Migrieren von Anwendungen mit headerbasierter Authentifizierung zu Azure Active Directory B2C mit dem App-Proxy von Grit
In diesem Beispieltutorial erfahren Sie, wie Sie mit dem App-Proxy von Grit eine Legacyanwendung mit headerbasierter Authentifizierung zu Azure Active Directory B2C (Azure AD B2C) migrieren.
Die Verwendung des App-Proxys von Grit bietet die folgenden Vorteile:
Keine Änderungen des Anwendungscodes und eine einfache Bereitstellung ermöglichen einen schnelleren ROI.
Die Benutzer können moderne Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA), Biometrie und kennwortlose Authentifizierung verwenden, wodurch die Sicherheit erhöht wird.
Erhebliche Einsparungen bei den Lizenzkosten für die Legacyauthentifizierungslösung
Voraussetzungen
Zunächst benötigen Sie Folgendes:
Eine Lizenz für den App-Proxy von Grit. Wenden Sie sich an den Grit-Support, um Lizenzdetails zu erhalten. Für dieses Tutorial benötigen Sie keine Lizenz.
Ein Azure-Abonnement. Falls Sie noch kein Konto haben, können Sie eine kostenloses Konto verwenden.
Einen Azure AD B2C-Mandanten, der mit Ihrem Azure-Abonnement verknüpft ist
Beschreibung des Szenarios
Die Grit-Integration umfasst die folgenden Komponenten:
Azure AD B2C: Der Autorisierungsserver zum Überprüfen von Benutzeranmeldeinformationen. Authentifizierte Benutzer greifen mit einem im Azure AD B2C-Verzeichnis gespeicherten lokalen Konto auf lokale Anwendungen zu.
Grit-App-Proxy: Der Dienst, der die Identität über HTTP-Header an Anwendungen übergibt.
Webanwendung: Die Legacyanwendung, für die der Benutzer Zugriff anfordert.
Im folgenden Architekturdiagramm ist die Implementierung dargestellt.
Der Benutzer fordert Zugriff auf eine lokale Anwendung an.
Der Grit-App-Proxy empfängt die Anforderung über Azure Web Application Firewall (WAF) und sendet sie an die Anwendung.
Der Grit-App-Proxy überprüft den Authentifizierungsstatus des Benutzers. Ohne Sitzungstoken oder bei einem ungültigen Token wechselt der Benutzer zur Authentifizierung zu Azure AD B2C.
Azure AD B2C sendet die Benutzeranforderung an den Endpunkt, der bei der Registrierung des Grit-App-Proxys im Azure AD B2C-Mandanten angegeben wurde.
Der Grit-App-Proxy wertet Zugriffsrichtlinien aus und berechnet die Attributwerte in den HTTP-Headern, die an die Anwendung weitergeleitet werden. Der Grit-App-Proxy legt die Headerwerte fest und sendet die Anforderung an die Anwendung.
Der Benutzer wird authentifiziert und der Zugriff auf die Anwendung gewährt/verweigert.
Onboarding mit dem App-Proxy von Grit
Wenden Sie sich an den Grit-Support, um Details zum Onboarding zu erhalten.
Konfigurieren der App-Proxylösung von Grit mit Azure AD B2C
In diesem Tutorial ist bereits eine Back-End-Anwendung und eine Azure AD B2C-Richtlinie für Grit vorhanden. In diesem Tutorial wird das Konfigurieren des Proxys für den Zugriff auf die Back-End-Anwendung erläutert.
Sie können die Benutzeroberfläche verwenden, um jede Seite der Back-End-Anwendung für die Sicherheit zu konfigurieren. Sie können den für jede Seite erforderlichen Authentifizierungstyp und die erforderlichen Headerwerte konfigurieren.
Wenn den Benutzern die Berechtigung für bestimmte Seiten basierend auf der Gruppenmitgliedschaft oder anderen Kriterien verweigert werden muss, erfolgt dies über die User Journey für die Authentifizierung.
Navigieren Sie zu https://proxyeditor.z13.web.core.windows.net/.
Sobald die Dropdownliste angezeigt wird, wählen Sie die Dropdownliste aus, und wählen Sie dann Create New (Neu erstellen) aus.
Geben Sie einen Namen für die Seite ein, der nur Buchstaben und Zahlen enthält.
Geben Sie in das Feld für die B2C-Richtlinie die Zeichenfolge B2C_1A_SIGNUP_SIGNIN ein.
Wählen Sie GET als HTTP-Methode aus.
Geben Sie in das Feld für den Endpunkt die Zeichenfolge „https://anj-grit-legacy-backend.azurewebsites.net/Home/Page“ ein. Dabei handelt es sich um den Endpunkt für Ihre Legacyanwendung.
Hinweis
Diese Demo ist öffentlich verfügbar, sodass die von Ihnen eingegebenen Werte für die Öffentlichkeit sichtbar sind. Konfigurieren Sie daher keine sichere Anwendung mit dieser Demo.
Wählen Sie ADD HEADER (HEADER HINZUFÜGEN) aus.
Geben Sie in das Feld für den Zielheader die Zeichenfolge x-iss ein, um den gültigen HTTP-Header zu konfigurieren, der an die Anwendung gesendet werden muss.
Geben Sie in das Feld Value (Wert) den Namen eines Anspruchs in der B2C-Richtlinie ein. Der Wert des Anspruchs wird an den Header übergeben.
Wählen Sie Token als Quelle aus.
Wählen Sie SAVE SETTINGS (EINSTELLUNGEN SPEICHERN) aus.
Wählen Sie den im Popupfenster angezeigten Link aus. Daraufhin werden Sie zu einer Anmeldeseite weitergeleitet. Wählen Sie den Registrierungslink aus, und geben Sie die erforderlichen Informationen ein. Nachdem Sie den Registrierungsprozess abgeschlossen haben, werden Sie zur Legacyanwendung umgeleitet. In der Anwendung wird der Name angezeigt, den Sie während der Registrierung im Feld Value (Wert) angegeben haben.
Testen des Flows
Navigieren Sie zur URL der lokalen Anwendung.
Der Grit-App-Proxy leitet Sie zu der Seite um, die Sie in Ihrem Benutzerflow konfiguriert haben. Wählen Sie in der Liste den Identitätsanbieter aus.
Geben Sie an der Eingabeaufforderung Ihre Anmeldeinformationen ein. Fügen Sie bei Bedarf ein mehrstufiges Authentifizierungstoken von Microsoft Entra ein.
Sie werden zu der Azure AD B2C-Instanz umgeleitet, die die Anwendungsanforderung an den Umleitungs-URI des Grit-App-Proxys weiterleitet.
Der Grit-App-Proxy wertet Richtlinien aus, berechnet Header und leitet den Benutzer an die Upstreamanwendung weiter.
Die angeforderte Anwendung wird angezeigt.