Brug WAP som omvendt webproxy

  • 10 minutter

Webprogramproxy er en rolletjeneste for Fjernadgang. Denne rolletjeneste fungerer som en omvendt webproxy og giver brugere, der er placeret på internettet, adgang til interne virksomhedswebprogrammer eller Gatewayservere til Fjernskrivebord. Web Application Proxy kan bruge AD FS til at forhåndsauthenticere internetbrugere og fungerer som en AD FS-proxy til publicering af kravbaserede programmer.

Bemærk

Et program, der er opmærksom på krav, kan bruge alle oplysninger om en bruger, f.eks. gruppemedlemskab, mailadresse, afdeling eller virksomhed som en del af brugergodkendelsen.

Før du installerer webprogramproxy, skal du installere AD FS som en forudsætning. Web application proxy bruger AD FS til godkendelsestjenester. En funktion, der leveres af AD FS, er SSO-funktionalitet, hvilket betyder, at hvis brugerne angiver deres legitimationsoplysninger for at få adgang til et firmawebprogram én gang, bliver de ikke bedt om at angive deres legitimationsoplysninger igen for efterfølgende adgang til virksomhedens webprogram. Du kan også bruge AD FS til at godkende brugere på webprogramproxy, før brugerne kommunikerer med programmet.

Det er en typisk konfiguration at placere proxyserveren for webprogrammet i perimeternetværket mellem to firewallenheder. AD FS-serveren og de programmer, der udgives, er placeret på virksomhedens netværk og er sammen med domænecontrollere og andre interne servere beskyttet af den anden firewall. Dette scenarie giver sikker adgang til virksomhedsprogrammer for brugere, der er placeret på internettet, og beskytter samtidig virksomhedens it-infrastruktur mod sikkerhedstrusler på internettet.

Et diagram, der viser en typisk WAP-arkitektur.

Godkendelsesindstillinger for webprogramproxy

Når du konfigurerer et program i webprogramproxy, skal du vælge typen af forhåndsgodkendelse. Du kan vælge enten AD FS-forhåndsgodkendelse eller pass-through-forhåndsgodkendelse. AD FS-forhåndsgodkendelse giver flere funktioner og fordele, men forhåndsgodkendelse af pass-through er kompatibel med alle webapps.

FORHÅNDSGODKENDELSE AF AD FS

AD FS-forhåndsgodkendelse bruger AD FS til webprogrammer, der bruger kravbaseret godkendelse. Når en bruger starter en forbindelse til virksomhedens webprogram, er det første indgangspunkt, som brugeren opretter forbindelse til, webprogramproxyen. Web Application Proxy forhåndsauthenticerer brugeren på AD FS-serveren. Hvis godkendelsen lykkes, opretter webprogramproxyen en forbindelse til webserveren på virksomhedens netværk, hvor programmet hostes.

Ved hjælp af AD FS-forhåndsgodkendelse sikrer du, at det kun er godkendte brugere, der kan sende datapakker til webprogrammet. Dette forhindrer hackere i at drage fordel af webappfejl før godkendelse. AD FS-forhåndsgodkendelse reducerer angrebsoverfladen betydeligt for en webapp.

Forhåndsgodkendelse af pass-through

Pass-through-forhåndsgodkendelse bruger ikke AD FS til godkendelse, og webprogramproxyen autoautorerer heller ikke brugeren på forhånd. Brugeren har i stedet forbindelse til webprogrammet via webprogramproxy. Webprogramproxyen genopbygger datapakkerne, efterhånden som de leveres til webappen, hvilket giver beskyttelse mod fejl, f.eks. forkert udformede pakker. Datadelen af pakken overføres dog til webappen. Webappen er ansvarlig for godkendelse af brugere.

AD FS-præautentationsfordele

AD FS-forhåndsgodkendelse giver følgende fordele i forhold til pass-through-forhåndsgodkendelse:

  • SSO. Gør det muligt for brugere, der er forhåndsauteret af AD FS, kun at angive deres legitimationsoplysninger én gang. Hvis brugerne efterfølgende får adgang til andre programmer, der bruger AD FS til godkendelse, bliver de ikke bedt om at angive deres legitimationsoplysninger igen.
  • Multifaktorgodkendelse (MFA). Med MFA kan du konfigurere flere typer legitimationsoplysninger for at styrke sikkerheden. Du kan f.eks. konfigurere systemet, så brugerne angiver deres brugernavn og adgangskode sammen med et chipkort.
  • Adgangskontrol med flere faktorer. Multifaktoradgangskontrolelementer, der bruges i organisationer, der ønsker at styrke deres sikkerhed, når de publicerer webprogrammer, ved at implementere regler for krav om godkendelse. Reglerne er konfigureret, så de enten udsteder en tilladelse eller et krav om afvisning, som bestemmer, om en bruger eller en gruppe er tilladt eller nægtet adgang til et webprogram, der bruger AD FS-forhåndsgodkendelse.

Publicer programmer med webprogramproxy

Når rolletjenesten webprogramproxy er installeret, kan du konfigurere den ved hjælp af guiden Konfiguration af webprogramproxy fra konsollen Fjernadgangsstyring. Når guiden Konfiguration af webprogramproxy er fuldført, oprettes webprogramproxykonsollen, som du kan bruge til yderligere administration og konfiguration af webprogramproxy.

Guiden Konfiguration af webprogramproxy kræver, at du angiver følgende oplysninger under den indledende konfigurationsproces:

  • AD FS-navn. Hvis du vil finde dette navn, skal du åbne AD FS-administrationskonsollen og finde værdien i feltet Navn på federationtjeneste under Rediger egenskaber for federationtjeneste.
  • Legitimationsoplysninger for den lokale administratorkonto for AD FS.
  • AD FS-proxycertifikat. Dette er et certifikat, som webprogramproxyen bruger til AD FS-proxyfunktionalitet.

Tip

AD FS-proxycertifikatet skal indeholde AD FS-navnet i certifikatets emnefelt, fordi guiden Konfigurer webprogramproxy kræver det. Derudover skal feltet med alternative emnenavne for certifikatet indeholde AD FS-navnet.

Når du har fuldført guiden Konfiguration af webprogramproxy, kan du publicere din webapp ved hjælp af webprogramproxykonsollen eller Windows PowerShell-cmdlet'er. Windows PowerShell-cmdlet'erne til administration af publicerede apps er:

  • Add-WebApplicationProxyApplication
  • Get-WebApplicationProxyApplication
  • Set-WebApplicationProxyApplication

Når du publicerer din webapp, skal du angive følgende oplysninger:

  • Typen af forhåndsgodkendelse, f.eks. pass-through.
  • Det program, der skal udgives.
  • Programmets eksterne URL-adresse, https://lon-svr1.adatum.comf.eks. .
  • Et certifikat, hvis emnenavn dækker den eksterne URL-adresse, lon-svr1.adatum.comf.eks. .
  • URL-adressen til backendserveren, som angives automatisk, når du angiver den eksterne URL-adresse.