Jednotné přihlašování založené na hlavičce pro místní aplikace s proxy aplikací Microsoft Entra

Proxy aplikací Microsoft Entra nativně podporuje přístup jednotného přihlašování (SSO) k aplikacím, které k ověřování používají hlavičky. Hodnoty hlaviček vyžadované vaší aplikací nakonfigurujete v Microsoft Entra ID. Hodnoty hlaviček se odesílají do aplikace prostřednictvím proxy aplikace. Mezi výhody použití nativní podpory ověřování na základě hlaviček s proxy aplikací patří:

  • Zjednodušení vzdáleného přístupu k místním aplikacím – Proxy aplikací zjednodušuje stávající architekturu vzdáleného přístupu. Přístup k těmto aplikacím nahradíte virtuální privátní sítí (VPN). Odeberete závislosti na místních řešeních identit pro ověřování. Zjednodušíte prostředí pro uživatele a při používání podnikových aplikací si nevšimnou nic jiného. Uživatelé můžou pracovat odkudkoli na libovolném zařízení.

  • Žádný další software ani změny aplikací – používáte stávající konektory proxy aplikací. Nevyžaduje se žádný další software.

  • Široký seznam dostupných atributů a transformací – Všechny dostupné hodnoty hlaviček jsou založené na standardních deklaracích, které vydává Microsoft Entra ID. Všechny atributy a transformace dostupné pro konfiguraci deklarací identity pro aplikace SAML (Security Assertion Markup Language) nebo OpenID Připojení (OIDC) jsou také k dispozici jako hodnoty hlaviček.

Požadavky

Povolte proxy aplikací a nainstalujte konektor, který má přímý síťový přístup k vašim aplikacím. Další informace najdete v tématu Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací.

Podporované funkce

V tabulce jsou uvedeny běžné možnosti vyžadované pro ověřovací aplikace založené na hlavičce.

Požadavek Popis
Federované jednotné přihlašování V předběžném režimu jsou všechny aplikace chráněny ověřováním Microsoft Entra a uživatelé mají jednotné přihlašování.
Vzdálený přístup Proxy aplikace poskytuje vzdálený přístup k aplikaci. Uživatelé přistupuje k aplikaci z internetu v libovolném webovém prohlížeči pomocí externího lokátoru uniform Resource Locator (URL). Proxy aplikací není určený pro obecný podnikový přístup. Obecný podnikový přístup najdete v tématu Microsoft Entra Soukromý přístup.
Integrace na základě hlaviček Proxy aplikace zpracovává integraci jednotného přihlašování s ID Microsoft Entra a pak předává identitu nebo jiná data aplikace jako hlavičky HTTP do aplikace.
Ověřování aplikací Běžné zásady se zadají na základě přístupu k aplikaci, členství ve skupině uživatele a dalších zásad. V Microsoft Entra ID se zásady implementují pomocí podmíněného přístupu. Zásady ověřování aplikací se vztahují jen na počáteční požadavek na ověření.
Stupňované ověřování Zásady jsou definovány tak, aby vynutily přidané ověřování, například pro získání přístupu k citlivým prostředkům.
Jemně odstupňovaná autorizace Nabízí řízení přístupu na úrovni adresy URL. Podle adresy URL, ke které se přistupuje, je možné vynucovat další zásady. Interní adresa URL nakonfigurovaná pro aplikaci definuje obor aplikace, na kterou se zásada použije. Vynucují se zásady nakonfigurované pro nejpodrobněji nastavenou cestu.

Poznámka:

Tento článek popisuje propojení mezi ověřovacími aplikacemi založenými na hlavičce a ID Microsoft Entra pomocí proxy aplikace a je doporučeným vzorem. Jako alternativu existuje model integrace, který k povolení ověřování založeného na hlavičce používá PingAccess s ID Microsoft Entra. Další informace najdete v tématu Ověřování na základě hlaviček pro jednotné přihlašování pomocí proxy aplikací a PingAccess.

Jak to funguje

How header-based single sign-on works with application proxy.

