Azure AD Uygulama Ara Sunucusu dağıtımı planlama

Azure Active Directory (Azure AD) Uygulama Ara Sunucusu, şirket içi uygulamalar için güvenli ve uygun maliyetli bir uzaktan erişim çözümüdür. "Cloud First" kuruluşlarının henüz modern protokolleri kullanabilen eski şirket içi uygulamalara erişimi yönetmesi için anında bir geçiş yolu sağlar. Ek giriş bilgileri için bkz. Uygulama Ara Sunucusu nedir?

uzak kullanıcılara iç kaynaklara erişim vermek için Uygulama Ara Sunucusu önerilir. Uygulama Ara Sunucusu, bu uzaktan erişim kullanım örnekleri için VPN veya ters ara sunucu gereksiniminin yerini alır. Kurumsal ağda bulunan kullanıcılar için tasarlanmamıştır. İntranet erişimi için Uygulama Ara Sunucusu kullanan bu kullanıcılar istenmeyen performans sorunlarıyla karşılaşabilir.

Bu makale, Azure AD Uygulama Ara Sunucusu planlamak, çalıştırmak ve yönetmek için ihtiyacınız olan kaynakları içerir.

Uygulamanızı planlayın

Aşağıdaki bölümde etkili bir dağıtım deneyimi hazırlamak için önemli planlama öğelerine genel bir bakış sağlanmıştır.

Önkoşullar

Uygulamaya başlamadan önce aşağıdaki önkoşulları karşılamanız gerekir. Ortamınızı ayarlamaya ve önkoşullara yönelik daha ayrıntılı bilgilere bu öğreticiden ulaşabilirsiniz.

  • Bağlayıcılar: Bağlayıcılar, dağıtabileceğiniz basit aracılardır:

    • Şirket içi fiziksel donanım
    • Herhangi bir hiper yönetici çözümünde barındırılan bir VM
    • Uygulama Ara Sunucusu hizmetine giden bağlantıyı etkinleştirmek için Azure'da barındırılan bir VM.
  • Daha ayrıntılı bir genel bakış için bkz. Azure AD Uygulama Ara Sunucusu Bağlayıcılarını Anlama .

    • Bağlayıcıları yüklemeden önce TLS 1.2 için bağlayıcı makineleri etkinleştirilmelidir .

    • Mümkünse, bağlayıcıları arka uç web uygulaması sunucularıyla aynı ağda ve segmentte dağıtın. Uygulamaları bulmayı tamamladıktan sonra bağlayıcıları dağıtmak en iyisidir.

    • Her bağlayıcı grubunun yüksek kullanılabilirlik ve ölçek sağlamak için en az iki bağlayıcısı olmasını öneririz. Herhangi bir noktada bir makineye hizmet vermeniz gerekebilecek durumlarda üç bağlayıcıya sahip olmak en uygun seçenektir. Bağlayıcıların yükleneceği makine türüne karar verirken yardımcı olması için bağlayıcı kapasitesi tablosunu gözden geçirin. Makine ne kadar büyük olduğunda bağlayıcı o kadar fazla arabellek ve performans gösterir.

  • Ağ erişim ayarları: Azure AD Uygulama Ara Sunucusu bağlayıcıları, HTTPS (TCP Bağlantı Noktası 443) ve HTTP (TCP Bağlantı Noktası 80) aracılığıyla Azure'a bağlanır.

    • Bağlayıcı TLS trafiğini sonlandırma desteklenmez ve bağlayıcıların ilgili Azure Uygulaması Proxy uç noktalarıyla güvenli bir kanal oluşturmasını engeller.

    • Bağlayıcılar ve Azure arasındaki giden TLS iletişimlerinde tüm satır içi inceleme biçimlerinden kaçının. Bağlayıcı ve arka uç uygulamaları arasında iç denetim mümkündür, ancak kullanıcı deneyimini düşürebilir ve bu nedenle önerilmez.

    • Bağlayıcıların yük dengelemesi de desteklenmez, hatta gerekli değildir.

Azure AD Uygulama Ara Sunucusu yapılandırmadan önce dikkat edilmesi gereken önemli noktalar

Azure AD Uygulama Ara Sunucusu yapılandırmak ve uygulamak için aşağıdaki temel gereksinimler karşılanmalıdır.

  • Azure ekleme: Uygulama ara sunucusunu dağıtmadan önce kullanıcı kimliklerinin şirket içi dizinden eşitlenmesi veya doğrudan Azure AD kiracılarınızın içinde oluşturulması gerekir. Kimlik eşitleme, Azure AD'nin kullanıcılara Uygulama Ara Sunucusu tarafından yayımlanan uygulamalara erişim vermeden önce ön kimlik doğrulaması yapmasına ve çoklu oturum açma (SSO) gerçekleştirmek için gerekli kullanıcı tanımlayıcı bilgilerine sahip olmasını sağlar.

