Zdalny dostęp do aplikacji lokalnych przy użyciu serwera proxy aplikacji Azure Active DirectoryRemote access to on-premises applications through Azure Active Directory's Application Proxy

Serwer proxy aplikacji Azure Active Directory zapewnia bezpieczny dostęp zdalny do lokalnych aplikacji sieci Web.Azure Active Directory's Application Proxy provides secure remote access to on-premises web applications. Po jednokrotnym zalogowaniu się do usługi Azure AD użytkownicy mogą uzyskiwać dostęp do aplikacji w chmurze i lokalnych przy użyciu zewnętrznego adresu URL lub wewnętrznego portalu aplikacji.After a single sign-on to Azure AD, users can access both cloud and on-premises applications through an external URL or an internal application portal. Na przykład serwer proxy aplikacji może zapewnić dostęp zdalny i logowanie jednokrotne do aplikacji Pulpit zdalny, SharePoint, Teams, Tableau, Qlik i LOB.For example, Application Proxy can provide remote access and single sign-on to Remote Desktop, SharePoint, Teams, Tableau, Qlik, and line of business (LOB) applications.

Serwer Proxy aplikacji usługi Azure AD jest:Azure AD Application Proxy is:

  • Prosta do użycia.Simple to use. Użytkownicy mogą uzyskiwać dostęp do aplikacji lokalnych w taki sam sposób, w jaki uzyskują dostęp do usługi O365 i innych aplikacji SaaS zintegrowanych z usługą Azure AD.Users can access your on-premises applications the same way they access O365 and other SaaS apps integrated with Azure AD. Nie trzeba zmienić lub zaktualizować aplikacji do pracy z serwerem Proxy aplikacji.You don't need to change or update your applications to work with Application Proxy.

  • Zabezpiecz.Secure. Aplikacje lokalne mogą korzystać z kontroli autoryzacji platformy Azure i analizy zabezpieczeń.On-premises applications can use Azure's authorization controls and security analytics. Na przykład aplikacje lokalne mogą korzystać z dostępu warunkowego i weryfikacji dwuetapowej.For example, on-premises applications can use Conditional Access and two-step verification. Serwer proxy aplikacji nie wymaga otwierania połączeń przychodzących przez zaporę.Application Proxy doesn't require you to open inbound connections through your firewall.

  • Ekonomiczne.Cost-effective. W przypadku rozwiązań lokalnych zwykle wymagane jest skonfigurowanie i konserwacja stref zdemilitaryzowana (stref DMZ), serwerów brzegowych lub innych złożonych infrastruktur.On-premises solutions typically require you to set up and maintain demilitarized zones (DMZs), edge servers, or other complex infrastructures. Serwer proxy aplikacji działa w chmurze, co ułatwia korzystanie z programu.Application Proxy runs in the cloud, which makes it easy to use. Aby można było korzystać z serwera proxy aplikacji, nie trzeba zmieniać infrastruktury sieciowej ani instalować dodatkowych urządzeń w środowisku lokalnym.To use Application Proxy, you don't need to change the network infrastructure or install additional appliances in your on-premises environment.

Co to jest serwer proxy aplikacji?What is Application Proxy?

Serwer proxy aplikacji to funkcja usługi Azure AD, która umożliwia użytkownikom dostęp do lokalnych aplikacji sieci Web z klienta zdalnego.Application Proxy is a feature of Azure AD that enables users to access on-premises web applications from a remote client. Serwer proxy aplikacji obejmuje zarówno usługę serwera proxy aplikacji działającą w chmurze, jak i łącznik serwera proxy aplikacji, który działa na serwerze lokalnym.Application Proxy includes both the Application Proxy service which runs in the cloud, and the Application Proxy connector which runs on an on-premises server. Azure AD, usługa serwera proxy aplikacji i łącznik serwera proxy aplikacji współpracują ze sobą, aby bezpiecznie przekazać token logowania użytkownika z usługi Azure AD do aplikacji sieci Web.Azure AD, the Application Proxy service, and the Application Proxy connector work together to securely pass the user sign-on token from Azure AD to the web application.

