使用 Microsoft Entra 應用程式 Proxy 進行內部部署應用程式的標頭型單一登入 (SSO)
Microsoft Entra 應用程式 Proxy 原生支援單一登入 (SSO) 存取使用標頭進行驗證的應用程式。 您可以在 Microsoft Entra ID 中設定應用程式所需的標頭值。 標頭值會透過應用程式 Proxy 傳送至應用程式。 使用原生支援搭配應用程式 Proxy 進行標頭型驗證的優點包括:
簡化內部部署應用程式的 遠端存取 - 應用程式 Proxy 可簡化您現有的遠端存取架構。 您將取代這些應用程式的虛擬專用網 (VPN) 存取權。 您可以移除內部部署身分識別解決方案的相依性以進行驗證。 您可以簡化用戶的體驗,而且他們在使用公司應用程式時不會注意到任何不同之處。 用戶可以隨時隨地在任何裝置上工作。
您的應用程式沒有額外的軟體或變更 - 您使用現有的專用網連接器。 不需要額外的軟體。
可用的 屬性和轉換的廣泛清單 - 所有可用的標頭值都是以 Microsoft Entra ID 所發出的標準宣告為基礎。 所有屬性和轉換都可用來設定安全性判斷提示標記語言 (SAML) 或 OpenID 連線 (OIDC) 應用程式的宣告,也可以當做標頭值使用。
必要條件
啟用應用程式 Proxy,並安裝具有應用程式直接網路存取權的連接器。 若要深入瞭解,請參閱 新增內部部署應用程式以透過應用程式 Proxy 進行遠端訪問。
支援的功能
下表列出標頭型驗證應用程式所需的一般功能。
| 需求 | 描述 |
|---|---|
| 同盟 SSO | 在預先驗證模式中,所有應用程式都會受到 Microsoft Entra 驗證的保護,且使用者具有單一登錄。 |
| 遠端存取 | 應用程式 Proxy 提供應用程式的遠端存取。 使用者使用外部統一資源定位器(URL)從因特網存取應用程式。 應用程式 Proxy 不適用於一般公司存取。 如需一般公司存取,請參閱 Microsoft Entra 私人存取。 |
| 標頭式整合 | 應用程式 Proxy 會處理與 Microsoft Entra ID 的 SSO 整合,然後將身分識別或其他應用程式數據當做 HTTP 標頭傳遞至應用程式。 |
| 應用程式授權 | 一般原則是根據所存取的應用程式、使用者的群組成員資格和其他原則來指定。 在 Microsoft Entra ID 中,會使用 條件式存取來實作原則。 應用程式授權原則僅會套用至初始驗證要求。 |
| 升級驗證 | 原則的定義是強制新增的驗證,例如取得敏感性資源的存取權。 |
| 細部授權 | 提供 URL 層級的存取控制。 可以根據要存取的 URL 來強制執行額外的原則。 為應用程式設定的內部URL會定義套用原則的應用程式範圍。 系統會強制執行針對最細微路徑所設定的原則。 |
注意
本文說明使用應用程式 Proxy 的標頭型驗證應用程式與 Microsoft Entra ID 之間的連線,是建議的模式。 或者,有一種整合模式會使用 PingAccess 搭配 Microsoft Entra ID 來啟用標頭型驗證。 如需詳細資訊,請參閱 使用應用程式 Proxy 和 PingAccess 進行單一登錄的標頭型驗證。
運作方式
- 管理員 會在 Microsoft Entra 系統管理中心自定義應用程式所需的屬性對應。
- 應用程式 Proxy 可確保使用者使用 Microsoft Entra ID 進行驗證。
- 應用程式 Proxy 雲端服務,可感知所需的屬性。 因此,服務會從在驗證期間收到的識別碼權杖擷取對應的宣告。 接著,服務會將這些值轉譯為所需的 HTTP 標頭,作為要傳送至連接器之要求的一部分。
- 接著,系統會將要求傳遞至連接器,然後將其傳遞給後端應用程式。
- 應用程式會接收標頭,而且可以視需要使用這些標頭。
使用應用程式 Proxy 發佈應用程式
根據使用應用程式 Proxy 發佈應用程式中所述的指示發佈應用程式。
- 內部 URL 值會決定應用程式的範圍。 您可以在應用程式的根路徑上設定內部 URL 值,而根目錄底下的所有子路徑都會收到相同的標頭和應用程式組態。
- 建立新的應用程式,以針對比您設定的應用程式更細微的路徑,設定不同的標頭設定或使用者指派。 在新應用程式中,使用您需要的特定路徑來設定內部URL,然後設定此URL所需的特定標頭。 應用程式 Proxy 一律符合您的組態設定,以符合應用程式最細微的路徑。
選取 [Microsoft Entra ID ] 作為 預先驗證方法。
流覽至 [使用者和群組] 並指派適當的使用者和群組 ,以指派測試使用者。
開啟瀏覽器,然後從應用程式 Proxy 設定流覽至 [外部 URL ]。
確認您可以連線到應用程式。 即使您可以連線,您仍無法存取應用程式,因為標頭尚未設定。
設定單一登入
開始使用標頭型應用程式的單一登錄之前,請先安裝專用網連接器。 連接器必須能夠存取目標應用程式。 若要深入瞭解,請參閱 教學課程:Microsoft Entra 應用程式 Proxy。
- 您的應用程式出現在企業應用程式清單中之後,請加以選取,然後選取 [ 單一登錄]。
- 將單一登錄模式設定為 標頭型。
- 在 [基本設定] 中,會選取 [Microsoft Entra ID] 作為預設值。
- 在 [標頭] 中 選取編輯鉛筆,以設定 要傳送至應用程式的標頭。
- 選取 [ 新增標頭]。 提供標頭的名稱,然後選取 [屬性 ] 或 [轉換 ],然後從應用程式所需的標頭下拉式清單中選取 。
- 若要深入瞭解可用的屬性清單,請參閱 宣告自定義專案 - 屬性。
- 若要深入瞭解可用的轉換清單,請參閱 宣告自定義 - 宣告轉換。
- 您可以新增 群組標頭。 若要深入了解如何將群組設定為值,請參閱:設定應用程式的群組宣告。
- 選取 [儲存]。
測試您的應用程式
應用程式現在正在執行且可供使用。 若要測試應用程式:
- 開啟新的瀏覽器或私人瀏覽器視窗,以清除先前快取的標頭。
- 流覽至外部 URL。 您可以在應用程式 Proxy 設定中找到此設定列為 外部 URL 。
- 使用您指派給應用程式的測試帳戶登入。
- 確認您可以使用 SSO 載入並登入應用程式。
考量
- 應用程式 Proxy 可讓您遠端存取內部部署或私人雲端上的應用程式。 不建議針對源自與預期應用程式相同網路內的流量使用應用程式 Proxy。
- 標頭型驗證應用程式的存取應該僅限於來自連接器或其他允許標頭型驗證解決方案的流量。 存取限制通常是使用應用程式伺服器上的防火牆或IP限制來執行。