Externe toegang tot on-premises toepassingen via de toepassings proxy van Azure Active DirectoryRemote access to on-premises applications through Azure Active Directory's Application Proxy

De toepassings proxy van Azure Active Directory biedt veilige externe toegang tot on-premises webtoepassingen.Azure Active Directory's Application Proxy provides secure remote access to on-premises web applications. Na een eenmalige aanmelding bij Azure AD, hebben gebruikers toegang tot zowel Cloud-als on-premises toepassingen via een externe URL of een interne toepassings Portal.After a single sign-on to Azure AD, users can access both cloud and on-premises applications through an external URL or an internal application portal. Toepassings proxy kan bijvoorbeeld externe toegang en eenmalige aanmelding bieden voor Extern bureaublad, share point, teams, tableau, Qlik en LOB-toepassingen (line-of-Business).For example, Application Proxy can provide remote access and single sign-on to Remote Desktop, SharePoint, Teams, Tableau, Qlik, and line of business (LOB) applications.

Azure AD-toepassingsproxy is:Azure AD Application Proxy is:

  • Eenvoudig te gebruiken.Simple to use. Gebruikers hebben toegang tot uw on-premises toepassingen op dezelfde manier als de toegang tot O365 en andere SaaS-apps die zijn geïntegreerd met Azure AD.Users can access your on-premises applications the same way they access O365 and other SaaS apps integrated with Azure AD. U hoeft uw toepassing niet te wijzigen of bij te werken om te kunnen werken met een toepassingsproxy.You don't need to change or update your applications to work with Application Proxy.

  • Beveiligd.Secure. On-premises toepassingen kunnen gebruikmaken van de autorisatie-instellingen en beveiligings analyses van Azure.On-premises applications can use Azure's authorization controls and security analytics. On-premises toepassingen kunnen bijvoorbeeld gebruikmaken van voorwaardelijke toegang en verificatie in twee stappen.For example, on-premises applications can use Conditional Access and two-step verification. Voor toepassings proxy is het niet nodig om binnenkomende verbindingen via uw firewall te openen.Application Proxy doesn't require you to open inbound connections through your firewall.

  • Rendabel.Cost-effective. Voor on-premises oplossingen moet u doorgaans gedemilitariseerde zones (Dmz's), edge-servers of andere complexe infra structuren instellen en onderhouden.On-premises solutions typically require you to set up and maintain demilitarized zones (DMZs), edge servers, or other complex infrastructures. Toepassings proxy wordt uitgevoerd in de Cloud, waardoor u deze eenvoudig kunt gebruiken.Application Proxy runs in the cloud, which makes it easy to use. Als u toepassings proxy wilt gebruiken, hoeft u de netwerk infrastructuur niet te wijzigen of extra apparaten te installeren in uw on-premises omgeving.To use Application Proxy, you don't need to change the network infrastructure or install additional appliances in your on-premises environment.

Wat is toepassingsproxy?What is Application Proxy?

Toepassings proxy is een functie van Azure AD waarmee gebruikers toegang kunnen krijgen tot on-premises webtoepassingen vanaf een externe client.Application Proxy is a feature of Azure AD that enables users to access on-premises web applications from a remote client. Toepassings proxy bevat zowel de Application proxy-service die wordt uitgevoerd in de Cloud als de connector van de toepassings proxy die wordt uitgevoerd op een on-premises server.Application Proxy includes both the Application Proxy service which runs in the cloud, and the Application Proxy connector which runs on an on-premises server. Azure AD, de service toepassings proxy en de Application proxy-connector werken samen om het aanmeldings token van de gebruiker van Azure AD aan de webtoepassing veilig door te geven.Azure AD, the Application Proxy service, and the Application Proxy connector work together to securely pass the user sign-on token from Azure AD to the web application.

Toepassings proxy werkt met:Application Proxy works with:

  • Webtoepassingen die gebruikmaken van geïntegreerde Windows-authenticatie voor verificatieWeb applications that use Integrated Windows Authentication for authentication
  • Webtoepassingen die gebruikmaken van op formulieren of koptekst gebaseerde toegangWeb applications that use form-based or header-based access
  • Web-Api's die u beschikbaar wilt maken voor uitgebreide toepassingen op verschillende apparatenWeb APIs that you want to expose to rich applications on different devices
  • Toepassingen die worden gehost achter een extern bureaublad-gatewayApplications hosted behind a Remote Desktop Gateway
  • Uitgebreide client-apps die zijn geïntegreerd met de micro soft Authentication Library (MSAL)Rich client apps that are integrated with the Microsoft Authentication Library (MSAL)

Toepassings proxy biedt ondersteuning voor eenmalige aanmelding.Application Proxy supports single sign-on. Zie voor meer informatie over ondersteunde methoden één aanmeldings methode kiezen.For more information on supported methods, see Choosing a single sign-on method.

Toepassings proxy wordt aanbevolen om externe gebruikers toegang te geven tot interne bronnen.Application Proxy is recommended for giving remote users access to internal resources. Toepassings proxy vervangt de nood zaak van een VPN-of reverse-proxy.Application Proxy replaces the need for a VPN or reverse proxy. Het is niet bedoeld voor interne gebruikers in het bedrijfs netwerk.It is not intended for internal users on the corporate network. Deze gebruikers die onnodig toepassings proxy gebruiken, kunnen onverwachte en ongewenste prestatie problemen veroorzaken.These users who unnecessarily use Application Proxy can introduce unexpected and undesirable performance issues.