Serwer proxy aplikacji współpracuje z:Application Proxy works with:

  • Aplikacje sieci Web, które używają zintegrowanego uwierzytelniania systemu Windows na potrzeby uwierzytelnianiaWeb applications that use Integrated Windows Authentication for authentication
  • Aplikacje sieci Web korzystające z dostępu opartego na formularzach lub nagłówkachWeb applications that use form-based or header-based access
  • Interfejsy API, który chcesz udostępnić rozbudowane aplikacje na różnych urządzeniach w sieci WebWeb APIs that you want to expose to rich applications on different devices
  • Aplikacje hostowane za bramą pulpit zdalnyApplications hosted behind a Remote Desktop Gateway
  • Rozbudowane aplikacje klienckie, które są zintegrowane z Active Directory Authentication Library (ADAL)Rich client apps that are integrated with the Active Directory Authentication Library (ADAL)

Serwer proxy aplikacji obsługuje logowanie jednokrotne.Application Proxy supports single sign-on. Aby uzyskać więcej informacji na temat obsługiwanych metod, zobacz Wybieranie metody logowaniajednokrotnego.For more information on supported methods, see Choosing a single sign-on method.

Serwer proxy aplikacji jest zalecany do zapewniania użytkownikom zdalnym dostępu do zasobów wewnętrznych.Application Proxy is recommended for giving remote users access to internal resources. Serwer proxy aplikacji zastępuje potrzebę sieci VPN lub zwrotnego serwera proxy.Application Proxy replaces the need for a VPN or reverse proxy. Nie jest on przeznaczony dla użytkowników wewnętrznych w sieci firmowej.It is not intended for internal users on the corporate network. Ci użytkownicy niekoniecznie korzystający z serwera proxy aplikacji mogą wprowadzać nieoczekiwane i niepożądane problemy z wydajnością.These users who unnecessarily use Application Proxy can introduce unexpected and undesirable performance issues.

Jak działa serwer proxy aplikacjiHow Application Proxy works

Na poniższym diagramie pokazano, w jaki sposób usługa Azure AD i serwer proxy aplikacji współpracują ze sobą w celu zapewnienia logowania jednokrotnego do aplikacji lokalnych.The following diagram shows how Azure AD and Application Proxy work together to provide single sign-on to on-premises applications.