  • Koşullu Erişim gereksinimleri: İntranet erişimi için Uygulama Ara Sunucusu kullanılmasını önermiyoruz çünkü bu, kullanıcıları etkileyecek gecikme süresi ekler. İnternet'ten uzaktan erişim için ön kimlik doğrulaması ve Koşullu Erişim ilkeleriyle Uygulama Ara Sunucusu kullanmanızı öneririz. İntranet kullanımı için Koşullu Erişim sağlamaya yönelik bir yaklaşım, uygulamaları doğrudan AAD ile kimlik doğrulaması yapabilecek şekilde modernleştirmektir. Daha fazla bilgi için bkz. Uygulamaları AAD geçirme kaynakları.

  • Hizmet sınırları: Tek tek kiracılar tarafından kaynakların aşırı uygulanmasına karşı korunmak için uygulama ve kiracı başına belirlenen azaltma sınırları vardır. Bu sınırları görmek için Bkz. Azure AD hizmet sınırları ve kısıtlamaları. Bu azaltma sınırları, tipik kullanım hacminin çok üzerindeki bir karşılaştırmayı temel alır ve dağıtımların çoğu için geniş arabellek sağlar.

  • Ortak sertifika: Özel etki alanı adları kullanıyorsanız, bir TLS/SSL sertifikası temin etmelisiniz. Kuruluş gereksinimlerinize bağlı olarak, sertifika almak biraz zaman alabilir ve işleme mümkün olduğunca erken başlamanızı öneririz. Azure Uygulaması Proxy standart, joker karakter veya SAN tabanlı sertifikaları destekler. Daha fazla ayrıntı için bkz. Azure AD Uygulama Ara Sunucusu ile özel etki alanlarını yapılandırma.

  • Etki alanı gereksinimleri: Kerberos Kısıtlanmış Temsili (KCD) kullanarak yayımlanan uygulamalarınızda çoklu oturum açma, Bağlayıcıyı çalıştıran sunucunun ve uygulamayı çalıştıran sunucunun etki alanına katılmasını ve aynı etki alanının veya güvenen etki alanlarının bir parçası olmasını gerektirir. Konu hakkında ayrıntılı bilgi için bkz. Uygulama Ara Sunucusu ile çoklu oturum açma için KCD. Bağlayıcı hizmeti yerel sistem bağlamında çalışır ve özel kimlik kullanacak şekilde yapılandırılmamalıdır.

  • URL'ler için DNS kayıtları

    • Uygulama Ara Sunucusu'de özel etki alanlarını kullanmadan önce, istemcilerin önceden tanımlanmış Uygulama Ara Sunucusu adresine yönelik özel tanımlı dış URL'yi çözümlemesine izin veren genel DNS'de bir CNAME kaydı oluşturmanız gerekir. Özel etki alanı kullanan bir uygulama için CNAME kaydı oluşturulamaması, uzak kullanıcıların uygulamaya bağlanmasını engeller. CNAME kayıtlarını eklemek için gereken adımlar DNS sağlayıcısından sağlayıcıya farklılık gösterebilir, bu nedenle Azure portal kullanarak DNS kayıtlarını ve kayıt kümelerini yönetmeyi öğrenin.

    • Benzer şekilde, bağlayıcı konaklarının yayımlanan uygulamaların iç URL'sini çözümleyebilmesi gerekir.

  • Yönetim hakları ve rolleri

    • Bağlayıcı yüklemesi, yüklendiği Windows sunucusunda yerel yönetici hakları gerektirir. Ayrıca bağlayıcı örneğinin kimliğini doğrulamak ve Azure AD kiracınıza kaydetmek için en az Uygulama Yöneticisi rolü gerekir.

    • Uygulama yayımlama ve yönetim için Uygulama Yöneticisi rolü gerekir. Uygulama Yöneticileri dizindeki kayıtlar, SSO ayarları, kullanıcı ve grup atamaları ve lisanslama, Uygulama Ara Sunucusu ayarları ve onay gibi tüm uygulamaları yönetebilir. Koşullu Erişimi yönetme olanağı vermez. Bulut Uygulama Yöneticisi rolü, Uygulama Ara Sunucusu ayarlarının yönetimine izin vermemesi dışında Uygulama Yöneticisi'nin tüm özelliklerine sahiptir.

  • Lisanslama: Uygulama Ara Sunucusu bir Azure AD Premium aboneliği aracılığıyla kullanılabilir. Lisanslama seçeneklerinin ve özelliklerinin tam listesi için Azure Active Directory Fiyatlandırma sayfasına bakın.

