استخدام بروتوكول تطبيق لاسلكي كوكيل ويب عكسي

  • 10 دقائق

وكيل تطبيق ويب هو خدمة دور الوصول عن بعد. تعمل خدمة الدور هذه كوكيل ويب عكسي، وتوفر للمستخدمين الموجودين على الإنترنت إمكانية الوصول إلى تطبيقات الويب الداخلية للشركات أو خوادم Remote Desktop Gateway. يمكن لوكيل تطبيق الويب استخدام AD FS للمصادقة المسبقة لمستخدمي الإنترنت ويعمل كوكيل AD FS لنشر التطبيقات المدركة للمطالبات.

إشعار

يمكن للتطبيق المدرك للمطالبات استخدام أي معلومات حول مستخدم مثل عضوية المجموعة أو عنوان البريد الإلكتروني أو القسم أو الشركة كجزء من تخويل المستخدم.

قبل تثبيت وكيل تطبيق ويب، يجب نشر AD FS كشرط أساسي. يستخدم وكيل تطبيق الويب AD FS لخدمات المصادقة. إحدى الميزات التي يوفرها AD FS هي وظيفة تسجيل الدخول الأحادي، ما يعني أنه إذا أدخل المستخدمون بيانات اعتمادهم للوصول إلى تطبيق ويب الشركة مرة واحدة، فلن يطلب منهم إدخال بيانات الاعتماد الخاصة بهم مرة أخرى للوصول لاحقا إلى تطبيق ويب الشركة. يمكنك أيضا استخدام AD FS لمصادقة المستخدمين في وكيل تطبيق الويب قبل أن يتصل المستخدمون بالتطبيق.

يعد وضع خادم وكيل تطبيق الويب في الشبكة المحيطة بين جهازي جدار الحماية تكوينا نموذجيا. يوجد خادم AD FS والتطبيقات المنشورة على شبكة الشركة، بالإضافة إلى وحدات التحكم بالمجال والخوادم الداخلية الأخرى، محمية بجدار الحماية الثاني. يوفر هذا السيناريو وصولا آمنا إلى تطبيقات الشركات للمستخدمين الموجودين على الإنترنت، وفي الوقت نفسه يحمي البنية الأساسية لتطبيق المعلومات للشركات من التهديدات الأمنية على الإنترنت.

رسم تخطيطي يعرض بنية WAP نموذجية.

خيارات المصادقة لوكيل تطبيق ويب

عند تكوين تطبيق في وكيل تطبيق ويب، تحتاج إلى تحديد نوع المصادقة المسبقة. يمكنك اختيار المصادقة المسبقة ل AD FS أو المصادقة المسبقة التمريرية. توفر المصادقة المسبقة ل AD FS المزيد من الميزات والمزايا، ولكن المصادقة المسبقة التمريرية متوافقة مع جميع تطبيقات الويب.

المصادقة المسبقة ل AD FS

تستخدم المصادقة المسبقة ل AD FS AD FS لتطبيقات الويب التي تستخدم المصادقة المستندة إلى المطالبات. عندما يبدأ المستخدم اتصالا بتطبيق ويب الشركة، فإن نقطة الإدخال الأولى التي يتصل بها المستخدم هي وكيل تطبيق الويب. يقوم وكيل تطبيق الويب بمصادقة المستخدم مسبقا في خادم AD FS. إذا نجحت المصادقة، يقوم وكيل تطبيق ويب بإنشاء اتصال بخادم الويب في شبكة الشركة حيث تتم استضافة التطبيق.

باستخدام المصادقة المسبقة ل AD FS، يمكنك التأكد من أن المستخدمين المعتمدين فقط يمكنهم إرسال حزم البيانات إلى تطبيق الويب. وهذا يمنع المتسللين من الاستفادة من عيوب تطبيق الويب قبل المصادقة. تقلل المصادقة المسبقة ل AD FS بشكل كبير من سطح الهجوم لتطبيق ويب.

المصادقة المسبقة التمريرية

لا تستخدم المصادقة المسبقة التمريرية AD FS للمصادقة، ولا يقوم وكيل تطبيق الويب بمصادقة المستخدم مسبقا. بدلا من ذلك، يتصل المستخدم بتطبيق الويب من خلال وكيل تطبيق ويب. يقوم وكيل تطبيق الويب بإعادة بناء حزم البيانات أثناء تسليمها إلى تطبيق الويب، والذي يوفر الحماية من العيوب مثل الحزم التي تم تكوينها بشكل غير سليم. ومع ذلك، يمر جزء البيانات من الحزمة إلى تطبيق الويب. تطبيق الويب مسؤول عن مصادقة المستخدمين.

