Samouczek: Dodawanie aplikacji lokalnej dla dostępu zdalnego przy użyciu serwera proxy aplikacji w Azure Active DirectoryTutorial: Add an on-premises application for remote access through Application Proxy in Azure Active Directory

Usługa Azure Active Directory (Azure AD) udostępnia usługę serwera proxy aplikacji, która umożliwia użytkownikom zalogowanym na konto usługi Azure AD dostęp do aplikacji lokalnych.Azure Active Directory (Azure AD) has an Application Proxy service that enables users to access on-premises applications by signing in with their Azure AD account. Aby dowiedzieć się więcej o serwerze proxy aplikacji, zobacz co to jest serwer proxy aplikacji?To learn more about Application Proxy, see What is App Proxy?. W tym samouczku przygotujemy środowisko do obsługi serwera proxy aplikacji.This tutorial prepares your environment for use with Application Proxy. Gdy środowisko będzie gotowe, za pomocą witryny Azure Portal dodamy aplikację lokalną do dzierżawy usługi Azure AD.Once your environment is ready, you'll use the Azure portal to add an on-premises application to your Azure AD tenant.

Diagram omówienia serwera proxy aplikacji

Przed rozpoczęciem upewnij się, że znasz już kwestie dotyczące zarządzania aplikacjami i jednego Sign-On (SSO) .Before you get started, make sure you are familiar with app management and Single Sign-On (SSO) concepts. Sprawdź następujące linki:Check out the following links:

Łączniki są kluczową częścią serwera proxy aplikacji.Connectors are a key part of Application Proxy. Aby dowiedzieć się więcej na temat łączników, zobacz Omówienie łączników usługi Azure serwer proxy aplikacji usługi Azure AD.To learn more about connectors, see Understand Azure AD Application Proxy connectors.

Ten samouczek umożliwia opanowanie następujących czynności:This tutorial:

  • Otwieranie portów dla ruchu wychodzącego i zezwalanie na dostęp do określonych adresów URLOpens ports for outbound traffic and allows access to specific URLs
  • Instalowanie łącznika na serwerze systemu Windows i rejestrowanie łącznika na serwerze proxy aplikacjiInstalls the connector on your Windows server, and registers it with Application Proxy
  • Sprawdzanie, czy łącznik został poprawnie zainstalowany i zarejestrowanyVerifies the connector installed and registered correctly
  • Dodawanie aplikacji lokalnej do dzierżawy usługi Azure ADAdds an on-premises application to your Azure AD tenant
  • Sprawdza, czy użytkownik testowy może zalogować się do aplikacji przy użyciu konta usługi Azure ADVerifies a test user can sign on to the application by using an Azure AD account

Wymagania wstępnePrerequisites

Aby dodać aplikację lokalną do usługi Azure AD, potrzebne są:To add an on-premises application to Azure AD, you need:

  • Subskrypcja Microsoft Azure AD PremiumA Microsoft Azure AD premium subscription
  • Konto administratora aplikacjiAn application administrator account
  • Tożsamości użytkowników muszą być synchronizowane z katalogu lokalnego lub tworzone bezpośrednio w dzierżawach usługi Azure AD.User identities must be synchronized from an on-premises directory or created directly within your Azure AD tenants. Synchronizacja tożsamości umożliwia usłudze Azure AD wstępne uwierzytelnienie użytkowników przed udzieleniem im dostępu do opublikowanych aplikacji serwera proxy aplikacji i posiadanie informacji o identyfikatorze użytkownika w celu przeprowadzenia rejestracji jednokrotnej (SSO).Identity synchronization allows Azure AD to pre-authenticate users before granting them access to App Proxy published applications and to have the necessary user identifier information to perform single sign-on (SSO).

Server systemu WindowsWindows server

Aby użyć serwera proxy aplikacji, potrzebujesz serwera systemu Windows z systemem Windows Server 2012 R2 lub nowszym.To use Application Proxy, you need a Windows server running Windows Server 2012 R2 or later. Na serwerze zainstalujesz łącznik serwera proxy aplikacji.You'll install the Application Proxy connector on the server. Serwer łącznika musi się łączyć z usługami serwera proxy aplikacji na platformie Azure oraz aplikacjami lokalnymi, które zamierzasz opublikować.This connector server needs to connect to the Application Proxy services in Azure, and the on-premises applications that you plan to publish.

Aby zapewnić wysoką dostępność w środowisku produkcyjnym, zalecamy użycie więcej niż jednego serwera systemu Windows.For high availability in your production environment, we recommend having more than one Windows server. W tym samouczku wystarczy nam jeden serwer systemu Windows.For this tutorial, one Windows server is sufficient.

