Logowanie jednokrotne na podstawie nagłówka dla aplikacji lokalnych opartych na serwerze proxy aplikacji usługi Azure AD

Serwer proxy aplikacji Azure Active Directory (Azure AD) natywnie obsługuje dostęp drogą logowania jednokrotnego do aplikacji, które używają nagłówków do uwierzytelniania. W usłudze Azure AD można skonfigurować wartości nagłówków wymagane przez aplikację. Wartości nagłówków są wysyłane do aplikacji za pośrednictwem serwera proxy aplikacji. Niektóre korzyści z używania natywnej obsługi uwierzytelniania opartego na nagłówkach z serwer proxy aplikacji obejmują:

  • Uproszczenie zapewniania dostępu zdalnego do aplikacji lokalnych — serwer proxy aplikacji pozwala uprościć istniejącą architekturę dostępu zdalnego. Możesz zastąpić dostęp sieci VPN do tych aplikacji. Można również usunąć zależności w lokalnych rozwiązaniach do obsługi tożsamości na potrzeby uwierzytelniania. Użytkownicy nie zauważą niczego innego, gdy logują się do korzystania z aplikacji firmowych. Nadal mogą pracować z dowolnego miejsca na dowolnym urządzeniu.

  • Brak dodatkowego oprogramowania lub zmian w aplikacjach — możesz użyć istniejących łączników serwer proxy aplikacji i nie wymaga zainstalowania żadnego dodatkowego oprogramowania.

  • Dostępna szeroka lista atrybutów i przekształceń — wszystkie dostępne wartości nagłówka są oparte na oświadczeniach standardowych wystawionych przez Azure AD. Wszystkie atrybuty i przekształcenia dostępne do konfigurowania oświadczeń dla aplikacji SAML lub OIDC są również dostępne do użycia jako wartości nagłówka.

Wymagania wstępne

Przed rozpoczęciem logowania jednokrotnego dla aplikacji uwierzytelniania opartych na nagłówkach upewnij się, że środowisko jest gotowe przy użyciu następujących ustawień i konfiguracji:

Obsługiwane funkcje

W poniższej tabeli wymieniono typowe możliwości wymagane przez aplikacje uwierzytelniania oparte na nagłówkach, które są obsługiwane w przypadku serwer proxy aplikacji.

Wymaganie Opis
Federacyjne logowanie jednokrotne W trybie uwierzytelnienia wstępnego wszystkie aplikacje są chronione za pomocą uwierzytelniania usługi Azure AD i umożliwiają użytkownikom korzystanie z logowania jednokrotnego.
Dostęp zdalny serwer proxy aplikacji umożliwia zdalny dostęp do aplikacji. Użytkownicy mogą uzyskiwać dostęp do aplikacji z Internetu w dowolnej przeglądarce przy użyciu zewnętrznego adresu URL. serwer proxy aplikacji nie jest przeznaczona do użytku z dostępem firmowym.
Integracja oparta na nagłówkach serwer proxy aplikacji wykonuje integrację logowania jednokrotnego z Azure AD, a następnie przekazuje tożsamość lub inne dane aplikacji jako nagłówki HTTP do aplikacji.
Autoryzacja aplikacji Typowe zasady można określić na podstawie używanej aplikacji, członkostwa użytkownika w grupie i innych zasad. W Azure AD zasady są implementowane przy użyciu dostępu warunkowego. Zasady autoryzacji aplikacji mają zastosowanie tylko do początkowego żądania uwierzytelniania.
Bardziej zaawansowane uwierzytelnianie Zasady można zdefiniować w celu wymuszenia dodatkowego uwierzytelniania — np. aby uzyskać dostęp do poufnych zasobów.
Szczegółowa autoryzacja Zapewnia kontrolę dostępu na poziomie adresu URL. Dodane zasady można wymuszać na podstawie adresu URL, do którego uzyskiwany jest dostęp. Wewnętrzny adres URL skonfigurowany dla aplikacji definiuje zakres aplikacji, do którego są stosowane zasady. Wymuszane są zasady skonfigurowane dla najbardziej szczegółowej ścieżki.

Uwaga

Ten artykuł zawiera funkcje łączenia aplikacji uwierzytelniania opartych na nagłówkach z Azure AD przy użyciu serwer proxy aplikacji i jest zalecanym wzorcem. Alternatywnie istnieje również wzorzec integracji, który używa funkcji PingAccess z Azure AD w celu włączenia uwierzytelniania opartego na nagłówku. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie oparte na nagłówku na potrzeby logowania jednokrotnego przy użyciu serwer proxy aplikacji i funkcji PingAccess.

Jak to działa

How header-based single sign-on works with Application Proxy.

