Fjärråtkomst till lokala program via Azure AD-programproxy

  • Artikel
  • 3 minuter för att läsa

Azure Active Directory är Programproxy ger säker fjärråtkomst till lokala webbprogram. Efter en enkel inloggning till Azure AD kan användarna komma åt både molnprogram och lokala program via en extern URL eller en intern programportal. Till exempel Programproxy kan ge fjärråtkomst och enkel inloggning till Fjärrskrivbord, SharePoint, Teams, Tableau, Qlik och affärsprogram (LOB).

Azure AD-programproxy är:

  • Enkelt att använda. Användare kan komma åt dina lokala program på samma sätt som de kommer åt Microsoft 365 och andra SaaS-appar som är integrerade med Azure AD. Du behöver inte ändra eller uppdatera dina program för att fungera med programproxy.

  • Skydda. Lokala program kan använda Azures auktoriseringskontroller och säkerhetsanalys. Lokala program kan till exempel använda villkorsstyrd åtkomst och tvåstegsverifiering. Programproxy kräver inte att du öppnar inkommande anslutningar via brandväggen.

  • Kostnadseffektiv . Lokala lösningar kräver vanligtvis att du ställer in och underhåller demilitariserade zoner (DMZs), gränsservrar eller andra komplexa infrastrukturer. Programproxy körs i molnet, vilket gör det enkelt att använda. För Programproxy behöver du inte ändra nätverksinfrastrukturen eller installera ytterligare installationer i din lokala miljö.

Vad är Application Proxy?

Programproxy är en funktion i Azure AD som gör det möjligt för användare att komma åt lokala webbprogram från en fjärrklient. Programproxy omfattar både programproxytjänsten som körs i molnet och anslutningsappen för programproxy som körs på en lokal server. Azure AD, programproxytjänsten och anslutningsappen för programproxy samverkar för att på ett säkert sätt skicka användarens inloggningstoken från Azure AD till webbprogrammet.

Programproxy fungerar med:

  • Webbprogram som använder integrerad Windows autentisering för autentisering
  • Webbprogram som använder formulärbaserad eller rubrikbaserad åtkomst
  • Webb-API:er som du vill exponera för omfattande program på olika enheter
  • Program som finns bakom en fjärrskrivbordsgateway
  • Omfattande klientappar som är integrerade med Microsoft Authentication Library (MSAL)

Programproxy har stöd för enkel inloggning. Mer information om metoder som stöds finns i Choosing a single sign-on method(Välja en metod för enkel inloggning).

Programproxy rekommenderas för att ge fjärranslutna användare åtkomst till interna resurser. Programproxy ersätter behovet av vpn eller omvänd proxy. Den är inte avsedd för interna användare i företagsnätverket. De användare som i onödan använder Programproxy kan leda till oväntade och oönskade prestandaproblem.

Så Programproxy fungerar

Följande diagram visar hur Azure AD Programproxy fungerar tillsammans för att tillhandahålla enkel inloggning till lokala program.

AzureAD Programproxy diagram

  1. När användaren har kommit åt programmet via en slutpunkt dirigeras användaren till inloggningssidan för Azure AD.
  2. Efter en lyckad inloggning skickar Azure AD en token till användarens klientenhet.
  3. Klienten skickar token till Programproxy-tjänsten, som hämtar användarens huvudnamn (UPN) och säkerhetsobjektnamnet (SPN) från token. Programproxy skickar sedan begäran till Programproxy anslutningsappen.
  4. Om du har konfigurerat enkel inloggning utför anslutningsappen eventuell ytterligare autentisering som krävs för användarens räkning.
  5. Anslutningsappen skickar begäran till det lokala programmet.
  6. Svaret skickas via anslutningsappen och Programproxy till användaren.

Anteckning

Precis som de flesta Azure AD-hybridagenter kräver Programproxy Connector inte att du öppnar inkommande anslutningar via brandväggen. Användartrafiken i steg 3 avslutas vid Programproxy Service (i Azure AD). Den Programproxy Connector (lokalt) ansvarar för resten av kommunikationen.

Komponent Beskrivning
Slutpunkt Slutpunkten är en URL eller en slutanvändarportal. Användare kan nå program utanför nätverket genom att få åtkomst till en extern URL. Användare i nätverket kan komma åt programmet via en URL eller en slutanvändarportal. När användarna går till någon av dessa slutpunkter autentiseras de i Azure AD och dirigeras sedan via anslutningsappen till det lokala programmet.
Azure AD Azure AD utför autentiseringen med hjälp av klientkatalogen som lagras i molnet.
Programproxy tjänst Den Programproxy tjänsten körs i molnet som en del av Azure AD. Den skickar inloggningstoken från användaren till Programproxy Connector. Programproxy vidarebefordrar alla tillgängliga huvuden på begäran och anger huvudena enligt dess protokoll till klientens IP-adress. Om den inkommande begäran till proxyservern redan har det huvudet läggs klientens IP-adress till i slutet av den kommaavgränsade listan som är värdet för rubriken.
Programproxy Connector Anslutningsappen är en förenklad agent som körs på Windows server i nätverket. Anslutningsappen hanterar kommunikationen Programproxy tjänsten i molnet och det lokala programmet. Anslutningsappen använder endast utgående anslutningar, så du behöver inte öppna några inkommande portar eller placera något i DMZ. Anslutningsapparna är tillståndslösa och hämtar information från molnet efter behov. Mer information om anslutningsappar, t.ex. hur de belastningsutjämnar och autentiserar, finns i Förstå Azure AD Programproxy-anslutningsappar.
Active Directory (AD) Active Directory körs lokalt för att utföra autentisering för domänkonton. När enkel inloggning har konfigurerats kommunicerar anslutningsappen med AD för att utföra eventuell ytterligare autentisering som krävs.
Lokalt program Slutligen kan användaren komma åt ett lokalt program.

Nästa steg

Information om hur Programproxy finns i Självstudie: Läggatill ett lokalt program för fjärråtkomst via Programproxy .