Ważne

W przypadku instalowania łącznika w systemie Windows Server 2019 należy wyłączyć obsługę protokołu HTTP2 w składniku WinHttp dla ograniczonego delegowania protokołu Kerberos.If you are installing the connector on Windows Server 2019, you must disable HTTP2 protocol support in the WinHttp component for Kerberos Constrained Delegation to properly work. Ta wartość jest domyślnie wyłączona we wcześniejszych wersjach obsługiwanych systemów operacyjnych.This is disabled by default in earlier versions of supported operating systems. Dodanie następującego klucza rejestru i ponowne uruchomienie serwera spowoduje wyłączenie go w systemie Windows Server 2019.Adding the following registry key and restarting the server disables it on Windows Server 2019. Należy pamiętać, że jest to klucz rejestru dla całego komputera.Note that this is a machine-wide registry key.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

Klucz można ustawić za pomocą programu PowerShell przy użyciu następującego polecenia.The key can be set via PowerShell with the following command.

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Zalecenia dotyczące serwera łącznikaRecommendations for the connector server

  1. Serwer łącznika powinien znajdować się blisko serwerów aplikacji, aby wydajność komunikacji między łącznikiem a aplikacją była optymalna.Physically locate the connector server close to the application servers to optimize performance between the connector and the application. Aby uzyskać więcej informacji, zobacz Network topology considerations (Kwestie związane z topologią sieci).For more information, see Network topology considerations.
  2. Serwer łącznika i serwery aplikacji sieci Web powinny należeć do tej samej domeny Active Directory lub zakresu zaufanych domen.The connector server and the web applications servers should belong to the same Active Directory domain or span trusting domains. Posiadanie serwerów w tej samej domenie lub domen ufających jest wymaganiem do korzystania z logowania jednokrotnego (SSO) ze zintegrowanym uwierzytelnianiem systemu Windows (IWA) i ograniczonego delegowania protokołu Kerberos (KCD).Having the servers in the same domain or trusting domains is a requirement for using single sign-on (SSO) with Integrated Windows Authentication (IWA) and Kerberos Constrained Delegation (KCD). Jeśli serwer łącznika znajduje się w innej domenie usługi Active Directory niż serwery aplikacji internetowych, korzystanie z logowania jednokrotnego wymaga użycia delegowania opartego na zasobach.If the connector server and web application servers are in different Active Directory domains, you need to use resource-based delegation for single sign-on. Aby uzyskać więcej informacji, zobacz KCD for single sign-on with Application Proxy (Ograniczone delegowanie Kerberos dla logowania jednokrotnego przy użyciu serwera proxy aplikacji).For more information, see KCD for single sign-on with Application Proxy.

Ostrzeżenie

Jeśli wdrożono serwer proxy ochrony hasłem usługi Azure AD, nie instaluj jednocześnie serwera proxy usługi Azure serwer proxy aplikacji usługi Azure AD i usługi Azure AD Password Protection na tym samym komputerze.If you've deployed Azure AD Password Protection Proxy, do not install Azure AD Application Proxy and Azure AD Password Protection Proxy together on the same machine. Usługa Azure serwer proxy aplikacji usługi Azure AD i serwer proxy ochrony hasłem usługi Azure AD instalują różne wersje usługi Azure AD Connect Agent Aktualizator.Azure AD Application Proxy and Azure AD Password Protection Proxy install different versions of the Azure AD Connect Agent Updater service. Te różne wersje są niezgodne, jeśli są zainstalowane razem na tym samym komputerze.These different versions are incompatible when installed together on the same machine.

Wymagania protokołu TLSTLS requirements

Przed zainstalowaniem łącznika serwera proxy aplikacji na serwerze łącznika systemu Windows należy włączyć protokół TLS 1.2.The Windows connector server needs to have TLS 1.2 enabled before you install the Application Proxy connector.

Aby włączyć protokół TLS 1.2:To enable TLS 1.2:

  1. Ustaw następujące klucze rejestru:Set the following registry keys:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Uruchom ponownie serwer.Restart the server.

Uwaga

Firma Microsoft aktualizuje usługi platformy Azure, aby używać certyfikatów TLS z innego zestawu głównych urzędów certyfikacji (CA).Microsoft is updating Azure services to use TLS certificates from a different set of Root Certificate Authorities (CAs). Ta zmiana jest wykonywana, ponieważ bieżące certyfikaty urzędu certyfikacji nie są zgodne z jednym z wymagań linii bazowej urzędu certyfikacji/przeglądarki.This change is being made because the current CA certificates do not comply with one of the CA/Browser Forum Baseline requirements. Aby uzyskać więcej informacji, zobacz zmiany certyfikatu protokołu TLS platformy Azure .See Azure TLS certificate changes for more information.

Przygotowywanie środowiska lokalnegoPrepare your on-premises environment

Zacznij od włączenia komunikacji do centrów danych platformy Azure w celu przygotowania środowiska do serwer proxy aplikacji usługi Azure AD platformy Azure.Start by enabling communication to Azure data centers to prepare your environment for Azure AD Application Proxy. Jeśli w ścieżce znajduje się zapora, upewnij się, że jest otwarta.If there's a firewall in the path, make sure it's open. Otwarta Zapora umożliwia łącznikowi wykonywanie żądań HTTPS (TCP) do serwera proxy aplikacji.An open firewall allows the connector to make HTTPS (TCP) requests to the Application Proxy.

