Windows 驗證 - Kerberos 限制委派與 Microsoft Entra ID

根據服務主體名稱，Kerberos 限制委派 （KCD） 會在資源之間提供限制委派。 它需要網域系統管理員來建立委派，而且僅限於單一網域。 您可以使用以資源為基礎的 KCD，為具有 Active Directory 樹系內多個網域使用者之 Web 應用程式提供 Kerberos 驗證。

Microsoft Entra 應用程式 Proxy 可以提供單一登錄 （SSO） 和遠端存取 KCD 型應用程式，這些應用程式需要 Kerberos 票證才能存取和 Kerberos 限制委派 （KCD）。

若要對使用整合式 Windows 驗證 （IWA） 的內部部署 KCD 應用程式啟用 SSO，請為專用網連接器授與模擬 Active Directory 中的用戶許可權。 專用網連接器會使用此許可權來代表用戶傳送和接收令牌。

使用 KCD 的時機

當需要提供遠端存取、使用預先驗證保護，並提供 SSO 給內部部署 IWA 應用程式時，請使用 KCD。

系統元件

• 使用者：存取 應用程式 Proxy 服務的傳統應用程式。
• 網頁瀏覽器：使用者與之互動的元件，用以存取應用程式的外部 URL。
• Microsoft Entra ID： 驗證使用者。
• 應用程式 Proxy 服務：做為反向 Proxy，將要求從用戶傳送至內部部署應用程式。 它位於 Microsoft Entra ID 中。 應用程式 Proxy 可以強制執行條件式存取原則。
• 專用網連接器： 安裝在 Windows 內部部署伺服器上，以提供應用程式的連線能力。 傳回 Microsoft Entra 識別碼的回應。 執行與 Active Directory 的 KCD 交涉，模擬使用者以取得應用程式的 Kerberos 令牌。
• Active Directory： 將應用程式的 Kerberos 令牌傳送至專用網連接器。
• 舊版應用程式：從 應用程式 Proxy 接收使用者要求的應用程式。 舊版應用程式會傳回對專用網連接器的回應。

使用 Microsoft Entra ID 實作 Windows 驗證 （KCD）

探索下列資源，以深入瞭解如何使用 Microsoft Entra ID 實作 Windows 驗證 （KCD）。

• Microsoft Entra ID 中具有 應用程式 Proxy 的 Kerberos 型單一登錄 （SSO） 描述必要條件和設定步驟。
• 教學課程 - 新增內部部署應用程式 - Microsoft Entra ID 中的 應用程式 Proxy 可協助您準備環境以搭配 應用程式 Proxy 使用。

下一步

• Microsoft Entra 驗證和同步處理通訊協定概觀 描述與驗證和同步處理通訊協定的整合。 驗證整合可讓您使用 Microsoft Entra ID 及其安全性和管理功能，且對使用舊版驗證方法的應用程式幾乎沒有變更或沒有任何變更。 同步處理整合可讓您將使用者和群組數據同步處理至 Microsoft Entra ID，然後使用者 Microsoft Entra 管理功能。 某些同步模式可啟用自動化布建。
• 使用 應用程式 Proxy 瞭解與內部部署應用程式的單一登錄，說明 SSO 如何讓使用者存取應用程式，而不需多次驗證。 SSO 會針對 Microsoft Entra ID 在雲端中發生，並允許服務或 連線 程式模擬使用者，以完成來自應用程式的驗證挑戰。
• 使用 Microsoft Entra 應用程式 Proxy 之內部部署應用程式的安全性判斷提示標記語言 （SAML） 單一登入說明如何透過 應用程式 Proxy 提供使用 SAML 驗證保護的內部部署應用程式的遠端存取。