  1. Administrator dostosowuje mapowania atrybutów wymagane przez aplikację w portalu usługi Azure AD.
  2. Gdy użytkownik uzyskuje dostęp do aplikacji, serwer proxy aplikacji gwarantuje, że użytkownik jest uwierzytelniany przez Azure AD
  3. Usługa serwer proxy aplikacji w chmurze uwzględnia wymagane atrybuty. Dlatego usługa pobiera odpowiednie oświadczenia z tokenu identyfikatora otrzymanego podczas uwierzytelniania. Następnie usługa tłumaczy wartości na wymagane nagłówki HTTP w ramach żądania do łącznika.
  4. Żądanie jest następnie przekazywane do łącznika, który jest następnie przekazywany do aplikacji zaplecza.
  5. Aplikacja odbiera nagłówki i może ich używać w zależności od potrzeb.

Publikowanie aplikacji za pomocą serwer proxy aplikacji

  1. Opublikuj aplikację zgodnie z instrukcjami opisanymi w temacie Publikowanie aplikacji za pomocą serwer proxy aplikacji.

    • Wartość Wewnętrznego adresu URL określa zakres aplikacji. Jeśli skonfigurujesz wartość Wewnętrzny adres URL w ścieżce głównej aplikacji, wszystkie ścieżki podrzędne poniżej katalogu głównego otrzymają tę samą konfigurację nagłówka i inną konfigurację aplikacji.
    • Utwórz nową aplikację, aby ustawić inną konfigurację nagłówka lub przypisanie użytkownika dla bardziej szczegółowej ścieżki niż skonfigurowana aplikacja. W nowej aplikacji skonfiguruj wewnętrzny adres URL przy użyciu określonej wymaganej ścieżki, a następnie skonfiguruj określone nagłówki wymagane dla tego adresu URL. serwer proxy aplikacji zawsze będzie pasować do ustawień konfiguracji do najbardziej szczegółowej ścieżki ustawionej dla aplikacji.
  2. Wybierz Azure Active Directory jako metodę wstępnego uwierzytelniania.

  3. Przypisz użytkownika testowego, przechodząc do pozycji Użytkownicy i grupy i przypisując odpowiednich użytkowników i grupy.

  4. Otwórz przeglądarkę i przejdź do zewnętrznego adresu URL z ustawień serwer proxy aplikacji.

  5. Sprawdź, czy możesz nawiązać połączenie z aplikacją. Mimo że możesz nawiązać połączenie, nie możesz jeszcze uzyskać dostępu do aplikacji, ponieważ nagłówki nie są skonfigurowane.

Konfigurowanie logowania jednokrotnego

Przed rozpoczęciem logowania jednokrotnego dla aplikacji opartych na nagłówkach należy już zainstalować łącznik serwer proxy aplikacji, a łącznik może uzyskiwać dostęp do aplikacji docelowych. Jeśli nie, wykonaj kroki opisane w artykule Samouczek: Azure AD serwer proxy aplikacji następnie wróć tutaj.

  1. Po wyświetleniu aplikacji na liście aplikacji dla przedsiębiorstw wybierz ją i wybierz pozycję Logowanie jednokrotne.
  2. Ustaw tryb logowania jednokrotnego na oparty na nagłówku.
  3. W obszarze Podstawowa konfiguracja Azure Active Directory zostanie wybrana jako domyślna.
  4. Wybierz ołówek edycji w obszarze Nagłówki, aby skonfigurować nagłówki do wysłania do aplikacji.
  5. Wybierz pozycję Dodaj nowy nagłówek. Podaj nazwę nagłówka i wybierz pozycję Atrybut lub Przekształcenie i wybierz z listy rozwijanej nagłówek, którego potrzebuje aplikacja.
  6. Wybierz pozycję Zapisz.

Testowanie aplikacji

Po wykonaniu wszystkich tych kroków aplikacja powinna być uruchomiona i dostępna. Aby przetestować aplikację:

  1. Otwórz nową przeglądarkę lub okno przeglądarki prywatnej, aby upewnić się, że wcześniej buforowane nagłówki zostały wyczyszczone. Następnie przejdź do zewnętrznego adresu URL z ustawień serwer proxy aplikacji.
  2. Zaloguj się przy użyciu konta testowego przypisanego do aplikacji. Jeśli możesz załadować aplikację i zalogować się przy użyciu logowania jednokrotnego, to wszystko jest dobre!

Zagadnienia do rozważenia

  • serwer proxy aplikacji służy do zapewniania dostępu zdalnego do aplikacji lokalnych lub w chmurze prywatnej. serwer proxy aplikacji nie zaleca się obsługi ruchu pochodzącego wewnętrznie z sieci firmowej.
  • Dostęp do aplikacji uwierzytelniania opartych na nagłówkach powinien być ograniczony tylko do ruchu z łącznika lub innego dozwolonego rozwiązania do uwierzytelniania opartego na nagłówkach. Jest to często realizowane przez ograniczenie dostępu sieciowego do aplikacji przy użyciu zapory lub ograniczenia adresu IP na serwerze aplikacji, aby uniknąć ujawnienia atakującym.

Następne kroki