Ważne

Jeśli instalujesz łącznik dla Azure Government Cloud, postępuj zgodnie z procedurami wstępnymi i instalacją.If you are installing the connector for Azure Government cloud follow the pre-requisites and installation steps. Wymaga to włączenia dostępu do innego zestawu adresów URL i dodatkowego parametru do uruchomienia instalacji.This requires enabling access to a different set of URLs and an additional parameter to run the installation.

Otwieranie portówOpen ports

Otwórz następujące porty dla ruchu wychodzącego.Open the following ports to outbound traffic.

Numer portuPort number ZastosowanieHow it's used
8080 Pobieranie list odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSLDownloading certificate revocation lists (CRLs) while validating the TLS/SSL certificate
443443 Cała komunikacja wychodząca do usługi serwera proxy aplikacjiAll outbound communication with the Application Proxy service

Jeśli zapora wymusza ruch odpowiednio dla użytkowników, którzy go generują, otwórz również porty 80 i 443 dla ruchu pochodzącego z usług systemu Windows działających jako usługi sieciowe.If your firewall enforces traffic according to originating users, also open ports 80 and 443 for traffic from Windows services that run as a Network Service.

Zezwalanie na dostęp do adresów URLAllow access to URLs

Zezwól na dostęp do następujących adresów URL:Allow access to the following URLs:

Adres URLURL PortPort ZastosowanieHow it's used
*.msappproxy.net*.msappproxy.net
*.servicebus.windows.net*.servicebus.windows.net
443/HTTPS443/HTTPS Komunikacja między łącznikiem a usługą serwera proxy aplikacji w chmurzeCommunication between the connector and the Application Proxy cloud service
crl3.digicert.comcrl3.digicert.com
crl4.digicert.comcrl4.digicert.com
ocsp.digicert.comocsp.digicert.com
crl.microsoft.comcrl.microsoft.com
oneocsp.microsoft.comoneocsp.microsoft.com
ocsp.msocsp.comocsp.msocsp.com
80/HTTP80/HTTP Łącznik używa tych adresów URL do weryfikowania certyfikatów.The connector uses these URLs to verify certificates.
login.windows.netlogin.windows.net
secure.aadcdn.microsoftonline-p.comsecure.aadcdn.microsoftonline-p.com
*.microsoftonline.com*.microsoftonline.com
*. microsoftonline-p.com*.microsoftonline-p.com
*. msauth.net*.msauth.net
*. msauthimages.net*.msauthimages.net
*. msecnd.net*.msecnd.net
*. msftauth.net*.msftauth.net
*. msftauthimages.net*.msftauthimages.net
*. phonefactor.net*.phonefactor.net
enterpriseregistration.windows.netenterpriseregistration.windows.net
management.azure.commanagement.azure.com
policykeyservice.dc.ad.msft.netpolicykeyservice.dc.ad.msft.net
ctldl.windowsupdate.comctldl.windowsupdate.com
www.microsoft.com/pkiopswww.microsoft.com/pkiops
443/HTTPS443/HTTPS Łącznik używa tych adresów URL podczas procesu rejestracji.The connector uses these URLs during the registration process.
ctldl.windowsupdate.comctldl.windowsupdate.com 80/HTTP80/HTTP Łącznik używa tego adresu URL podczas procesu rejestracji.The connector uses this URL during the registration process.

Można zezwolić na połączenia z * . msappproxy.NET, * . ServiceBus.Windows.NET i innych adresów URL powyżej, Jeśli zapora lub serwer proxy umożliwia skonfigurowanie reguł dostępu na podstawie sufiksów domeny.You can allow connections to *.msappproxy.net, *.servicebus.windows.net, and other URLs above if your firewall or proxy lets you configure access rules based on domain suffixes. W przeciwnym razie musisz zezwolić na dostęp do zakresów adresów IP i tagów usług platformy Azure — chmury publicznej.If not, you need to allow access to the Azure IP ranges and Service Tags - Public Cloud. Zakresy adresów IP są aktualizowane co tydzień.The IP ranges are updated each week.

