Fjärråtkomst till lokala program via Azure AD-programproxy

Azure Active Directory Programproxy ger säker fjärråtkomst till lokala webbprogram. Efter en enkel inloggning till Azure AD kan användarna komma åt både molnbaserade och lokala program via en extern URL eller en intern programportal. Till exempel kan Programproxy tillhandahålla fjärråtkomst och enkel inloggning till Fjärrskrivbord, SharePoint, Teams, Tableau, Qlik och verksamhetsspecifika program (LOB).

Azure AD-programproxy är:

  • Enkel att använda. Användare kan komma åt dina lokala program på samma sätt som de får åtkomst till Microsoft 365 och andra SaaS-appar som är integrerade med Azure AD. Du behöver inte ändra eller uppdatera dina program för att fungera med programproxy.

  • Säker. Lokala program kan använda Azures auktoriseringskontroller och säkerhetsanalys. Lokala program kan till exempel använda villkorsstyrd åtkomst och tvåstegsverifiering. Programproxy kräver inte att du öppnar inkommande anslutningar via brandväggen.

  • Kostnadseffektivt. Lokala lösningar kräver vanligtvis att du konfigurerar och underhåller demilitariserade zoner (DMZ), gränsservrar eller andra komplexa infrastrukturer. Programproxy körs i molnet, vilket gör det enkelt att använda. Om du vill använda Programproxy behöver du inte ändra nätverksinfrastrukturen eller installera ytterligare installationer i din lokala miljö.

Vad är Application Proxy?

Programproxy är en funktion i Azure AD som gör att användarna kan komma åt lokala webbprogram från en fjärrklient. Programproxy omfattar både programproxytjänsten som körs i molnet och anslutningsappen för programproxy som körs på en lokal server. Azure AD, programproxytjänsten och anslutningsappen för programproxy samverkar för att på ett säkert sätt skicka användarens inloggningstoken från Azure AD till webbprogrammet.

Programproxy fungerar med:

  • Webbprogram som använder integrerad Windows-autentisering för autentisering
  • Webbprogram som använder formulärbaserad eller rubrikbaserad åtkomst
  • Webb-API:er som du vill exponera för omfattande program på olika enheter
  • Program som finns bakom en fjärrskrivbordsgateway
  • Omfattande klientappar som är integrerade med Microsoft Authentication Library (MSAL)

Programproxy stöder enkel inloggning. Mer information om metoder som stöds finns i Välja en metod för enkel inloggning.

Programproxy rekommenderas för att ge fjärranvändare åtkomst till interna resurser. Programproxy ersätter behovet av ett VPN eller en omvänd proxy. Den är inte avsedd för interna användare i företagsnätverket. Dessa användare som i onödan använder Programproxy kan introducera oväntade och oönskade prestandaproblem.

Så här fungerar Programproxy

Följande diagram visar hur Azure AD och Programproxy fungerar tillsammans för att tillhandahålla enkel inloggning till lokala program.

AzureAD Application Proxy diagram

  1. När användaren har använt programmet via en slutpunkt dirigeras användaren till inloggningssidan för Azure AD.
  2. Efter en lyckad inloggning skickar Azure AD en token till användarens klientenhet.
  3. Klienten skickar token till Programproxy-tjänsten, som hämtar användarens huvudnamn (UPN) och säkerhetshuvudnamn (SPN) från token. Programproxy skickar sedan begäran till Programproxy-anslutningsappen.
  4. Om du har konfigurerat enkel inloggning utför anslutningsappen eventuell ytterligare autentisering som krävs för användarens räkning.
  5. Anslutningsappen skickar begäran till det lokala programmet.
  6. Svaret skickas via anslutningsappen och Programproxy-tjänsten till användaren.

Anteckning

Precis som de flesta Azure AD-hybridagenter kräver Programproxy Connector inte att du öppnar inkommande anslutningar via brandväggen. Användartrafiken i steg 3 avslutas vid Programproxy Service (i Azure AD). Programproxy Connector (lokalt) ansvarar för resten av kommunikationen.

Komponent Beskrivning
Slutpunkt Slutpunkten är en URL eller en slutanvändarportal. Användare kan nå program utanför nätverket genom att komma åt en extern URL. Användare i nätverket kan komma åt programmet via en URL eller en slutanvändarportal. När användarna går till en av dessa slutpunkter autentiseras de i Azure AD och dirigeras sedan via anslutningsappen till det lokala programmet.
Azure AD Azure AD utför autentiseringen med hjälp av klientkatalogen som lagras i molnet.
Programproxy-tjänst Den här Programproxy-tjänsten körs i molnet som en del av Azure AD. Den skickar inloggningstoken från användaren till Programproxy Connector. Programproxy vidarebefordrar alla tillgängliga huvuden i begäran och anger rubrikerna enligt protokollet till klientens IP-adress. Om den inkommande begäran till proxyn redan har det huvudet läggs klientens IP-adress till i slutet av den kommaavgränsade listan som är värdet för huvudet.
Programproxy-anslutningsprogram Anslutningsappen är en förenklad agent som körs på en Windows Server i nätverket. Anslutningsappen hanterar kommunikationen mellan Programproxy-tjänsten i molnet och det lokala programmet. Anslutningsappen använder endast utgående anslutningar, så du behöver inte öppna några inkommande portar eller placera något i DMZ. Anslutningsapparna är tillståndslösa och hämtar information från molnet efter behov. Mer information om anslutningsappar, till exempel hur de belastningsutjämnas och autentiseras, finns i Förstå Azure AD Programproxy-anslutningsappar.
Active Directory (AD) Active Directory körs lokalt för att utföra autentisering för domänkonton. När enkel inloggning har konfigurerats kommunicerar anslutningsappen med AD för att utföra ytterligare autentisering som krävs.
Lokalt program Slutligen kan användaren komma åt ett lokalt program.

Nästa steg

Information om hur du börjar använda Programproxy finns i Självstudie: Lägga till ett lokalt program för fjärråtkomst via Programproxy.