Microsoft Entra uygulama ara sunucusundaki joker uygulamalar
Microsoft Entra Id'de, çok sayıda şirket içi uygulamanın yapılandırılması hızla yönetilemez hale gelebilir ve birçoğu aynı ayarları gerektiriyorsa yapılandırma hataları için gereksiz riskler getirir. Microsoft Entra uygulama ara sunucusu ile, aynı anda birçok uygulamayı yayımlamak ve yönetmek için joker uygulama yayımlamayı kullanarak bu sorunu çözebilirsiniz. Bu, şunları yapmanızı sağlayan bir çözümdür:
- Yönetim ek yükünüzü basitleştirme
- Olası yapılandırma hatalarının sayısını azaltma
- Kullanıcılarınızın daha fazla kaynağa güvenli bir şekilde erişmesini sağlama
Bu makale, ortamınızda joker uygulama yayımlamayı yapılandırmak için ihtiyacınız olan bilgileri sağlar.
Joker uygulama oluşturma
Aynı yapılandırmaya sahip bir uygulama grubunuz varsa joker karakter (*) uygulaması oluşturabilirsiniz. Joker karakter uygulaması için olası adaylar, aşağıdaki ayarları paylaşan uygulamalardır:
- Bunlara erişimi olan kullanıcı grubu
- SSO yöntemi
- Erişim protokolü (http, https)
Hem iç hem de dış URL'ler aşağıdaki biçimdeyse joker karakterler içeren uygulamalar yayımlayabilirsiniz:
http(s)://*.<Etki alanı>
Örneğin: http(s)://*.adventure-works.com.
İç ve dış URL'ler farklı etki alanlarını kullanabilir ancak en iyi yöntem olarak bunların aynı olması gerekir. Uygulamayı yayımlarken URL'lerden birinde joker karakter yoksa bir hata görürsünüz.
Joker uygulama oluşturmak, diğer tüm uygulamalar için kullanılabilen aynı uygulama yayımlama akışını temel alır. Tek fark, URL'lere ve potansiyel olarak SSO yapılandırmasına joker karakter eklemenizdir.
Önkoşullar
Başlamak için bu gereksinimleri karşıladığınızdan emin olun.
Özel etki alanları
Özel etki alanları diğer tüm uygulamalar için isteğe bağlı olsa da joker karakter uygulamaları için bir önkoşuldur. Özel etki alanları oluşturmak için şunları kullanmanız gerekir:
- Azure'da doğrulanmış bir etki alanı oluşturun.
- UYGULAMA ara sunucunuza PFX biçiminde bir TLS/SSL sertifikası yükleyin.
Oluşturmayı planladığınız uygulamayla eşleştirmek için joker sertifika kullanmayı düşünmelisiniz.
Güvenlik nedeniyle bu zor bir gereksinimdir ve dış URL için özel etki alanı kullanamayan uygulamalar için joker karakterleri desteklemeyeceğiz.
DNS güncelleştirmeleri
Özel etki alanlarını kullanırken, uygulama ara sunucusu uç noktasının dış URL'sine işaret eden dış URL (örneğin, *.adventure-works.com) için CNAME kaydına sahip bir DNS girişi oluşturmanız gerekir. Joker karakter uygulamaları için CNAME kaydının ilgili dış URL'ye işaret etmesi gerekir:
<yourAADTenantId>.tenant.runtime.msappproxy.net
CNAME'nizi doğru yapılandırdığınızdan emin olmak için, hedef uç noktalardan birinde nslookup kullanabilirsiniz; örneğin, expenses.adventure-works.com. Yanıtınız, daha önce bahsedilen diğer adı (<yourAADTenantId>.tenant.runtime.msappproxy.net ) içermelidir.
Varsayılan bölge dışında bir uygulama ara sunucusu bulut hizmeti bölgesine atanmış bağlayıcı gruplarını kullanma
Varsayılan kiracı bölgenizden farklı bölgelerde yüklü bağlayıcılarınız varsa, bu uygulamalara erişimin performansını artırmak için bağlayıcı grubunuzun hangi bölge için iyileştirildiği konusunda değişiklik yapmak yararlı olur. Daha fazla bilgi edinmek için bkz. Bağlayıcı gruplarını en yakın uygulama ara sunucusu bulut hizmetini kullanacak şekilde iyileştirme.