Uygulama Bulma

Aşağıdaki bilgileri toplayarak Uygulama Ara Sunucusu aracılığıyla yayımlanan tüm kapsam içi uygulamaların envanterini derleyin:

Bilgi Türü Toplayacak bilgiler
Hizmet Türü Örneğin: SharePoint, SAP, CRM, Özel Web Uygulaması, API
Uygulama platformu Örneğin: Windows IIS, Linux üzerinde Apache, Tomcat, NGINX
Etki alanı üyeliği Web sunucusunun tam etki alanı adı (FQDN)
Uygulama konumu Web sunucusunun veya grubun altyapınızda bulunduğu yer
İç erişim Uygulamaya dahili olarak erişirken kullanılan tam URL.
Bir grupsa, hangi tür yük dengeleme kullanılıyor?
Uygulamanın kendisi dışındaki kaynaklardan içerik alıp almadığı.
Uygulamanın WebSockets üzerinden çalıştırılıp çalıştırılamadığını belirleyin.
Dış erişim Uygulamanın dışarıdan zaten kullanıma sunulduğu satıcı çözümü.
Dış erişim için kullanmak istediğiniz URL. SharePoint, Bu kılavuza göre Alternatif Erişim Eşlemeleri'nin yapılandırıldığından emin olun. Aksi takdirde dış URL'ler tanımlamanız gerekir.
Ortak sertifika Özel bir etki alanı kullanıyorsanız, ilgili konu adına sahip bir sertifika temin edin. Bir sertifika varsa, seri numarasını ve alınabileceği konumu not edin.
Kimlik doğrulaması türü Temel, Windows Tümleştirme Kimlik Doğrulaması, form tabanlı, üst bilgi tabanlı ve talepler gibi uygulama tarafından desteklenen kimlik doğrulama türü.
Uygulama belirli bir etki alanı hesabı altında çalışacak şekilde yapılandırılmışsa, hizmet hesabının Tam Etki Alanı Adı'nı (FQDN) not edin.
SAML tabanlıysa, tanımlayıcı ve yanıt URL'leri.
Üst bilgi tabanlıysa, satıcı çözümü ve kimlik doğrulama türünü işlemeye yönelik özel gereksinim.
Bağlayıcı grubu adı Bu arka uç uygulamasına kanal ve SSO sağlamak üzere atanacak bağlayıcı grubunun mantıksal adı.
Kullanıcılar/Gruplar erişimi Uygulamaya dış erişim verilecek kullanıcılar veya kullanıcı grupları.
Ek gereksinimler Uygulamayı yayımlamak için dikkate alınması gereken ek uzaktan erişim veya güvenlik gereksinimlerine dikkat edin.

Uygulamalarınızın envanterini almak için bu uygulama envanteri elektronik tablosunu indirebilirsiniz.

Kuruluş gereksinimlerini tanımlama

Kuruluşunuzun iş gereksinimlerini tanımlamanız gereken alanlar aşağıdadır. Her alan gereksinimlerin örneklerini içerir

Erişim

  • Etki alanına katılmış veya Azure AD'ye katılmış cihazları olan uzak kullanıcılar, yayımlanan uygulamalara sorunsuz çoklu oturum açma (SSO) ile güvenli bir şekilde erişebilir.

  • Onaylı kişisel cihazları olan uzak kullanıcılar, MFA'ya kayıtlı olmaları ve Microsoft Authenticator uygulamasını cep telefonlarına kimlik doğrulama yöntemi olarak kaydetmeleri koşuluyla yayımlanmış uygulamalara güvenli bir şekilde erişebilir.

İdare

  • Yöneticiler, Uygulama Ara Sunucusu aracılığıyla yayımlanan uygulamalara kullanıcı atamalarının yaşam döngüsünü tanımlayabilir ve izleyebilir.

Güvenlik

  • Yalnızca grup üyeliği veya bireysel olarak uygulamalara atanan kullanıcılar bu uygulamalara erişebilir.

Performans

  • İç ağdan uygulamaya erişimle karşılaştırıldığında uygulama performansında bir düşüş yoktur.

Kullanıcı Deneyimi

  • Kullanıcılar, herhangi bir cihaz platformunda tanıdık şirket URL'lerini kullanarak uygulamalarına nasıl erişeceklerinin farkındadır.

Denetim

  • Yöneticiler kullanıcı erişim etkinliğini denetleyebiliyor.

Pilot için en iyi yöntemler

Çoklu oturum açma (SSO) ile tek bir uygulamayı uzaktan erişim için tam olarak devreye almak için gereken süreyi ve çabayı belirleyin. İlk bulma, yayımlama ve genel testi dikkate alarak bir pilot çalıştırarak bunu yapın. Tümleşik Windows kimlik doğrulaması (IWA) için önceden yapılandırılmış basit bir IIS tabanlı web uygulaması kullanmak, uzaktan erişim ve SSO'nun başarıyla pilot çalışması için çok az çaba gerektirdiği için temel oluşturmaya yardımcı olur.

Aşağıdaki tasarım öğeleri, pilot uygulamanızın başarısını doğrudan bir üretim kiracısında artırmalıdır.