Rozpoznawanie nazw DNS dla punktów końcowych usługi Azure serwer proxy aplikacji usługi Azure ADDNS name resolution for Azure AD Application Proxy endpoints

Publiczne rekordy DNS dla punktów końcowych usługi Azure serwer proxy aplikacji usługi Azure AD są łańcucha rekordy CNAME wskazujące rekord A.Public DNS records for Azure AD Application Proxy endpoints are chained CNAME records pointing to an A record. Zapewnia to odporność na uszkodzenia i elastyczność.This ensures fault tolerance and flexibility. Jest to gwarantowane, że łącznik usługi Azure serwer proxy aplikacji usługi Azure AD zawsze uzyskuje dostęp do nazw hostów za pomocą sufiksów domeny *. msappproxy.NET lub *. ServiceBus.Windows.NET.It’s guaranteed that the Azure AD Application Proxy Connector always accesses hostnames with the domain suffixes *.msappproxy.net or *.servicebus.windows.net. Jednak podczas rozpoznawania nazw rekordy CNAME mogą zawierać rekordy DNS z różnymi nazwami hostów i sufiksami.However, during the name resolution the CNAME records might contain DNS records with different hostnames and suffixes. Z tego względu należy upewnić się, że urządzenie (w zależności od serwera łącznika Instalatora, zapory, serwera proxy wychodzącego) może rozpoznać wszystkie rekordy w łańcuchu i umożliwia nawiązanie połączenia z rozpoznanymi adresami IP.Due to this, you must ensure that the device (depending on your setup - connector server, firewall, outbound proxy) can resolve all the records in the chain and allows connection to the resolved IP addresses. Ponieważ rekordy DNS w łańcuchu mogą ulec zmianie od czasu do czasu, nie możemy udostępnić żadnych rekordów DNS z listą.Since the DNS records in the chain might be changed from time to time, we cannot provide you with any list DNS records.

Instalowanie i rejestrowanie łącznikaInstall and register a connector

Aby użyć serwera proxy aplikacji, Zainstaluj łącznik na każdym serwerze z systemem Windows, który jest używany z usługą serwera proxy aplikacji.To use Application Proxy, install a connector on each Windows server you're using with the Application Proxy service. Łącznik to agent, który zarządza połączeniami wychodzącymi z lokalnych serwerów aplikacji do serwera proxy aplikacji w usłudze Azure AD.The connector is an agent that manages the outbound connection from the on-premises application servers to Application Proxy in Azure AD. Łącznik można zainstalować na serwerach, na których zainstalowano również innych agentów uwierzytelniania, takich jak program Azure AD Connect.You can install a connector on servers that also have other authentication agents installed such as Azure AD Connect.

Aby zainstalować łącznik:To install the connector:

  1. Zaloguj się do witryny Azure Portal jako administrator aplikacji w katalogu, w którym jest używany serwer proxy aplikacji.Sign in to the Azure portal as an application administrator of the directory that uses Application Proxy. Na przykład jeśli domena dzierżawy to contoso.com, administratorem powinien być admin@contoso.com lub dowolny alias administratora w tej domenie.For example, if the tenant domain is contoso.com, the admin should be admin@contoso.com or any other admin alias on that domain.

  2. Wybierz swoją nazwę użytkownika w prawym górnym rogu.Select your username in the upper-right corner. Upewnij się, że logujesz się do katalogu, który używa serwera proxy aplikacji.Verify you're signed in to a directory that uses Application Proxy. Jeśli musisz zmienić katalogi, wybierz pozycję Przełącz katalog i wybierz katalog, w którym jest używany serwer proxy aplikacji.If you need to change directories, select Switch directory and choose a directory that uses Application Proxy.

  3. W lewym panelu nawigacyjnym wybierz pozycję Azure Active Directory.In left navigation panel, select Azure Active Directory.

  4. W obszarze Zarządzanie wybierz pozycję serwer proxy aplikacji.Under Manage, select Application proxy.

  5. Wybierz pozycję Pobierz usługę łącznika.Select Download connector service.

    Pobierz usługę łącznika, aby zobaczyć warunki korzystania z usługi

  6. Zapoznaj się z warunkami użytkowania usługi.Read the Terms of Service. Gdy wszystko będzie gotowe, wybierz pozycję Akceptuj postanowienia & Pobierz.When you're ready, select Accept terms & Download.

  7. W dolnej części okna wybierz pozycję Uruchom , aby zainstalować łącznik.At the bottom of the window, select Run to install the connector. Zostanie otwarty kreator instalacji.An install wizard opens.

  8. Postępuj zgodnie z instrukcjami wyświetlanymi w kreatorze, aby zainstalować usługę.Follow the instructions in the wizard to install the service. Po wyświetleniu monitu o zarejestrowanie łącznika na serwerze proxy aplikacji w dzierżawie usługi Azure AD, wprowadź swoje poświadczenia administratora aplikacji.When you're prompted to register the connector with the Application Proxy for your Azure AD tenant, provide your application administrator credentials.

    • Jeśli korzystasz z programu Internet Explorer (IE) i opcja Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer ma wartość , ekran rejestracji może nie być widoczny.For Internet Explorer (IE), if IE Enhanced Security Configuration is set to On, you may not see the registration screen. Aby uzyskać dostęp, wykonaj instrukcje podane w komunikacie o błędzie.To get access, follow the instructions in the error message. Upewnij się, że Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer jest wyłączona.Make sure that Internet Explorer Enhanced Security Configuration is set to Off.