مزايا المصادقة المسبقة ل AD FS

توفر المصادقة المسبقة ل AD FS المزايا التالية عبر المصادقة المسبقة التمريرية:

  • تسجيل دخول أحادي. تمكين المستخدمين الذين تمت مصادقتهم مسبقا بواسطة AD FS من إدخال بيانات الاعتماد الخاصة بهم مرة واحدة فقط. إذا كان المستخدمون يصلون لاحقا إلى التطبيقات الأخرى التي تستخدم AD FS للمصادقة، فلن تتم مطالبتهم مرة أخرى ببيانات الاعتماد الخاصة بهم.
  • المصادقة متعددة العوامل. تسمح لك المصادقة متعددة العوامل بتكوين أنواع متعددة من بيانات الاعتماد لتعزيز الأمان. على سبيل المثال، يمكنك تكوين النظام بحيث يقوم المستخدمون بإدخال اسم المستخدم وكلمة المرور مع بطاقة ذكية.
  • التحكم في الوصول متعدد العوامل. عناصر التحكم في الوصول متعددة العوامل المستخدمة في المؤسسات التي ترغب في تعزيز أمانها عند نشر تطبيقات الويب عن طريق تنفيذ قواعد المطالبة بالتخويل. يتم تكوين القواعد بحيث تصدر إما تصريحا أو مطالبة رفض، والتي تحدد ما إذا كان المستخدم أو المجموعة مسموحا به أو مرفوضا الوصول إلى تطبيق ويب يستخدم المصادقة المسبقة ل AD FS.

نشر التطبيقات باستخدام وكيل تطبيق ويب

بعد تثبيت خدمة دور وكيل تطبيق ويب، يمكنك تكوينها باستخدام معالج تكوين وكيل تطبيق ويب من وحدة تحكم إدارة الوصول عن بعد. عند اكتمال معالج تكوين وكيل تطبيق ويب، فإنه ينشئ وحدة تحكم وكيل تطبيق ويب، والتي يمكنك استخدامها لمزيد من الإدارة والتكوين لوكيل تطبيق ويب.

يتطلب معالج تكوين وكيل تطبيق ويب إدخال المعلومات التالية أثناء عملية التكوين الأولية:

  • اسم AD FS. لتحديد موقع هذا الاسم، افتح وحدة تحكم AD FS Management، وضمن تحرير خصائص خدمة الاتحاد، ابحث عن القيمة في مربع اسم خدمة الاتحاد.
  • بيانات اعتماد حساب المسؤول المحلي ل AD FS.
  • شهادة وكيل AD FS. هذه شهادة سيستخدمها وكيل تطبيق ويب لوظيفة وكيل AD FS.

تلميح

يجب أن تحتوي شهادة وكيل AD FS على اسم AD FS في حقل موضوع الشهادة لأن معالج تكوين وكيل تطبيق ويب يتطلب ذلك. بالإضافة إلى ذلك، يجب أن يتضمن حقل الأسماء البديلة للموضوع للشهادة اسم AD FS.

بعد إكمال معالج تكوين وكيل تطبيق ويب، يمكنك نشر تطبيق الويب الخاص بك باستخدام وحدة تحكم وكيل تطبيق الويب أو أوامر cmdlets ل Windows PowerShell. أوامر Windows PowerShell cmdlets لإدارة التطبيقات المنشورة هي:

  • Add-WebApplicationProxyApplication
  • Get-WebApplicationProxyApplication
  • Set-WebApplicationProxyApplication

عند نشر تطبيق الويب الخاص بك، يجب توفير المعلومات التالية:

  • نوع المصادقة المسبقة، على سبيل المثال، التمرير.
  • التطبيق المراد نشره.
  • عنوان URL الخارجي للتطبيق، على سبيل المثال، https://lon-svr1.adatum.com.
  • شهادة يغطي اسم موضوعها عنوان URL الخارجي، على سبيل المثال، lon-svr1.adatum.com.
  • عنوان URL للخادم الخلفي، والذي يتم إدخاله تلقائيا عند إدخال عنوان URL الخارجي.