Bağlayıcı yönetimi:

  • Bağlayıcılar, uygulamalarınıza şirket içi kanal sağlama konusunda önemli bir rol oynar. Varsayılan bağlayıcı grubunun kullanılması, yayımlanan uygulamaları üretime almadan önce ilk pilot test için yeterlidir. Başarıyla test edilen uygulamalar daha sonra üretim bağlayıcı gruplarına taşınabilir.

Uygulama yönetimi:

  • İş gücünüz büyük olasılıkla dış URL'nin tanıdık ve ilgili olduğunu hatırlar. Önceden tanımlanmış msappproxy.net veya onmicrosoft.com soneklerimizi kullanarak uygulamanızı yayımlamaktan kaçının. Bunun yerine, intranet gibi bir mantıksal ana bilgisayar adı ön ekiyle birlikte tanıdık bir üst düzey doğrulanmış etki alanı sağlayın .<>customers_domain.com.

  • Azure MyApps portalında başlatma simgesini gizleyerek pilot uygulama simgesinin görünürlüğünü bir pilot grupla kısıtlayın. Üretime hazır olduğunuzda, uygulamayı aynı üretim öncesi kiracıda veya uygulamayı üretim kiracınızda yayımlayarak ilgili hedef kitlesine göre kapsamlandırabilirsiniz.

Çoklu oturum açma ayarları: Bazı SSO ayarlarının ayarlanması zaman alabilen belirli bağımlılıkları vardır, bu nedenle bağımlılıkların önceden giderildiğinden emin olarak değişiklik denetimi gecikmelerinden kaçının. Bu, Kerberos Kısıtlanmış Temsili (KCD) kullanarak SSO gerçekleştirmek ve diğer zaman alan etkinliklerle ilgilenmek için bağlayıcı konaklarının etki alanına katılmasını içerir. Örneğin, üst bilgi tabanlı SSO gerekiyorsa PING Erişimi örneği ayarlama.

Bağlayıcı Konağı ve Hedef Uygulama Arasında TLS: Güvenlik çok önemlidir, bu nedenle bağlayıcı konağı ile hedef uygulamalar arasındaki TLS her zaman kullanılmalıdır. Özellikle web uygulaması form tabanlı kimlik doğrulaması (FBA) için yapılandırılmışsa, kullanıcı kimlik bilgileri düz metin olarak etkili bir şekilde iletilir.

Artımlı olarak uygulayın ve her adımı test edin. Aşağıdaki yönergeleri izleyerek tüm kullanıcı ve iş gereksinimlerinin karşılandığından emin olmak için bir uygulama yayımladıktan sonra temel işlevsel test gerçekleştirin:

  1. Ön kimlik doğrulaması devre dışı bırakılarak web uygulamasına genel erişimi test edin ve doğrulayın.
  2. Başarılı olursa ön kimlik doğrulamasını etkinleştirin ve kullanıcıları ve grupları atayın. Erişimi test edin ve doğrulayın.
  3. Ardından uygulamanız için SSO yöntemini ekleyin ve erişimi doğrulamak için yeniden test edin.
  4. Koşullu Erişim ve MFA ilkelerini gerektiği gibi uygulayın. Erişimi test edin ve doğrulayın.

Sorun Giderme Araçları: Sorun giderme sırasında her zaman bağlayıcı konağındaki tarayıcıdan yayımlanan uygulamaya erişimi doğrulayarak işe başlayın ve uygulamanın beklendiği gibi çalıştığını onaylayın. Kurulumunuz ne kadar basit olursa kök nedeni belirlemek o kadar kolay olur. Bu nedenle, yalnızca tek bir bağlayıcı ve SSO kullanma gibi en düşük yapılandırmayla sorunları yeniden oluşturmaya çalışmalısınız. Bazı durumlarda Telerik'in Fiddler'ı gibi web hata ayıklama araçları, ara sunucu aracılığıyla erişilen uygulamalarda erişim veya içerik sorunlarını gidermek için vazgeçilmez olabilir. Fiddler ayrıca iOS ve Android gibi mobil platformların ve ara sunucu aracılığıyla yönlendirilecek şekilde yapılandırılabilir hemen hemen her şeyin trafiği izlemesine ve hatalarını ayıklamaya yardımcı olmak için bir ara sunucu olarak da görev yapabilir. Daha fazla bilgi için sorun giderme kılavuzuna bakın.

Çözümünüzü Uygulama

Uygulama Ara Sunucusu dağıtma

uzaktan erişim için şirket içi uygulama eklemeye yönelik bu öğreticide Uygulama Ara Sunucusu dağıtma adımları ele alınmıştır. Yükleme başarılı olmazsa portalda Uygulama Ara Sunucusu Sorun Gider'i seçin veya Uygulama Ara Sunucusu Aracısı Bağlayıcısı'nı yüklemeyle ilgili sorunlar için sorun giderme kılavuzunu kullanın.

