Як забезпечити безпечний віддалений доступ до локальних додатків, microsoft docs

В цій статті

Але є більш ефективний спосіб!

Повсюдне використання мобільних і хмарних рішень передбачає наявність працюючих рішень для віддаленого доступу. Проксі додатки Azure AD - це пропозиція Azure Active Directory в форматі "віддалений доступ як послуга". Це означає, що ви можете не тільки легко розгортати і використовувати це рішення, але і керувати ним.

Примітка

Щоб дізнатися, чи підтримуються певні функції вашого типу ліцензії, перейдіть на сторінку з цінами на Azure Active Directory.

Що таке проксі додатки Azure Active Directory?

Чому краще використовувати проксі програми?

Проксі додатки Azure AD - це просте, безпечне і економічне рішення для організації доступу до всіх ваших локальних додатків.

Характеристики проксі додатки Azure AD:

Які програми підтримують проксі програми?

Проксі додатки Azure AD надає доступ до різних типів внутрішніх додатків:

  • веб-додатки, що використовують вбудовану перевірку автентичності Windows;
  • веб-додатки, що використовують доступ на основі форм або заголовків;
  • веб-API, що надаються для повнофункціональних додатків на різних пристроях;
  • додатки, які розміщуються за шлюзом віддалених робочих столів.
  • повнофункціональні клієнтські програми, інтегровані з бібліотекою аутентифікації Active Directory (ADAL).

Як працює проксі програми?

Є два компонента, необхідні для роботи проксі програми: з'єднувач і зовнішня кінцева точка.

З'єднувач - це спрощений агент, який знаходиться в Windows Server в мережі, що спрощує передачу трафіку зі служби проксі додатки в хмарі до локального додатком. Він використовує тільки вихідні підключення, так що вам не потрібно відкривати вхідні порти або поміщати компоненти в мережу периметра. З'єднувачі не мають стану і при необхідності витягають відомості з хмари. Додаткові відомості про соединителях (наприклад, як відбувається їх балансування навантаження і аутентифікація) см. В статті Відомості про соединителях проксі додатки Azure AD.

Як забезпечити безпечний віддалений доступ до локальних додатків, microsoft docs

  1. Користувач, який звертається до додатка через службу проксі додатки, перенаправляється на сторінку входу в Azure AD для аутентифікації.
  2. Після успішного входу створюється токен і передається на клієнтський пристрій.
  3. Клієнт відправляє токен в службу проксі додатки, яка витягує з нього ім'я учасника-користувача (UPN) та ім'я суб'єкта безпеки (SPN), а потім направляє запит до з'єднувачі проксі програми.
  4. Якщо ви налаштували єдиний вхід, то з'єднувач виконує необхідну додаткову аутентифікацію від імені користувача.
  5. З'єднувач відправляє запит локальному додатком.
  6. Відповідь відправляється користувачеві через службу проксі програми та з'єднувач.

єдиний вхід

Проксі додатки Azure AD надає єдиний вхід для додатків, які використовують вбудовану перевірку автентичності Windows (IWA) або підтримують твердження. Якщо додаток використовує вбудовану аутентифікацію Windows, проксі додатки уособлює користувача за допомогою обмеженого делегування Kerberos, щоб надати єдиний вхід. Якщо у вас є додаток з підтримкою тверджень, яке довіряє Azure Active Directory, єдиний вхід для додатка працює, так як користувач вже пройшов перевірку автентичності в Azure AD.

Додаткові відомості про Kerberos см. В запису блогу All you want to know about Kerberos Constrained Delegation (KCD) (Все, що ви хотіли знати про обмежений делегування Kerberos (KCD)).

управління додатками

Початок роботи

Перш ніж налаштовувати проксі додатки, переконайтеся, що у вас є підтримуваний випуск Azure Active Directory і каталог Azure AD, глобальним адміністратором якого ви є.

Почніть роботу з проксі додатки в два етапи:

Що далі?