Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Na základě názvů služebních hlavních identit poskytuje Kerberos Constrained Delegation (KCD) omezené delegování mezi prostředky. Vyžaduje, aby správci domény vytvořili delegování a je omezena na jednu doménu. Pomocí KCD založeného na prostředcích můžete poskytnout ověřování Kerberos pro webovou aplikaci, která má uživatele ve více doménách v doménové struktuře služby Active Directory.
Proxy aplikace Microsoft Entra může poskytovat jednotné přihlašování (SSO) a vzdálený přístup k aplikacím založeným na KCD, které vyžadují lístek Kerberos pro přístup a omezené delegování Kerberos (KCD).
Pokud chcete povolit jednotné přihlašování k místním aplikacím KCD, které používají integrované ověřování Systému Windows (IWA), udělte privátním síťovým konektorům oprávnění k zosobnění uživatelů ve službě Active Directory. Privátní síťový konektor používá toto oprávnění k odesílání a přijímání tokenů jménem uživatele.
Kdy použít KCD
KCD použijte, když potřebujete poskytovat vzdálený přístup, chránit pomocí předběžného ověřování a poskytovat jednotné přihlašování k místním aplikacím IWA.
Součásti systému
- Uživatel: Přistupuje ke starší aplikaci, kterou zprostředkovává aplikační proxy.
- Webový prohlížeč: Komponenta, se kterou uživatel pracuje pro přístup k externí adrese URL aplikace.
- ID Microsoft Entra: Ověřuje uživatele.
- Služba proxy aplikací: Funguje jako reverzní proxy pro odesílání požadavků od uživatele do místní aplikace. Nachází se v Microsoft Entra ID. Proxy aplikací může vynutit zásady podmíněného přístupu.
- Konektor privátní sítě: Instaluje se na místní servery s Windows, aby se zajistilo připojení k aplikaci. Vrátí odpověď systému Microsoft Entra ID. Provede vyjednávání KCD se službou Active Directory a zosobní uživatele, aby získal token Kerberos pro aplikaci.
- Active Directory: Odešle token Kerberos pro aplikaci do privátního síťového konektoru.
- Starší verze aplikací: Aplikace, které přijímají žádosti uživatelů z proxy aplikací Starší verze aplikací vrátí odpověď na privátní síťový konektor.
Implementace ověřování systému Windows (KCD) s ID Microsoft Entra
Další informace o implementaci ověřování systému Windows (KCD) pomocí Microsoft Entra ID najdete v následujících zdrojích informací.
- Jednotné přihlašování založené na protokolu Kerberos v Microsoft Entra ID s proxy aplikací popisuje požadavky a kroky konfigurace.
- Kurz – Přidání místní aplikace – Proxy aplikací v Microsoft Entra ID vám pomůže připravit vaše prostředí pro použití s proxy aplikací.
Další kroky
- Přehled ověřovacího a synchronizačního protokolu Microsoft Entra popisuje integraci s protokoly ověřování a synchronizace. Integrace ověřování umožňují používat MICROSOFT Entra ID a její funkce zabezpečení a správy s malými nebo žádnými změnami aplikací, které používají starší metody ověřování. Synchronizační integrace umožňují synchronizovat data uživatelů a skupin do Microsoft Entra ID a následně využívat možnosti správy Microsoft Entra. Některé vzory synchronizace umožňují automatizované zřizování.
- Vysvětlení jednotného přihlašování pomocí místní aplikace pomocí proxy aplikací popisuje, jak jednotné přihlašování umožňuje uživatelům přistupovat k aplikaci bez ověřování vícekrát. SSO probíhá v cloudu pomocí Microsoft Entra ID a umožňuje službě nebo konektoru jednat jménem uživatele, aby zvládl výzvy k ověření z aplikace.
- Jednotné přihlašování SAML (Security Assertion Markup Language) pro místní aplikace s proxy aplikací Microsoft Entra popisuje, jak můžete poskytnout vzdálený přístup k místním aplikacím zabezpečeným ověřováním SAML prostřednictvím proxy aplikací.