Uygulama Ara Sunucusu aracılığıyla uygulama yayımlama

Uygulamaları yayımlama, tüm önkoşulları karşıladığınızı ve Uygulama Ara Sunucusu sayfasında kayıtlı ve etkin olarak gösterilen birkaç bağlayıcınız olduğunu varsayar.

Ayrıca PowerShell kullanarak da uygulamaları yayımlayabilirsiniz.

Aşağıda, uygulama yayımlarken izleyebileceğiniz en iyi uygulamalardan bazıları yer almaktadır:

  • Bağlayıcı Gruplarını Kullan: İlgili her uygulamayı yayımlamak için belirlenmiş bir bağlayıcı grubu atayın. Her bağlayıcı grubunun yüksek kullanılabilirlik ve ölçek sağlamak için en az iki bağlayıcısı olmasını öneririz. Herhangi bir noktada bir makineye hizmet vermeniz gerekebilecek durumlarda üç bağlayıcıya sahip olmak en uygun seçenektir. Ayrıca bağlayıcı gruplarınızı ağ veya konuma göre segmentlere ayırmak için bağlayıcı gruplarını nasıl kullanabileceğinizi görmek için bkz. Bağlayıcı gruplarını kullanarak uygulamaları ayrı ağlarda ve konumlarda yayımlama .

  • Arka Uç Uygulama Zaman Aşımını Ayarla: Bu ayar, uygulamanın bir istemci işlemini işlemesi için 75 saniyeden fazla zaman gerektirebileceği senaryolarda kullanışlıdır. Örneğin, bir istemci bir veritabanına ön uç işlevi gören bir web uygulamasına sorgu gönderdiğinde. Ön uç bu sorguyu arka uç veritabanı sunucusuna gönderir ve yanıt bekler, ancak yanıt aldığında konuşmanın istemci tarafı zaman aşımına uyacaktır. Zaman aşımının Uzun olarak ayarlanması, daha uzun işlemlerin tamamlanması için 180 saniye sağlar.

  • Uygun Tanımlama Bilgisi Türlerini Kullanma

    • Yalnızca HTTP Tanımlama Bilgisi: Küme tanımlama bilgisi HTTP yanıt üst bilgilerinde HTTPOnly bayrağını dahil Uygulama Ara Sunucusu ek güvenlik sağlar. Bu ayar siteler arası betik oluşturma (XSS) gibi açıklardan yararlanmaları azaltmaya yardımcı olur. Oturum tanımlama bilgisine erişim gerektiren istemciler/kullanıcı aracıları için bu ayarı Hayır olarak bırakın. Örneğin, Uygulama Ara Sunucusu aracılığıyla yayımlanan bir Uzak Masaüstü Ağ Geçidine bağlanan RDP/MTSC istemcisi.

    • Güvenli Tanımlama Bilgisi: Secure özniteliğiyle bir tanımlama bilgisi ayarlandığında, kullanıcı aracısı (İstemci tarafı uygulaması) tanımlama bilgisini yalnızca istek TLS güvenli bir kanal üzerinden iletilirse HTTP isteklerine dahil eder. Bu, tanımlama bilgisinin açık metin kanalları üzerinden tehlikeye atılması riskini azaltmaya yardımcı olur, bu nedenle etkinleştirilmesi gerekir.

    • Kalıcı Tanımlama Bilgisi: Uygulama Ara Sunucusu oturum tanımlama bilgisinin süresi dolana veya silinene kadar geçerli kalarak tarayıcı kapanışları arasında kalıcı olmasını sağlar. Office gibi zengin bir uygulamanın, kullanıcıdan kimlik doğrulaması istenmeden yayımlanmış bir web uygulaması içindeki bir belgeye eriştiği senaryolar için kullanılır. Ancak kalıcı tanımlama bilgileri, diğer telafi denetimleriyle birlikte kullanılmadığı takdirde bir hizmeti yetkisiz erişim riskiyle karşılayabileceğinden, dikkatli bir şekilde etkinleştirin. Bu ayar yalnızca işlemler arasında tanımlama bilgilerini paylaşabilen eski uygulamalar için kullanılmalıdır. Bu ayarı kullanmak yerine uygulamanızı işlemler arasında tanımlama bilgileri paylaşımını işleyecek şekilde güncelleştirmek daha iyidir.

  • Üst Bilgilerdeki URL'leri çevirme: İç DNS'nin kuruluşun genel ad alanıyla (yani Bölünmüş DNS) eşleşecek şekilde yapılandırılamadığı senaryolarda bunu etkinleştirirsiniz. Uygulamanız istemci isteğinde özgün ana bilgisayar üst bilgisini gerektirmediği sürece, bu değeri Evet olarak bırakın. Alternatif olarak, bağlayıcının gerçek trafiği yönlendirmek için iç URL'deki FQDN'yi ve ana bilgisayar üst bilgisi olarak dış URL'deki FQDN'yi kullanmasını sağlamaktır. Çoğu durumda, bu alternatif uygulamanın uzaktan erişildiğinde normal çalışmasına izin vermelidir, ancak kullanıcılarınız dış URL'nin içinde & eşleştirmenin avantajlarını kaybeder.