Hoe toepassings proxy werktHow Application Proxy works

In het volgende diagram ziet u hoe Azure AD en toepassings proxy samen werken om eenmalige aanmelding te bieden voor on-premises toepassingen.The following diagram shows how Azure AD and Application Proxy work together to provide single sign-on to on-premises applications.

AzureAD toepassings proxy diagram

  1. Nadat de gebruiker toegang tot de toepassing heeft verkregen via een eind punt, wordt de gebruiker omgeleid naar de aanmeldings pagina van Azure AD.After the user has accessed the application through an endpoint, the user is directed to the Azure AD sign-in page.
  2. Na een geslaagde aanmelding stuurt Azure AD een token naar het client apparaat van de gebruiker.After a successful sign-in, Azure AD sends a token to the user's client device.
  3. De client stuurt het token naar de Application proxy-service, waarmee de user principal name (UPN) en de SPN (Security Principal Name) van het token worden opgehaald.The client sends the token to the Application Proxy service, which retrieves the user principal name (UPN) and security principal name (SPN) from the token. Toepassings proxy verzendt de aanvraag vervolgens naar de connector van de toepassings proxy.Application Proxy then sends the request to the Application Proxy connector.
  4. Als u eenmalige aanmelding hebt geconfigureerd, voert de connector extra authenticatie uit namens de gebruiker.If you have configured single sign-on, the connector performs any additional authentication required on behalf of the user.
  5. De connector stuurt de aanvraag naar de on-premises toepassing.The connector sends the request to the on-premises application.
  6. Het antwoord wordt via de connector en de Application proxy-service naar de gebruiker verzonden.The response is sent through the connector and Application Proxy service to the user.
OnderdeelComponent BeschrijvingDescription
EindpuntEndpoint Het eind punt is een URL of eind gebruikers Portal.The endpoint is a URL or an end-user portal. Gebruikers kunnen toepassingen en buiten uw netwerk bereiken door toegang te krijgen tot een externe URL.Users can reach applications while outside of your network by accessing an external URL. Gebruikers in uw netwerk hebben toegang tot de toepassing via een URL of een portal voor eind gebruikers.Users within your network can access the application through a URL or an end-user portal. Wanneer gebruikers naar een van deze eind punten gaan, verifiëren ze in azure AD en sturen ze vervolgens via de connector naar de on-premises toepassing.When users go to one of these endpoints, they authenticate in Azure AD and then are routed through the connector to the on-premises application.
Azure ADAzure AD Azure AD voert de verificatie uit met behulp van de Tenant Directory die is opgeslagen in de Cloud.Azure AD performs the authentication using the tenant directory stored in the cloud.
Application proxy-serviceApplication Proxy service Deze toepassings proxy service wordt uitgevoerd in de Cloud als onderdeel van Azure AD.This Application Proxy service runs in the cloud as part of Azure AD. Hiermee wordt het aanmeldings token van de gebruiker aan de Application proxy-connector door gegeven.It passes the sign-on token from the user to the Application Proxy Connector. Met de toepassings proxy worden alle toegankelijke headers voor de aanvraag doorgestuurd en worden de headers volgens het bijbehorende protocol ingesteld op het IP-adres van de client.Application Proxy forwards any accessible headers on the request and sets the headers as per its protocol, to the client IP address. Als de inkomende aanvraag voor de proxy al die header heeft, wordt het client-IP-adres toegevoegd aan het einde van de door komma's gescheiden lijst die de waarde van de koptekst is.If the incoming request to the proxy already has that header, the client IP address is added to the end of the comma separated list that is the value of the header.
Application proxy-connectorApplication Proxy Connector De connector is een licht gewicht agent die wordt uitgevoerd op een Windows-Server in uw netwerk.The connector is a lightweight agent that runs on a Windows Server inside your network. De connector beheert de communicatie tussen de service toepassings proxy in de Cloud en de on-premises toepassing.The connector manages communication between the Application Proxy service in the cloud and the on-premises application. De connector gebruikt alleen uitgaande verbindingen. u hoeft geen binnenkomende poorten te openen of niets in de DMZ te plaatsen.The connector only uses outbound connections, so you don't have to open any inbound ports or put anything in the DMZ. De connectors zijn stateless en halen indien nodig gegevens uit de Cloud.The connectors are stateless and pull information from the cloud as necessary. Zie Azure AD-toepassingsproxy-connectors begrijpenvoor meer informatie over connectors, zoals hoe ze worden geladen en geverifieerd.For more information about connectors, like how they load-balance and authenticate, see Understand Azure AD Application Proxy connectors.
Active Directory (AD)Active Directory (AD) Active Directory on-premises wordt uitgevoerd om verificatie voor domein accounts uit te voeren.Active Directory runs on-premises to perform authentication for domain accounts. Wanneer eenmalige aanmelding is geconfigureerd, communiceert de connector met AD voor het uitvoeren van aanvullende verificatie vereist.When single sign-on is configured, the connector communicates with AD to perform any additional authentication required.
On-premises toepassingOn-premises application Ten slotte heeft de gebruiker toegang tot een on-premises toepassing.Finally, the user is able to access an on-premises application.

Volgende stappenNext steps

Zie zelf studie: een on-premises toepassing toevoegen voor externe toegang via toepassings proxyom toepassings proxy te gaan gebruiken.To start using Application Proxy, see Tutorial: Add an on-premises application for remote access through Application Proxy.

Zie het blog toepassings proxy voor het laatste nieuws en de meest recente updatesFor the latest news and updates, see the Application Proxy blog