Uwagi ogólneGeneral remarks

Jeśli wcześniej zainstalowano łącznik, zainstaluj go ponownie, aby uzyskać najnowszą wersję.If you've previously installed a connector, reinstall to get the latest version. Aby wyświetlić informacje o poprzednio wydanych wersjach i ich zmianach, zobacz serwer proxy aplikacji: historia wersji.To see information about previously released versions and what changes they include, see Application Proxy: Version Release History.

Jeśli masz więcej niż jeden serwer systemu Windows dla aplikacji lokalnych, musisz zainstalować i zarejestrować łącznik na każdym serwerze.If you choose to have more than one Windows server for your on-premises applications, you'll need to install and register the connector on each server. Możesz tworzyć grupy łączników.You can organize the connectors into connector groups. Aby uzyskać więcej informacji, zobacz Grupy łączników.For more information, see Connector groups.

Jeśli do łączenia się z Internetem w Twojej organizacji są używane serwery proxy, musisz je skonfigurować pod kątem serwera proxy aplikacji.If your organization uses proxy servers to connect to the internet, you need to configure them for Application Proxy. Aby uzyskać więcej informacji, zobacz Work with existing on-premises proxy servers (Praca z istniejącymi lokalnymi serwerami proxy).For more information, see Work with existing on-premises proxy servers.

Aby uzyskać informacje o łącznikach oraz ich aktualizowaniu, a także wskazówki na temat planowania wydajności, zobacz Understand Azure AD Application Proxy connectors (Informacje dotyczące łączników serwera proxy aplikacji usługi Azure AD).For information about connectors, capacity planning, and how they stay up-to-date, see Understand Azure AD Application Proxy connectors.

Sprawdzanie, czy łącznik został poprawnie zainstalowany i zarejestrowanyVerify the connector installed and registered correctly

Aby upewnić się, że nowy łącznik został zainstalowany poprawnie, możesz użyć witryny Azure Portal lub serwera systemu Windows.You can use the Azure portal or your Windows server to confirm that a new connector installed correctly.

Weryfikowanie instalacji za pomocą Azure PortalVerify the installation through Azure portal

Aby sprawdzić, czy łącznik został poprawnie zainstalowany i zarejestrowany:To confirm the connector installed and registered correctly:

  1. Zaloguj się do katalogu dzierżawy w witrynie Azure Portal.Sign in to your tenant directory in the Azure portal.

  2. W lewym panelu nawigacyjnym wybierz pozycję Azure Active Directory, a następnie wybierz pozycję serwer proxy aplikacji w sekcji Zarządzanie .In the left navigation panel, select Azure Active Directory, and then select Application Proxy under the Manage section. Na stronie widać wszystkie łączniki i grupy łączników.All of your connectors and connector groups appear on this page.

  3. Wyświetl łącznik, aby sprawdzić jego szczegóły.View a connector to verify its details. Łączniki powinny być domyślnie rozwinięte.The connectors should be expanded by default. Jeśli łącznik, który chcesz wyświetlić, nie jest rozwinięty, rozwiń łącznik, aby wyświetlić szczegóły.If the connector you want to view isn't expanded, expand the connector to view the details. Zielona ikona oznacza, że łącznik jest aktywny i może łączyć się z usługą.An active green label indicates that your connector can connect to the service. Jednak nawet wtedy problem z siecią może uniemożliwiać łącznikowi odbieranie wiadomości.However, even though the label is green, a network issue could still block the connector from receiving messages.

    Łączniki serwer proxy aplikacji usługi Azure AD platformy Azure

Aby uzyskać pomoc dotyczącą instalowania łącznika, zobacz problem z instalowaniem łącznika serwera proxy aplikacji.For more help with installing a connector, see Problem installing the Application Proxy Connector.

Weryfikowanie instalacji przy użyciu systemu Windows ServerVerify the installation through your Windows server

Aby sprawdzić, czy łącznik został poprawnie zainstalowany i zarejestrowany:To confirm the connector installed and registered correctly:

  1. Otwórz Menedżera usług systemu Windows, naciskając klawisz Windows i wprowadzając tekst services.msc.Open the Windows Services Manager by clicking the Windows key and entering services.msc.

  2. Sprawdź, czy stan następujących dwóch usług ma wartość Działa.Check to see if the status for the following two services is Running.

    • Łącznik serwera proxy aplikacji usługi Microsoft AAD umożliwia łączność.Microsoft AAD Application Proxy Connector enables connectivity.

    • Aktualizator łączników serwera proxy aplikacji usługi Microsoft AAD to automatyczna usługa aktualizacji.Microsoft AAD Application Proxy Connector Updater is an automated update service. Sprawdza ona dostępność nowych wersji łącznika i aktualizuje go zgodnie z potrzebami.The updater checks for new versions of the connector and updates the connector as needed.