Diagram serwera Proxy aplikacji usługi Azure AD

  1. Po użytkownik uzyskał dostęp do aplikacji za pośrednictwem punktu końcowego, użytkownik jest kierowany do strony logowania usługi Azure AD.After the user has accessed the application through an endpoint, the user is directed to the Azure AD sign-in page.
  2. Po pomyślnym zalogowaniu usługa Azure AD wysyła token do urządzenia klienckiego użytkownika.After a successful sign-in, Azure AD sends a token to the user's client device.
  3. Klient wysyła token do usługi serwera proxy aplikacji, która pobiera główną nazwę użytkownika (UPN) i główną nazwę zabezpieczeń (SPN) z tokenu.The client sends the token to the Application Proxy service, which retrieves the user principal name (UPN) and security principal name (SPN) from the token. Serwer proxy aplikacji wysyła żądanie do łącznika serwera proxy aplikacji.Application Proxy then sends the request to the Application Proxy connector.
  4. Po skonfigurowaniu rejestracji jednokrotnej, łącznik wykonuje wszelkie dodatkowe uwierzytelnianie, wymagana w imieniu użytkownika.If you have configured single sign-on, the connector performs any additional authentication required on behalf of the user.
  5. Łącznik wysyła żądanie do aplikacji w środowisku lokalnym.The connector sends the request to the on-premises application.
  6. Odpowiedź jest wysyłana przez łącznik i usługę serwera proxy aplikacji do użytkownika.The response is sent through the connector and Application Proxy service to the user.
SkładnikComponent OpisDescription
EndpointEndpoint Punkt końcowy jest adresem URL lub portalem użytkowników końcowych.The endpoint is a URL or an end-user portal. Użytkownicy mogą korzystać z aplikacji znajduje się poza siecią, uzyskując dostęp do zewnętrznego adresu URL.Users can reach applications while outside of your network by accessing an external URL. Użytkownicy w Twojej sieci dostęp do aplikacji za pomocą adresu URL lub portalu użytkownika końcowego.Users within your network can access the application through a URL or an end-user portal. Użytkownicy, przejdź do jednego z tych punktów końcowych, uwierzytelniania w usłudze Azure AD i następnie są kierowane za pośrednictwem łącznika do aplikacji w środowisku lokalnym.When users go to one of these endpoints, they authenticate in Azure AD and then are routed through the connector to the on-premises application.
Azure ADAzure AD Usługa Azure AD wykonuje uwierzytelnianie przy użyciu katalogu dzierżawy przechowywanego w chmurze.Azure AD performs the authentication using the tenant directory stored in the cloud.
Usługa serwera proxy aplikacjiApplication Proxy service Ta usługa serwera proxy aplikacji działa w chmurze w ramach usługi Azure AD.This Application Proxy service runs in the cloud as part of Azure AD. Przekazuje on token logowania od użytkownika do łącznika serwera proxy aplikacji.It passes the sign-on token from the user to the Application Proxy Connector. Serwer proxy aplikacji przekazuje wszystkie dostępne nagłówki w żądaniu i ustawia nagłówki zgodnie z protokołem na adres IP klienta.Application Proxy forwards any accessible headers on the request and sets the headers as per its protocol, to the client IP address. Jeśli żądanie przychodzące do serwera proxy ma już ten nagłówek, adres IP klienta zostanie dodany na końcu listy rozdzielanej przecinkami, która jest wartością nagłówka.If the incoming request to the proxy already has that header, the client IP address is added to the end of the comma separated list that is the value of the header.
Łącznik serwera proxy aplikacjiApplication Proxy Connector Łącznik jest lekkim agentem działającym na serwerze z systemem Windows w sieci.The connector is a lightweight agent that runs on a Windows Server inside your network. Łącznik zarządza komunikacją między usługą serwera proxy aplikacji w chmurze a aplikacją lokalną.The connector manages communication between the Application Proxy service in the cloud and the on-premises application. Łącznik używa tylko połączeń wychodzących, więc nie trzeba otwierać żadnych portów przychodzących ani umieszczać żadnych elementów w strefie DMZ.The connector only uses outbound connections, so you don't have to open any inbound ports or put anything in the DMZ. Łączniki są bezstanowe i pobierania informacji z chmury, zgodnie z potrzebami.The connectors are stateless and pull information from the cloud as necessary. Aby uzyskać więcej informacji na temat łączników, takich jak równoważenie obciążenia i uwierzytelnianie, zobacz Omówienie łączników usługi Azure serwer proxy aplikacji usługi Azure AD.For more information about connectors, like how they load-balance and authenticate, see Understand Azure AD Application Proxy connectors.
Active Directory (AD)Active Directory (AD) Active Directory działa lokalnie, aby przeprowadzić uwierzytelnianie dla kont domeny.Active Directory runs on-premises to perform authentication for domain accounts. Po skonfigurowaniu logowania jednokrotnego łącznik komunikuje się z usługą AD, aby wykonać wymagane dodatkowe uwierzytelnianie.When single sign-on is configured, the connector communicates with AD to perform any additional authentication required.
Aplikacja lokalnaOn-premises application Na koniec użytkownik może uzyskać dostęp do aplikacji lokalnej.Finally, the user is able to access an on-premises application.

Następne krokiNext steps

Aby rozpocząć korzystanie z serwera proxy aplikacji, zobacz Samouczek: Dodawanie aplikacji lokalnej dla dostępu zdalnego za pośrednictwem serwera proxy aplikacji.To start using Application Proxy, see Tutorial: Add an on-premises application for remote access through Application Proxy.

Najnowsze wiadomości i aktualizacje można znaleźć na blogu dotyczącym serwera proxy aplikacjiFor the latest news and updates, see the Application Proxy blog