Joker karakter uygulamasına atanan bağlayıcı grubu varsayılan bölgenizden farklı bir bölge kullanıyorsa, CNAME kaydını bölgesel belirli bir dış URL'ye işaret edecek şekilde güncelleştirmeniz gerekir. İlgili URL'yi belirlemek için aşağıdaki tabloyu kullanın:
| Bağlan veya Atanan Bölge | Harici URL |
|---|---|
| Asya | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
| Avustralya | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
| Avrupa | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
| Kuzey Amerika | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Dikkat edilmesi gereken noktalar
Joker karakter uygulamaları için dikkate almanız gereken bazı noktalar aşağıdadır.
Kabul edilen biçimler
Joker karakter uygulamaları için İç URL olarak biçimlendirilmelidir http(s)://*.<domain>.
Dış URL'yi yapılandırırken aşağıdaki biçimi kullanmanız gerekir:https://*.<custom domain>
Joker karakterin, birden çok joker karakterin veya diğer regex dizelerinin diğer konumları desteklenmez ve hatalara neden olur.
Uygulamaları joker karakterden dışlama
Bir uygulamayı joker uygulamadan dışlayabilirsiniz:
- Özel durum uygulamasını normal uygulama olarak yayımlama
- Joker karakteri yalnızca DNS ayarlarınız aracılığıyla belirli uygulamalar için etkinleştirme
Uygulamayı normal uygulama olarak yayımlamak, bir uygulamayı joker karakterden dışlamak için tercih edilen yöntemdir. Özel durumlarınızın en baştan uygulandığından emin olmak için joker karakter uygulamalarından önce dışlanan uygulamaları yayımlamanız gerekir. En özel uygulama her zaman öncelikli olur– olarak budgets.finance.adventure-works.com yayımlanan bir uygulama, uygulamadan *.finance.adventure-works.comönceliklidir ve bu da uygulamadan *.adventure-works.comönceliklidir.
Ayrıca joker karakteri yalnızca DNS yönetiminiz aracılığıyla belirli uygulamalar için çalışacak şekilde sınırlayabilirsiniz. En iyi yöntem olarak, joker karakter içeren ve yapılandırdığınız dış URL'nin biçimiyle eşleşen bir CNAME girdisi oluşturmanız gerekir. Ancak, bunun yerine belirli uygulama URL'lerini joker karakterlere işaret edebilirsiniz. Örneğin, yerine , ve üzerine gelinhr.adventure-works.com000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.net. expenses.adventure-works.comtravel.adventure-works.com individually*.adventure-works.com
Bu seçeneği kullanırsanız, değeri AppId.domain00000000-1a11-22b2-c333-444d4d4dd444.adventure-works.comiçin aynı konuma işaret eden başka bir CNAME girdisine de ihtiyacınız vardır. AppId değerini joker uygulamanın uygulama özellikleri sayfasında bulabilirsiniz:
MyApps panelinin giriş sayfası URL'sini ayarlama
Joker uygulama, MyApps panelinde yalnızca bir kutucukla gösterilir. Varsayılan olarak bu kutucuk gizlenir. Kutucuğu göstermek ve kullanıcıların belirli bir sayfaya inmelerini sağlamak için:
- Giriş sayfası URL'sini ayarlama yönergelerini izleyin.
- Uygulama özellikleri sayfasında Uygulamayı Göster'i true olarak ayarlayın.
Kerberos kısıtlanmış temsili
SSO yöntemi olarak kerberos kısıtlanmış temsili (KCD) kullanan uygulamalar için, SSO yöntemi için listelenen SPN'nin joker karaktere ihtiyacı vardır. Örneğin, SPN şöyle olabilir: HTTP/*.adventure-works.com. Arka uç sunucularınızda (örneğin, HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com) tek tek SPN'leri yapılandırmanız gerekir.