      Usługi łącznika serwera proxy aplikacji — zrzut ekranu

  3. Jeśli stan usług nie jest uruchomiony, kliknij prawym przyciskiem myszy, aby wybrać poszczególne usługi, a następnie wybierz polecenie Uruchom.If the status for the services isn't Running, right-click to select each service and choose Start.

Dodawanie aplikacji lokalnej do usługi Azure ADAdd an on-premises app to Azure AD

Po przygotowaniu środowiska i zainstalowaniu łącznika możemy dodać aplikacje lokalne do usługi Azure AD.Now that you've prepared your environment and installed a connector, you're ready to add on-premises applications to Azure AD.

  1. Zaloguj się do witryny Azure Portal jako administrator.Sign in as an administrator in the Azure portal.

  2. W lewym panelu nawigacyjnym wybierz pozycję Azure Active Directory.In the left navigation panel, select Azure Active Directory.

  3. Wybierz pozycję aplikacje dla przedsiębiorstw, a następnie wybierz pozycję Nowa aplikacja.Select Enterprise applications, and then select New application.

  4. Wybierz przycisk Dodaj aplikację lokalną , która jest wyświetlana w połowie strony w sekcji aplikacje lokalne .Select Add an on-premises application button which appears about halfway down the page in the On-premises applications section. Alternatywnie możesz wybrać opcję Utwórz własną aplikację w górnej części strony, a następnie wybrać pozycję Konfiguruj serwer proxy aplikacji, aby zapewnić bezpieczny dostęp zdalny do aplikacji lokalnej.Alternatively, you can select Create your own application at the top of the page and then select Configure Application Proxy for secure remote access to an on-premise application.

  5. W sekcji Dodawanie własnej aplikacji lokalnej podaj następujące informacje o aplikacji:In the Add your own on-premises application section, provide the following information about your application:

    PoleField OpisDescription
    NazwaName Nazwa aplikacji, która będzie wyświetlana w moich aplikacjach i w Azure Portal.The name of the application that will appear on My Apps and in the Azure portal.
    Wewnętrzny adres URLInternal URL Ten adres URL umożliwia dostęp do aplikacji w sieci prywatnej.The URL for accessing the application from inside your private network. Możesz wprowadzić określoną ścieżkę na serwerze zaplecza, która zostanie opublikowana, podczas gdy pozostała część serwera pozostanie nieopublikowana.You can provide a specific path on the backend server to publish, while the rest of the server is unpublished. W ten sposób możesz opublikować wiele lokacji jako różne aplikacje na tym samym serwerze, nadając im różne nazwy i reguły dostępu.In this way, you can publish different sites on the same server as different apps, and give each one its own name and access rules.

    W przypadku publikowania ścieżki upewnij się, że zawiera ona wszystkie niezbędne obrazy, skrypty i arkusze stylów dla aplikacji.If you publish a path, make sure that it includes all the necessary images, scripts, and style sheets for your application. Jeśli na przykład aplikacja jest w sieci https: / /yourapp/App i używa obrazów znajdujących się w protokole https: / /yourapp/Media, należy opublikować https: / /yourapp/jako ścieżkę.For example, if your app is at https://yourapp/app and uses images located at https://yourapp/media, then you should publish https://yourapp/ as the path. Wewnętrzny adres URL nie musi być stroną docelową widoczną dla użytkowników.This internal URL doesn't have to be the landing page your users see. Aby uzyskać więcej informacji, zobacz Set a custom home page for published apps (Ustawianie niestandardowej strony głównej dla opublikowanych aplikacji).For more information, see Set a custom home page for published apps.
    Zewnętrzny adres URLExternal URL Ten adres umożliwia użytkownikom dostęp do aplikacji spoza sieci.The address for users to access the app from outside your network. Jeśli nie chcesz używać domyślnej domeny serwera proxy aplikacji, zobacz Custom domains in Azure AD Application Proxy (Domeny niestandardowe na serwerze proxy aplikacji usługi Azure AD).If you don't want to use the default Application Proxy domain, read about custom domains in Azure AD Application Proxy.
    Wstępne uwierzytelnianiePre Authentication Sposób, w jaki serwer proxy aplikacji weryfikuje użytkowników przed udzieleniem im dostępu do aplikacji.How Application Proxy verifies users before giving them access to your application.

    Azure Active Directory — serwer proxy aplikacji przekierowuje użytkowników do zalogowania się w usłudze Azure AD, co umożliwia uwierzytelnienie ich uprawnień do katalogu i aplikacji.Azure Active Directory - Application Proxy redirects users to sign in with Azure AD, which authenticates their permissions for the directory and application. Zaleca się pozostawienie tej opcji jako domyślnej, dzięki czemu można korzystać z funkcji zabezpieczeń usługi Azure AD, takich jak dostęp warunkowy i Multi-Factor Authentication.We recommend keeping this option as the default so that you can take advantage of Azure AD security features like Conditional Access and Multi-Factor Authentication. Usługa Azure Active Directory jest wymagana do monitorowania aplikacji za pomocą usługi Microsoft Cloud Application Security.Azure Active Directory is required for monitoring the application with Microsoft Cloud Application Security.