  • Uygulama Gövdesinde URL'leri çevirme: Bu uygulamadan gelen bağlantıların istemciye yanıt olarak çevrilmesini istediğinizde uygulama için Uygulama Gövdesi bağlantı çevirisini açın. Etkinleştirilirse, bu işlev Uygulama Ara Sunucusunun istemcilere döndürülen HTML ve CSS yanıtlarında bulduğu tüm iç bağlantıları çevirmeye yönelik en iyi çabayı gösterir. İçerikte sabit kodlanmış mutlak veya NetBIOS kısa adı bağlantıları içeren uygulamaları ya da diğer şirket içi uygulamalara bağlanan içeriğe sahip uygulamaları yayımlarken yararlıdır.

Yayımlanmış bir uygulamanın diğer yayımlanmış uygulamalara bağlandığı senaryolar için, uygulama başına kullanıcı deneyimi üzerinde denetim sahibi olmak için her uygulama için bağlantı çevirisini etkinleştirin.

Örneğin, Uygulama Ara Sunucusu aracılığıyla yayımlanan ve hepsi birbirine bağlanan üç uygulamanız olduğunu varsayalım: Avantajlar, Giderler ve Seyahat, ayrıca Uygulama Ara Sunucusu aracılığıyla yayımlanmamış dördüncü bir uygulama olan Geri Bildirim.

Picture 1

Avantajlar uygulaması için bağlantı çevirisini etkinleştirdiğinizde Expenses ve Travel bağlantıları bu uygulamaların dış URL'lerine yönlendirilir, böylece uygulamalara şirket ağı dışından erişen kullanıcılar bunlara erişebilir. Bu iki uygulama için bağlantı çevirisi etkinleştirilmediğinden Expenses ve Travel to Benefits bağlantıları çalışmaz. Dış URL olmadığından Geri Bildirim bağlantısı yeniden yönlendirilmiyor, bu nedenle Avantajlar uygulamasını kullanan kullanıcılar geri bildirim uygulamasına kurumsal ağın dışından erişemez. Bağlantı çevirisi ve diğer yeniden yönlendirme seçenekleri hakkında ayrıntılı bilgilere bakın.

Uygulamanıza erişme

Uygulama Ara Sunucusu yayımlanmış kaynaklarına erişimi yönetmek için çeşitli seçenekler vardır, bu nedenle kendi senaryonuz ve ölçeklenebilirlik gereksinimleriniz için en uygun seçeneği belirleyin. Yaygın yaklaşımlar şunlardır: Azure AD Bağlan aracılığıyla eşitlenen şirket içi grupları kullanma, kullanıcı özniteliklerine göre Azure AD'de Dinamik Gruplar oluşturma, bir kaynak sahibi tarafından yönetilen self servis gruplarını kullanma veya bunların tümünün birleşimi. Her birinin avantajları için bağlı kaynaklara bakın.

Kullanıcılara bir uygulamaya erişim atamanın en düz yolu, yayımlanan uygulamanızın sol tarafındaki bölmeden Kullanıcılar ve Gruplar seçeneklerine gitmek ve grupları veya bireyleri doğrudan atamaktır.

Picture 24

Ayrıca, kullanıcıların şu anda üyesi olmadıklarını bir grup atayarak ve self servis seçeneklerini yapılandırarak uygulamanıza self servis erişimine izin vekleyebilirsiniz.

Picture 25

Etkinleştirilirse, kullanıcılar MyApps portalında oturum açıp erişim isteyebilir ve otomatik olarak onaylanabilir ve zaten izin verilen self servis grubuna eklenebilir veya belirlenen bir onaylayanın onayına ihtiyaç duyar.

Konuk kullanıcılar, Azure AD B2B aracılığıyla Uygulama Ara Sunucusu aracılığıyla yayımlanan iç uygulamalara erişmeye de davet edilebilir.

Normalde anonim olarak erişilebilen ve kimlik doğrulaması gerektirmeden şirket içi uygulamalar için, uygulamanın Özellikleri'nde bulunan seçeneği devre dışı bırakmak isteyebilirsiniz.

Picture 26

Bu seçeneğin Hayır olarak ayarlanması, kullanıcıların izin olmadan Azure AD Uygulama Ara Sunucusu aracılığıyla şirket içi uygulamaya erişmesine izin verir, bu nedenle dikkatli kullanın.

Uygulamanız yayımlandıktan sonra, dış URL'sini bir tarayıcıda yazarak veya konumundaki simgesiyle https://myapps.microsoft.comerişilebilir olmalıdır.

Ön kimlik doğrulamasını etkinleştirme

Uygulamanızın dış URL üzerinden Uygulama Ara Sunucusu erişildiğini doğrulayın.

