Ověřování systému Windows – Omezené delegování protokolu Kerberos s ID Microsoft Entra
Na základě názvů instančních objektů poskytuje omezené delegování kerberos (KCD) omezené delegování mezi prostředky. Vyžaduje, aby správci domény vytvořili delegování a je omezena na jednu doménu. Pomocí KCD založeného na prostředcích můžete poskytnout ověřování Kerberos pro webovou aplikaci, která má uživatele ve více doménách v doménové struktuře služby Active Directory.
Proxy aplikace Microsoft Entra může poskytovat jednotné přihlašování (SSO) a vzdálený přístup k aplikacím založeným na KCD, které vyžadují lístek Kerberos pro přístup a omezené delegování Kerberos (KCD).
Pokud chcete povolit jednotné přihlašování k místním aplikacím KCD, které používají integrované ověřování Systému Windows (IWA), udělte privátním síťovým konektorům oprávnění k zosobnění uživatelů ve službě Active Directory. Privátní síťový konektor používá toto oprávnění k odesílání a přijímání tokenů jménem uživatele.
KCD použijte, když potřebujete poskytovat vzdálený přístup, chránit pomocí předběžného ověřování a poskytovat jednotné přihlašování k místním aplikacím IWA.
- Uživatel: Přistupuje ke starší verzi aplikace, která proxy aplikací slouží.
- Webový prohlížeč: Komponenta, se kterou uživatel pracuje pro přístup k externí adrese URL aplikace.
- Microsoft Entra ID: Ověřuje uživatele.
- služba proxy aplikací: Funguje jako reverzní proxy pro odesílání požadavků od uživatele do místní aplikace. Nachází se v Microsoft Entra ID. proxy aplikací může vynutit zásady podmíněného přístupu.
- Privátní síťový konektor: Je nainstalovaný na místních serverech s Windows, aby se zajistilo připojení k aplikaci. Vrátí odpověď na Microsoft Entra ID. Provede vyjednávání KCD se službou Active Directory a zosobní uživatele, aby získal token Kerberos pro aplikaci.
- Active Directory: Odešle token Kerberos pro aplikaci do privátního síťového konektoru.
- Starší verze aplikací: Aplikace, které přijímají žádosti uživatelů z proxy aplikací. Starší verze aplikací vrátí odpověď na privátní síťový konektor.
Další informace o implementaci ověřování systému Windows (KCD) pomocí Microsoft Entra ID najdete v následujících zdrojích informací.
- Jednotné přihlašování založené na protokolu Kerberos (SSO) v Microsoft Entra ID s proxy aplikací popisuje požadavky a kroky konfigurace.
- Kurz – Přidání místní aplikace – proxy aplikací v Microsoft Entra ID vám pomůže připravit prostředí pro použití s proxy aplikací.
- Přehled ověřovacího a synchronizačního protokolu Microsoft Entra popisuje integraci s protokoly ověřování a synchronizace. Integrace ověřování umožňují používat MICROSOFT Entra ID a její funkce zabezpečení a správy s malými nebo žádnými změnami aplikací, které používají starší metody ověřování. Integrace synchronizace umožňují synchronizovat data uživatelů a skupin do Microsoft Entra ID a potom uživatele Microsoft Entra management schopností. Některé vzory synchronizace umožňují automatizované zřizování.
- Vysvětlení jednotného přihlašování pomocí místní aplikace pomocí proxy aplikací popisuje, jak jednotné přihlašování umožňuje uživatelům přistupovat k aplikaci bez ověřování vícekrát. Jednotné přihlašování probíhá v cloudu proti ID Microsoft Entra a umožňuje službě nebo Připojení, aby zosobnění uživatele zosobnit kvůli dokončení problémů s ověřováním z aplikace.
- Jednotné přihlašování SAML (Security Assertion Markup Language) pro místní aplikace pomocí proxy aplikací Microsoft Entra popisuje, jak můžete poskytnout vzdálený přístup k místním aplikacím zabezpečeným ověřováním SAML prostřednictvím proxy aplikací.