Freigeben über


Windows-Authentifizierung – Eingeschränkte Kerberos-Delegierung mit Microsoft Entra ID

Die eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) ermöglicht die eingeschränkte Delegierung zwischen Ressourcen und basiert auf Dienstprinzipalnamen. Domänenadministratoren müssen die Delegierungen erstellen, und die KCD ist auf eine Domäne beschränkt. Sie können die ressourcenbasierte KCD zum Bereitstellen der Kerberos-Authentifizierung für eine Webanwendung nutzen, die Benutzer in mehreren Domänen innerhalb einer Active Directory-Gesamtstruktur hat.

Der Microsoft Entra-Anwendungsproxy kann einmaliges Anmelden (Single Sign-On, SSO) und Remotezugriff auf KCD-basierte Anwendungen ermöglichen, die ein Kerberos-Ticket für den Zugriff und die eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) benötigen.

Sie aktivieren einmaliges Anmelden (Single Sign-On, SSO) für Ihre lokalen KCD-Anwendungen mit integrierter Windows-Authentifizierung (IWA), indem Sie privaten Netzwerkconnectors in Active Directory die Berechtigung erteilen, die Identität von Benutzern anzunehmen. Der private Netzwerkconnector verwendet diese Berechtigung zum Senden und Empfangen von Token im Namen der Benutzer.

Wann die KCD verwendet werden sollte

Wählen Sie die KCD, wenn die Notwendigkeit besteht, Remotezugriff bereitzustellen, mit einer Vorauthentifizierung für Schutz zu sorgen und einmaliges Anmelden (SSO) für lokale IWA-Anwendungen bereitzustellen.

Diagramm der Architektur

Komponenten des Systems

  • Benutzer: greift auf Legacyanwendungen zu, die von Anwendungsproxy unterstützt werden.
  • Webbrowser: Die Komponente, mit der der Benutzer interagiert, um auf die externe URL der Anwendung zuzugreifen.
  • Microsoft Entra ID: Authentifiziert den Benutzer.
  • Der Dienst Anwendungsproxy: fungiert als Reverseproxy, um Anforderungen vom Benutzer an die lokale Anwendung zu senden. Er befindet sich in Microsoft Entra ID. Anwendungsproxy kann Richtlinien für bedingten Zugriff erzwingen.
  • Privater Netzwerkconnector: wird auf lokalen Windows-Servern installiert, um Konnektivität mit der Anwendung zu ermöglichen. Gibt die Antwort an Microsoft Entra ID zurück. Führt die KCD-Aushandlung mit Active Directory aus und nimmt dabei die Identität des Benutzers an, um ein Kerberos-Token für die Anwendung abzurufen.
  • Active Directory: sendet das Kerberos-Token für die Anwendung an den privaten Netzwerkconnector.
  • Legacyanwendungen: Anwendungen, die Benutzeranforderungen vom Anwendungsproxy empfangen. Die Legacyanwendungen geben die Antwort an den privaten Netzwerkconnector zurück.

Implementieren von Windows-Authentifizierung (KCD) mit Microsoft Entra ID

Erkunden Sie die folgenden Ressourcen, um mehr über die Implementierung der Windows-Authentifizierung (KCD) mit Microsoft Entra ID zu erfahren.

Nächste Schritte