  1. Azure Active Directory>Enterprise uygulamalarıTüm>uygulamalar'a gidin ve yönetmek istediğiniz uygulamayı seçin.

  2. Uygulama Ara Sunucusu'ı seçin.

  3. Kimlik Doğrulama Öncesi alanında, açılan listeyi kullanarak Azure Active Directory seçin ve Kaydet'i seçin.

Ön kimlik doğrulaması etkinleştirildiğinde, Azure AD önce kullanıcılara kimlik doğrulaması için meydan okur ve çoklu oturum açma yapılandırılırsa, arka uç uygulaması uygulamaya erişim verilmeden önce kullanıcıyı da doğrular. Geçiş'ten Azure AD'ye geçişten kimlik doğrulama öncesi modunun değiştirilmesi https ile dış URL'yi de yapılandırdığından, başlangıçta HTTP için yapılandırılan tüm uygulamalar artık HTTPS ile güvenli hale getirilecektir.

Tek Sign-On Etkinleştirme

Kullanıcıların Azure AD'ye erişirken yalnızca bir kez oturum açması gerektiğinden, SSO mümkün olan en iyi kullanıcı deneyimini ve güvenliğini sağlar. Bir kullanıcının ön kimliği doğrulandıktan sonra SSO, kullanıcı adına şirket içi uygulamada kimlik doğrulaması Uygulama Ara Sunucusu bağlayıcısı tarafından gerçekleştirilir. Arka uç uygulaması, oturum açma bilgilerini kullanıcının kendisiymiş gibi işler.

Geçiş seçeneğinin seçilmesi, kullanıcıların Azure AD'de kimlik doğrulaması yapmak zorunda kalmadan yayımlanan uygulamaya erişmesine olanak tanır.

SSO gerçekleştirmek yalnızca Azure AD'nin bir kaynağa erişim isteyen kullanıcıyı tanımlayabilmesi durumunda mümkündür. Bu nedenle uygulamanızın, SSO'nun çalışması için erişimden sonra Azure AD ile kullanıcıların kimliğini önceden doğrulayacak şekilde yapılandırılması gerekir; aksi takdirde SSO seçenekleri devre dışı bırakılır.

Uygulamalarınızı yapılandırırken en uygun SSO yöntemini seçmenize yardımcı olması için Azure AD'deki uygulamalarda çoklu oturum açma makalesini okuyun.

Diğer uygulama türleriyle çalışma

Azure AD Uygulama Ara Sunucusu, Microsoft Authentication Library (MSAL) kullanmak için geliştirilmiş uygulamaları da destekleyebilir. Kullanıcılar adına ön kimlik doğrulaması gerçekleştirmek için istemci isteğinin üst bilgilerinde alınan Azure AD verilen belirteçleri kullanarak yerel istemci uygulamalarını destekler.

Uygulama Ara Sunucusu kullanılabilir yapılandırmaları hakkında bilgi edinmek için yerel ve mobil istemci uygulamalarını ve talep tabanlı uygulamaları yayımlamayı okuyun.

Güvenliği güçlendirmek için Koşullu Erişim kullanma

Uygulama güvenliği, şirket içindeki ve buluttaki karmaşık tehditlerden koruyabilen ve bu tehditlere yanıt verebilen gelişmiş bir güvenlik özellikleri kümesi gerektirir. Saldırganlar genellikle zayıf, varsayılan veya çalınan kullanıcı kimlik bilgileri aracılığıyla kurumsal ağ erişimi elde eder. Microsoft kimlik temelli güvenlik, hem ayrıcalıklı hem de ayrıcalıklı olmayan kimlikleri yöneterek ve koruyarak çalınan kimlik bilgilerinin kullanımını azaltır.

Azure AD Uygulama Ara Sunucusu desteklemek için aşağıdaki özellikler kullanılabilir:

  • Kullanıcı ve konum tabanlı Koşullu Erişim: Konum tabanlı Koşullu Erişim ilkeleriyle coğrafi konuma veya IP adresine göre kullanıcı erişimini sınırlayarak hassas verileri koruma altında tutun.

  • Cihaz Tabanlı Koşullu Erişim: Cihaz tabanlı Koşullu Erişim ile yalnızca kayıtlı, onaylı ve uyumlu cihazların şirket verilerine erişebildiğinden emin olun.

  • Uygulama Tabanlı Koşullu Erişim: Bir kullanıcı şirket ağında olmadığında çalışmanın durması gerekmez. Koşullu Erişim ile kurumsal buluta ve şirket içi uygulamalara erişimin güvenliğini sağlayın ve denetimi koruyun.

  • Risk Tabanlı Koşullu Erişim: Şirket içinde veya bulutta tüm uygulamalara ve tüm kullanıcılara uygulanabilen risk tabanlı koşullu erişim ilkesiyle verilerinizi kötü amaçlı korsanlardan koruyun.