    Przekazywanie — użytkownicy nie muszą uwierzytelniać się w usłudze Azure AD w celu uzyskania dostępu do aplikacji.Passthrough - Users don't have to authenticate against Azure AD to access the application. Można jednak na zapleczu skonfigurować wymagania dotyczące uwierzytelniania.You can still set up authentication requirements on the backend.
    Grupa łącznikówConnector Group Łączniki umożliwiają przetwarzanie zdalnego dostępu do aplikacji, a grupy łączników pozwalają klasyfikować łączniki i aplikacje według regionu, sieci lub przeznaczenia.Connectors process the remote access to your application, and connector groups help you organize connectors and apps by region, network, or purpose. Jeśli nie masz jeszcze żadnych grup łączników, Twoja aplikacja zostanie przypisana do grupy Domyślne.If you don't have any connector groups created yet, your app is assigned to Default.

    Jeśli nawiązywanie połączeń w aplikacji odbywa się za pomocą elementów WebSocket, wszystkie łączniki w grupie muszą być w wersji 1.5.612.0 lub nowszej.If your application uses WebSockets to connect, all connectors in the group must be version 1.5.612.0 or later.
  6. W razie potrzeby skonfiguruj dodatkowe ustawienia.If necessary, configure Additional settings. W przypadku większości aplikacji należy pozostawić domyślne wartości tych ustawień.For most applications, you should keep these settings in their default states.

    PoleField OpisDescription
    Limit czasu aplikacji zapleczaBackend Application Timeout Opcję tę ustaw na wartość Długi tylko wtedy, gdy uwierzytelnianie aplikacji i łączenie się z nią trwa długo.Set this value to Long only if your application is slow to authenticate and connect. Domyślnie limit czasu aplikacji zaplecza ma długość 85 sekund.At default, the backend application timeout has a length of 85 seconds. Po ustawieniu na wartość Long limit czasu zaplecza zostanie zwiększony do 180 sekund.When set to long, the backend timeout is increased to 180 seconds.
    Użyj pliku cookie tylko HTTPUse HTTP-Only Cookie Ustawienie wartości Tak powoduje, że pliki cookie serwera proxy aplikacji będą zawierały flagę HTTPOnly w nagłówku odpowiedzi HTTP.Set this value to Yes to have Application Proxy cookies include the HTTPOnly flag in the HTTP response header. Jeśli korzystasz z usług pulpitu zdalnego, ustaw tę wartość na Nie.If using Remote Desktop Services, set this value to No.
    Użyj bezpiecznego pliku cookieUse Secure Cookie Ustawienie wartości Tak powoduje przesyłanie plików cookie za pośrednictwem bezpiecznego kanału, takiego jak zaszyfrowane żądanie HTTPS.Set this value to Yes to transmit cookies over a secure channel such as an encrypted HTTPS request.
    Używaj trwałego pliku cookieUse Persistent Cookie Pozostaw wartość Nie.Keep this value set to No. Tego ustawienia należy używać tylko w przypadku aplikacji, które nie mogą udostępniać plików cookie między procesami.Only use this setting for applications that can't share cookies between processes. Aby uzyskać więcej informacji na temat ustawień plików cookie, zobacz Ustawienia plików cookie dotyczące uzyskiwania dostępu do aplikacji lokalnych w Azure Active Directory.For more information about cookie settings, see Cookie settings for accessing on-premises applications in Azure Active Directory.
    Przekształć adresy URL w nagłówkachTranslate URLs in Headers Pozostaw wartość Tak, chyba że aplikacja wymaga, aby żądanie uwierzytelnienia zawierało nagłówek oryginalnego hosta.Keep this value as Yes unless your application required the original host header in the authentication request.
    Przekształć adresy URL w treści aplikacjiTranslate URLs in Application Body Zachowaj tę wartość jako nie , chyba że stałe linki HTML z innymi aplikacjami lokalnymi i nie używaj domen niestandardowych.Keep this value as No unless you have hardcoded HTML links to other on-premises applications and don't use custom domains. Aby uzyskać więcej informacji, zobacz Link translation with Application Proxy (Przekształcanie linków przy użyciu serwera proxy aplikacji).For more information, see Link translation with Application Proxy.

    Ustaw tę wartość na Tak, jeśli zamierzasz monitorować aplikację za pomocą usługi Microsoft Cloud App Security (MCAS).Set this value to Yes if you plan to monitor this application with Microsoft Cloud App Security (MCAS). Aby uzyskać więcej informacji, zobacz konfigurowanie monitorowania dostępu do aplikacji w czasie rzeczywistym przy użyciu Microsoft Cloud App Security i Azure Active Directory.For more information, see Configure real-time application access monitoring with Microsoft Cloud App Security and Azure Active Directory.
  7. Wybierz pozycję Dodaj.Select Add.