Senaryo 1: Genel joker karakter uygulaması
Bu senaryoda, yayımlamak istediğiniz üç farklı uygulama vardır:
expenses.adventure-works.comhr.adventure-works.comtravel.adventure-works.com
Üç uygulamanın tümü:
- Tüm kullanıcılarınız tarafından kullanılır
- Tümleşik Windows kimlik doğrulamayı kullanma
- Aynı özelliklere sahip
Joker uygulamayı, Microsoft Entra uygulama ara sunucusunu kullanarak uygulamaları yayımlama bölümünde açıklanan adımları kullanarak yayımlayabilirsiniz. Bu senaryoda aşağıdakiler varsayılır:
- Aşağıdaki kimlikle bir kiracı:
000aa000-11b1-2ccc-d333-4444eee4444e - adlı
adventure-works.comdoğrulanmış bir etki alanı yapılandırıldı. - İşaret
*.adventure-works.com000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.neteden bir CNAME girdisi oluşturuldu.
Belgelenen adımları izleyerek kiracınızda yeni bir uygulama ara sunucusu uygulaması oluşturursunuz. Bu örnekte joker karakter aşağıdaki alanlarda yer alır:
İç URL:
Dış URL:
İç Uygulama SPN'si:
Joker uygulamayı yayımlayarak, artık alışkın olduğunuz URL'lere (örneğin, travel.adventure-works.com) giderek üç uygulamanıza erişebilirsiniz.
Yapılandırma aşağıdaki yapıyı uygular:
| Color | Açıklama |
|---|---|
| Mavi | Microsoft Entra yönetim merkezinde açıkça yayımlanan ve görünen uygulamalar. |
| Gri | Üst uygulama üzerinden erişebileceğiniz uygulamalar. |
Senaryo 2: Özel durum içeren genel joker karakter uygulaması
Bu senaryoda, üç genel uygulamaya ek olarak, yalnızca Finans bölümü tarafından erişilebilir olması gereken başka bir uygulamanız finance.adventure-works.comvardır. Geçerli uygulama yapısıyla, finans uygulamanıza joker uygulama üzerinden ve tüm çalışanlar tarafından erişilebilir. Bunu değiştirmek için Finans'ı daha kısıtlayıcı izinlere sahip ayrı bir uygulama olarak yapılandırarak uygulamanızı joker karakterinizin dışında tutabilirsiniz.
Uygulamanın uygulama ara sunucusu sayfasında belirtilen uygulamaya özgü uç noktaya işaret finance.adventure-works.com eden bir CNAME kaydının mevcut olduğundan emin olun. Bu senaryo için öğesine finance.adventure-works.com işaret edin https://finance-awcycles.msappproxy.net/.
Belgelenen adımların ardından bu senaryo aşağıdaki ayarları gerektirir:
İç URL'de joker karakter yerine finans ayarlarsınız.
Dış URL'de joker karakter yerine finans ayarlarsınız.
İç Uygulama SPN'sini joker karakter yerine finans olarak ayarlarsınız.
Bu yapılandırma aşağıdaki senaryoyu uygular:
URL finance.adventure-works.com özeldir. URL *.adventure-works.com belirli değil. Daha belirli BIR URL önceliklidir. Finans Kaynakları uygulamasında belirtilen deneyime sahip olmak için finance.adventure-works.com gezinen kullanıcılar. Bu durumda yalnızca finans çalışanları erişebilir finance.adventure-works.com.
Finans için yayımlanmış birden çok uygulamanız varsa ve doğrulanmış bir etki alanınız varsa finance.adventure-works.com , başka bir joker uygulama *.finance.adventure-works.comyayımlayabilirsiniz. Bu genelden *.adventure-works.comdaha özel olduğundan, bir kullanıcı finans etki alanındaki bir uygulamaya erişirse öncelik kazanır.
Sonraki adımlar
- Özel etki alanları hakkında daha fazla bilgi edinmek için bkz. Microsoft Entra uygulama ara sunucusundaki özel etki alanlarıyla çalışma.
- Uygulamaları yayımlama hakkında daha fazla bilgi edinmek için bkz. Microsoft Entra uygulama ara sunucusunu kullanarak uygulama yayımlama