  • Azure AD Uygulamalarım: Uygulama Ara Sunucusu hizmetiniz dağıtıldığında ve uygulamalar güvenli bir şekilde yayımlandıktan sonra kullanıcılarınıza tüm uygulamalarını keşfedip erişecekleri basit bir merkez sunar. Uygulamalarım aracılığıyla yeni uygulamalara ve gruplara erişim isteme veya bu kaynaklara başkaları adına erişimi yönetme gibi self servis özellikleriyle üretkenliği artırın.

Uygulamanızı yönetme

Gerekli roller

Microsoft, Azure AD ile gerekli görevleri gerçekleştirmek için mümkün olan en düşük ayrıcalığı verme ilkesini savunur. Kullanılabilen farklı Azure rollerini gözden geçirin ve her bir kişinin gereksinimlerini karşılamak için doğru olanı seçin. Dağıtım tamamlandıktan sonra bazı rollerin geçici olarak uygulanması ve kaldırılması gerekebilir.

İş rolü İş görevleri Azure AD rolleri
Yardım masası yöneticisi Genellikle son kullanıcının bildirdiği sorunları niteleme ve kullanıcıların parolalarını değiştirme, yenileme belirteçlerini geçersiz hale getirme ve hizmet durumunu izleme gibi sınırlı görevleri gerçekleştirmekle sınırlıdır. Yardım Masası Yöneticisi
Kimlik yöneticisi Uygulama Ara Sunucusu ile ilgili sorunlarda hata ayıklamak için Azure AD oturum açma raporlarını ve denetim günlüklerini okuyun. Güvenlik okuyucusu
Uygulama sahibi Kurumsal uygulamaların, uygulama kayıtlarının ve uygulama proxy ayarlarının tüm yönlerini oluşturun ve yönetin. Uygulama Yöneticisi
Altyapı yöneticisi Sertifika Geçişi Sahibi Uygulama Yöneticisi

Güvenli bilgilere veya kaynaklara erişimi olan kişi sayısını en aza indirmek, kötü amaçlı bir aktörün yetkisiz erişim elde etme veya yetkili bir kullanıcının hassas bir kaynağı yanlışlıkla etkileme olasılığını azaltmaya yardımcı olur.

Ancak kullanıcıların günlük ayrıcalıklı işlemler gerçekleştirmesi gerekir. Bu nedenle, Azure kaynaklarına ve Azure AD'ye isteğe bağlı ayrıcalıklı erişim sağlamak için tam zamanında (JIT) tabanlı Privileged Identity Management ilkelerini zorunlu tutma, yönetim erişimini ve denetimini etkili bir şekilde yönetmeye yönelik önerilen yaklaşımımızdır.

Raporlama ve izleme

Azure AD, denetim günlükleri ve raporları aracılığıyla kuruluşunuzun uygulama kullanımı ve işlem durumu hakkında ek içgörüler sağlar. Uygulama Ara Sunucusu ayrıca Azure AD portalından bağlayıcıları izlemeyi ve Olay Günlüklerini Windows çok kolaylaştırır.

Uygulama denetim günlükleri

Bu günlükler, Uygulama Ara Sunucusu ve cihaz ve uygulamaya erişen kullanıcı ile yapılandırılan uygulamalarda oturum açma işlemleri hakkında ayrıntılı bilgi sağlar. Denetim günlükleri Azure portal ve Dışarı aktarma için Denetim API'sinde bulunur. Ayrıca, uygulamanız için kullanım ve içgörü raporları da kullanılabilir.

Uygulama Ara Sunucusu Bağlayıcı izleme

Bağlayıcılar ve hizmet tüm yüksek kullanılabilirlik görevlerini üstlenmektedir. Bağlayıcılarınızın durumunu Azure AD Portalı'ndaki Uygulama Ara Sunucusu sayfasından izleyebilirsiniz. Bağlayıcı bakımı hakkında daha fazla bilgi için bkz. Azure AD Uygulama Ara Sunucusu Bağlayıcılarını Anlama.

Example: Azure AD Application Proxy connectors

Olay günlüklerini ve performans sayaçlarını Windows

Bağlayıcıların hem yönetici hem de oturum günlükleri vardır. Yönetici günlükleri önemli olayları ve hatalarını içerir. Oturum günlükleri tüm işlemleri ve bunların işleme ayrıntılarını içerir. Günlükler ve sayaçlar Windows Olay Günlükleri'nde bulunur. Daha fazla bilgi için bkz. Azure AD Uygulama Ara Sunucusu Bağlayıcılarını Anlama. Azure İzleyici'de olay günlüğü veri kaynaklarını yapılandırmak için bu öğreticiyi izleyin.

Sorun giderme kılavuzu ve adımları

Hata iletilerini giderme kılavuzumuzla yaygın sorunlar ve bunları çözme hakkında daha fazla bilgi edinin.

Aşağıdaki makaleler, destek kuruluşunuz için sorun giderme kılavuzları oluşturmak için de kullanılabilecek yaygın senaryoları kapsar.