD uitgevoerd en worden identiteitsgegevens of andere toepassingsgegevens vervolgens doorgegeven als HTTP-headers aan de toepassing.
Toepassingsautorisatie Algemene beleidsregels kunnen worden opgegeven op basis van de toepassing die wordt geopend, het groepslidmaatschap van de gebruiker en andere beleidsregels. In Azure AD worden beleidsregels geïmplementeerd met behulp van voorwaardelijke toegang. Het autorisatiebeleid voor toepassingen is alleen van toepassing op de eerste verificatieaanvraag.
Verificatie met meer stappen Beleid kan worden gedefinieerd om extra verificatie af te dwingen, bijvoorbeeld om toegang te krijgen tot gevoelige resources.
Fijnkorrelige autorisatie Biedt toegangsbeheer op URL-niveau. Toegevoegde beleidsregels kunnen worden afgedwongen op basis van de URL die wordt gebruikt. De interne URL die voor de app is geconfigureerd, definieert het bereik van de app waarop het beleid wordt toegepast. Het beleid dat is geconfigureerd voor het meest verfijnde pad wordt afgedwongen.

Notitie

In dit artikel worden verificatietoepassingen op basis van headers verbonden met Azure AD met behulp van toepassingsproxy en wordt het aanbevolen patroon gebruikt. Als alternatief is er ook een integratiepatroon dat Gebruikmaakt van PingAccess met Azure AD om verificatie op basis van headers in te schakelen. Zie Verificatie op basis van headers voor eenmalige aanmelding met toepassingsproxy en PingAccess voor meer informatie.

Uitleg

How header-based single sign-on works with Application Proxy.

  1. De beheerder past de kenmerktoewijzingen aan die vereist zijn voor de toepassing in de Azure AD-portal.
  2. Wanneer een gebruiker toegang heeft tot de app, zorgt toepassingsproxy ervoor dat de gebruiker wordt geverifieerd door Azure AD
  3. De toepassingsproxy cloudservice is op de hoogte van de vereiste kenmerken. De service haalt dus de bijbehorende claims op uit het id-token dat tijdens de verificatie is ontvangen. De service vertaalt vervolgens de waarden in de vereiste HTTP-headers als onderdeel van de aanvraag naar de connector.
  4. De aanvraag wordt vervolgens doorgegeven aan de connector, die vervolgens wordt doorgegeven aan de back-endtoepassing.
  5. De toepassing ontvangt de headers en kan deze headers naar behoefte gebruiken.

De toepassing publiceren met toepassingsproxy

  1. Publiceer uw toepassing volgens de instructies die worden beschreven in Toepassingen publiceren met toepassingsproxy.

    • De interne URL-waarde bepaalt het bereik van de toepassing. Als u de interne URL-waarde configureert op het hoofdpad van de toepassing, ontvangen alle subpaden onder de hoofdmap dezelfde headerconfiguratie en andere toepassingsconfiguratie.
    • Maak een nieuwe toepassing om een andere headerconfiguratie of gebruikerstoewijzing in te stellen voor een gedetailleerder pad dan de toepassing die u hebt geconfigureerd. Configureer in de nieuwe toepassing de interne URL met het specifieke pad dat u nodig hebt en configureer vervolgens de specifieke headers die nodig zijn voor deze URL. toepassingsproxy komt altijd overeen met uw configuratie-instellingen met het meest gedetailleerde pad dat is ingesteld voor een toepassing.
  2. Selecteer Azure Active Directory als de methode voor verificatie vooraf.

  3. Wijs een testgebruiker toe door naar Gebruikers en groepen te navigeren en de juiste gebruikers en groepen toe te wijzen.

  4. Open een browser en navigeer naar de externe URL vanuit de toepassingsproxy instellingen.

  5. Controleer of u verbinding kunt maken met de toepassing. Hoewel u verbinding kunt maken, hebt u nog geen toegang tot de app omdat de headers niet zijn geconfigureerd.

Eenmalige aanmelding configureren

Voordat u aan de slag gaat met eenmalige aanmelding voor headertoepassingen, moet u al een toepassingsproxy-connector hebben geïnstalleerd en de connector toegang heeft tot de doeltoepassingen. Als dat niet het probleem is, volgt u de stappen in de zelfstudie: Azure AD toepassingsproxy kom dan hier terug.

  1. Nadat uw toepassing wordt weergegeven in de lijst met bedrijfstoepassingen, selecteert u deze en selecteert u Eenmalige aanmelding.
  2. Stel de modus voor eenmalige aanmelding in op headerbasis.
  3. In Basisconfiguratie wordt Azure Active Directory geselecteerd als de standaardinstelling.
  4. Selecteer het bewerkingspotlood in Kopteksten om headers te configureren die naar de toepassing moeten worden verzonden.
  5. Selecteer Nieuwe koptekst toevoegen. Geef een naam op voor de header en selecteer Kenmerk of Transformatie en selecteer in de vervolgkeuzelijst die de header die uw toepassing nodig heeft.
  6. Selecteer Opslaan.

Uw app testen

Wanneer u al deze stappen hebt voltooid, moet uw app worden uitgevoerd en beschikbaar zijn. De app testen:

  1. Open een nieuw browser- of privébrowservenster om ervoor te zorgen dat eerder in de cache opgeslagen headers zijn gewist. Navigeer vervolgens naar de externe URL vanuit de toepassingsproxy-instellingen.
  2. Meld u aan met het testaccount dat u aan de app hebt toegewezen. Als u de toepassing kunt laden en aanmelden met behulp van eenmalige aanmelding, bent u goed.

Overwegingen

  • toepassingsproxy wordt gebruikt om externe toegang te bieden tot apps on-premises of in de privécloud. toepassingsproxy wordt niet aanbevolen om verkeer dat intern afkomstig is van het bedrijfsnetwerk af te handelen.
  • Toegang tot verificatietoepassingen op basis van headers moet worden beperkt tot alleen verkeer van de connector of een andere toegestane verificatieoplossing op basis van headers. Dit wordt meestal gedaan door netwerktoegang tot de toepassing te beperken met behulp van een firewall of IP-beperking op de toepassingsserver om te voorkomen dat de aanvallers worden blootgesteld.

Volgende stappen