  1. Správa přizpůsobí mapování atributů vyžadovaných aplikací v Centru pro správu Microsoft Entra.
  2. Proxy aplikace zajišťuje, že se uživatel ověří pomocí ID Microsoft Entra.
  3. Cloudová služba proxy aplikací má informace o požadovaných atributech. Proto služba načte odpovídající deklarace identity z tokenu ID přijatého při ověřování. Pak služba v rámci požadavku na konektor přeloží hodnoty do požadovaných hlaviček HTTP.
  4. Následně se požadavek předá konektoru, který se pak celý předá back-endové aplikaci.
  5. Aplikace obdrží hlavičky, které může použít podle potřeby.

Publikování aplikace pomocí proxy aplikací

  1. Publikujte aplikaci podle pokynů popsaných v části Publikovat aplikace pomocí proxy aplikace.

    • Interní hodnota adresy URL určuje rozsah aplikace. Nakonfigurujete interní hodnotu adresy URL v kořenové cestě aplikace a všechny dílčí cesty pod kořenem obdrží stejnou hlavičku a konfiguraci aplikace.
    • Vytvořte novou aplikaci, která nastaví jinou konfiguraci hlaviček nebo přiřazení uživatele pro podrobnější cestu než aplikace, kterou jste nakonfigurovali. V nové aplikaci nakonfigurujte interní adresu URL s konkrétní cestou, kterou požadujete, a pak nakonfigurujte konkrétní hlavičky potřebné pro tuto adresu URL. Proxy aplikace se vždy shoduje s nastavením konfigurace s nejpodrobnější cestou nastavenou pro aplikaci.
  2. Jako metodu předběžného ověřování vyberte ID Microsoft Entra.

  3. Přiřaďte testovacího uživatele tak, že přejdete na Uživatele a skupiny a přiřadíte příslušné uživatele a skupiny.

  4. Otevřete prohlížeč a přejděte na externí adresu URL z nastavení proxy aplikace.

  5. Ověřte, že se můžete připojit k aplikaci. I když se můžete připojit, nemůžete k aplikaci získat přístup, protože hlavičky nejsou nakonfigurované.

Konfigurace jednotného přihlašování

Než začnete používat jednotné přihlašování pro aplikace založené na hlavičce, nainstalujte konektor proxy aplikací. Konektor musí mít přístup k cílovým aplikacím. Další informace najdete v tématu Kurz: Proxy aplikace Microsoft Entra.

  1. Jakmile se aplikace zobrazí v seznamu podnikových aplikací, vyberte ji a vyberte Jednotné přihlašování.
  2. Nastavte režim jednotného přihlašování na základě hlaviček.
  3. V základní konfiguraci je jako výchozí vybráno Microsoft Entra ID.
  4. Výběrem tužky pro úpravy v záhlaví nakonfigurujte záhlaví, která se mají odeslat do aplikace.
  5. Vyberte Přidat nové záhlaví. Zadejte název záhlaví a vyberte atribut nebo transformaci a vyberte z rozevíracího seznamu, které vaše aplikace potřebuje.
  6. Zvolte Uložit.

Testování aplikace

Aplikace je teď spuštěná a dostupná. Otestování aplikace:

  1. Vymažte dříve uložená záhlaví v mezipaměti otevřením nového prohlížeče nebo soukromého okna prohlížeče.
  2. Přejděte na externí adresu URL. Toto nastavení je uvedené jako externí adresa URL v nastavení proxy aplikace.
  3. Přihlaste se pomocí testovacího účtu, který jste přiřadili k aplikaci.
  4. Ověřte, že můžete načíst aplikaci a přihlásit se pomocí jednotného přihlašování.

Důležité informace

  • Proxy aplikací poskytuje vzdálený přístup k místním aplikacím nebo privátnímu cloudu. Proxy aplikací se nedoporučuje pro provoz pocházející ze stejné sítě jako zamýšlená aplikace.
  • Přístup k ověřovacím aplikacím založeným na hlavičce by měl být omezen pouze na provoz z konektoru nebo jiného povoleného řešení ověřování založeného na hlavičce. Omezení přístupu se běžně provádí pomocí brány firewall nebo omezení PROTOKOLU IP na aplikačním serveru.

Další kroky