Testowanie aplikacjiTest the application

Wszystko jest gotowe do sprawdzenia, czy aplikacja została dodana poprawnie.You're ready to test the application is added correctly. W kolejnych krokach dodasz do aplikacji konto użytkownika i spróbujesz się zalogować.In the following steps, you'll add a user account to the application, and try signing in.

Dodawanie użytkownika testowegoAdd a user for testing

Przed dodaniem użytkownika do aplikacji sprawdź, czy konto użytkownika ma już uprawnienia dostępu do aplikacji z sieci firmowej.Before adding a user to the application, verify the user account already has permissions to access the application from inside the corporate network.

Aby dodać użytkownika testowego:To add a test user:

  1. Wybierz pozycję aplikacje dla przedsiębiorstw, a następnie wybierz aplikację, którą chcesz przetestować.Select Enterprise applications, and then select the application you want to test.
  2. Wybierz pozycję wprowadzenie, a następnie wybierz pozycję Przypisz użytkownika do testowania.Select Getting started, and then select Assign a user for testing.
  3. W obszarze Użytkownicy i grupy wybierz pozycję Dodaj użytkownika.Under Users and groups, select Add user.
  4. W obszarze Dodaj przypisanie wybierz pozycję Użytkownicy i grupy.Under Add assignment, select Users and groups. Zostanie wyświetlona sekcja Użytkownicy i grupy .The User and groups section appears.
  5. Wybierz konto, które chcesz dodać.Choose the account you want to add.
  6. Wybierz pozycję Wybierz, a następnie wybierz pozycję Przypisz.Choose Select, and then select Assign.

Testowanie logowaniaTest the sign-on

Aby przetestować logowanie do aplikacji:To test the sign-on to the application:

  1. Z aplikacji, którą chcesz przetestować, wybierz pozycję serwer proxy aplikacji.From the application you want to test, select Application Proxy.
  2. W górnej części strony wybierz pozycję Testuj aplikację , aby uruchomić test w aplikacji, i sprawdź, czy występują problemy z konfiguracją.At the top of the page, select Test Application to run a test on the application and check for any configuration issues.
  3. Upewnij się, że najpierw uruchom aplikację, aby przetestować logowanie do aplikacji, a następnie Pobierz raport diagnostyczny, aby zapoznać się ze wskazówkami dotyczącymi rozwiązywania problemów z wykrytymi problemami.Make sure to first launch the application to test signing into the application, then download the diagnostic report to review the resolution guidance for any detected issues.

Aby uzyskać informacje na temat rozwiązywania problemów, zobacz Troubleshoot Application Proxy problems and error messages (Rozwiązywanie problemów z serwerem proxy aplikacji i problemów związanych z komunikatami o błędach).For troubleshooting, see Troubleshoot Application Proxy problems and error messages.

Czyszczenie zasobówClean up resources

Gdy nie jest już potrzebne, Usuń zasoby utworzone w tym samouczku.When no longer needed, delete the resources you created in this tutorial.

Następne krokiNext steps

W tym samouczku przygotowaliśmy środowisko lokalne pod kątem obsługi serwera proxy aplikacji, a następnie zainstalowaliśmy i zarejestrowaliśmy łącznik serwera proxy aplikacji.In this tutorial, you prepared your on-premises environment to work with Application Proxy, and then installed and registered the Application Proxy connector. Później dodaliśmy aplikację do dzierżawy usługi Azure AD.Next, you added an application to your Azure AD tenant. Sprawdziliśmy, czy użytkownik może zalogować się do aplikacji przy użyciu konta usługi Azure AD.You verified that a user can sign on to the application by using an Azure AD account.

Zostały wykonane następujące zadania:You did these things:

  • Otwieranie portów dla ruchu wychodzącego i zezwalanie na dostęp do określonych adresów URLOpened ports for outbound traffic and allowed access to specific URLs
  • Instalowanie łącznika na serwerze systemu Windows i rejestrowanie łącznika na serwerze proxy aplikacjiInstalled the connector on your Windows server, and registered it with Application Proxy
  • Sprawdzanie, czy łącznik został poprawnie zainstalowany i zarejestrowanyVerified the connector installed and registered correctly
  • Dodawanie aplikacji lokalnej do dzierżawy usługi Azure ADAdded an on-premises application to your Azure AD tenant
  • Zweryfikowano, że użytkownik testowy może zalogować się do aplikacji przy użyciu konta usługi Azure ADVerified a test user can sign on to the application by using an Azure AD account

Możesz przystąpić do konfigurowania aplikacji pod kątem logowania jednokrotnego.You're ready to configure the application for single sign-on. Użyj poniższego linku, aby wybrać metodę logowania jednokrotnego i znaleźć samouczki logowania jednokrotnego.Use the following link to choose a single sign-on method and to find single sign-on tutorials.