Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Microsoft Entra-Anwendungsproxy unterstützt nativen SSO-Zugriff (Single Sign-On) auf Anwendungen, die Header für die Authentifizierung verwenden. Sie konfigurieren Headerwerte, die von Ihrer Anwendung in der Microsoft Entra-ID benötigt werden. Die Headerwerte werden über den Anwendungsproxy an die Anwendung gesendet. Zu den Vorteilen bei der verwendung der systemeigenen Unterstützung für die headerbasierte Authentifizierung mit Anwendungsproxy gehören:
Vereinfachen des Remotezugriffs auf Ihre lokalen Apps – Anwendungsproxy vereinfacht Ihre vorhandene Remotezugriffsarchitektur. Sie ersetzen den VPN-Zugriff (Virtual Private Network) auf diese Apps. Sie entfernen Abhängigkeiten von lokalen Identitätslösungen für die Authentifizierung. Sie optimieren die Benutzeroberfläche für Benutzer, und sie bemerken nichts anderes, wenn sie Unternehmensanwendungen verwenden. Benutzer können von überall auf jedem Gerät aus arbeiten.
Keine zusätzliche Software oder Änderungen an Ihren Apps – Sie verwenden Ihre vorhandenen privaten Netzwerkconnectors. Es ist keine zusätzliche Software erforderlich.
Umfangreiche Liste mit verfügbaren Attributen und Transformationen: Alle verfügbaren Headerwerte basieren auf Standardansprüchen, die von Microsoft Entra ID ausgegeben werden. Alle Attribute und Transformationen zum Konfigurieren von Ansprüchen für die Security Assertion Markup Language (SAML) oder OpenID Connect (OIDC)-Anwendungen sind ebenfalls als Headerwerte verfügbar.
Voraussetzungen
Aktivieren Sie den Anwendungsproxy, und installieren Sie einen Connector, der direkten Netzwerkzugriff auf Ihre Anwendungen hat. Weitere Informationen finden Sie unter Hinzufügen einer lokalen Anwendung für den Remotezugriff über den Anwendungsproxy.
Unterstützte Funktionen
In der Tabelle sind allgemeine Funktionen aufgeführt, die für headerbasierte Authentifizierungsanwendungen erforderlich sind.
| Anforderung | BESCHREIBUNG |
|---|---|
| Verbund-SSO | Im Vorauthentifizierungsmodus sind alle Anwendungen mit der Microsoft Entra-Authentifizierung geschützt, und Benutzer verfügen über einmaliges Anmelden. |
| Remotezugriff | Der Anwendungsproxy bietet Remotezugriff auf die App. Benutzer greifen über das Internet über einen beliebigen Webbrowser über die externe URL (Uniform Resource Locator) auf die Anwendung zu. Der Anwendungsproxy ist nicht für den allgemeinen Unternehmenszugriff vorgesehen. Informationen zum allgemeinen Unternehmenszugriff finden Sie unter Microsoft Entra Private Access. |
| Headerbasierte Integration | Der Anwendungsproxy behandelt die SSO-Integration mit microsoft Entra ID und übergibt dann Identitäts- oder andere Anwendungsdaten als HTTP-Header an die Anwendung. |
| Anwendungsautorisierung | Allgemeine Richtlinien werden basierend auf der Anwendung angegeben, auf die zugegriffen wird, die Gruppenmitgliedschaft des Benutzers und andere Richtlinien. In Microsoft Entra ID werden Richtlinien über den bedingten Zugriff implementiert. Richtlinien für die Anwendungsautorisierung gelten nur für die erste Authentifizierungsanforderung. |
| Step-up-Authentifizierung | Richtlinien werden definiert, um die hinzugefügte Authentifizierung zu erzwingen, z. B. um Zugriff auf vertrauliche Ressourcen zu erhalten. |
| Differenzierte Autorisierung | Ermöglicht die Zugriffssteuerung auf der URL-Ebene. Hinzugefügte Richtlinien können basierend auf der URL erzwungen werden, auf die zugegriffen wird. Die für die App konfigurierte interne URL definiert den Bereich der App, auf die die Richtlinie angewendet wird. Die Richtlinie, die für den präzisesten Pfad konfiguriert wurde, wird erzwungen. |
Hinweis
In diesem Artikel wird die Verbindung zwischen headerbasierten Authentifizierungsanwendungen und Microsoft Entra ID mithilfe des Anwendungsproxys beschrieben und ist das empfohlene Muster. Alternativ gibt es ein Integrationsmuster, das PingAccess mit Microsoft Entra-ID verwendet, um die headerbasierte Authentifizierung zu aktivieren. Weitere Informationen finden Sie unter Headerbasierte Authentifizierung für einmaliges Anmelden mit Anwendungsproxy und PingAccess.
Funktionsweise
- Der Administrator passt die Attributzuordnungen, die für die Anwendung benötigt werden, im Microsoft Entra Admin Center an.
- Der Anwendungsproxy stellt sicher, dass ein Benutzer mithilfe der Microsoft Entra-ID authentifiziert wird.
- Der Anwendungsproxy-Clouddienst kennt die erforderlichen Attribute. Der Dienst ruft die entsprechenden Ansprüche also über das ID-Token ab, das während der Authentifizierung empfangen wird. Der Dienst übersetzt dann die Werte in die erforderlichen HTTP-Header als Teil der Anforderung an den Connector.
- Die Anforderung wird dann an den Connector übergeben, der dann an die Back-End-Anwendung übergeben wird.
- Die Anwendung empfängt die Header und kann diese je nach Bedarf nutzen.
Veröffentlichen der Anwendung mit Anwendungsproxy
Veröffentlichen Sie Ihre Anwendung entsprechend den Anweisungen unter Veröffentlichen von Anwendungen mit einem Anwendungsproxy.
- Der interne URL-Wert bestimmt den Bereich der Anwendung. Sie konfigurieren den internen URL-Wert im Stammpfad der Anwendung, und alle Unterpfade unter dem Stamm erhalten die gleiche Header- und Anwendungskonfiguration.
- Erstellen Sie eine neue Anwendung, um eine andere Headerkonfiguration oder Benutzerzuweisung für einen präziseren Pfad als für die von Ihnen konfigurierte Anwendung festzulegen. Konfigurieren Sie in der neuen Anwendung die interne URL mit dem angegebenen Pfad, den Sie benötigen, und anschließend die erforderlichen spezifischen Header für diese URL. Der Anwendungsproxy gleicht Ihre Konfigurationseinstellungen immer auf den granularsten Pfad ab, der für eine Anwendung konfiguriert ist.
Wählen Sie Microsoft Entra ID als Methode zur Präauthentifizierung aus.
Weisen Sie einen Testbenutzer zu, indem Sie zu Benutzer und Gruppen navigieren und die Zuweisung der entsprechenden Benutzer und Gruppen durchführen.
Öffnen Sie einen Browser, und navigieren Sie über die Anwendungsproxyeinstellungen zur externen URL .
Vergewissern Sie sich, dass Sie eine Verbindung mit der Anwendung herstellen können. Auch wenn die Verbindung möglich ist, haben Sie noch keinen Zugriff auf die App, weil die Header nicht konfiguriert sind.
Einmaliges Anmelden konfigurieren
Bevor Sie mit dem einmaligen Anmelden für headerbasierte Anwendungen beginnen, installieren Sie einen privaten Netzwerkconnector. Der Connector muss auf die Zielanwendungen zugreifen können. Weitere Informationen finden Sie im Tutorial: Microsoft Entra Anwendungsproxy.
- Wenn Ihre Anwendung in der Liste mit den Unternehmensanwendungen angezeigt wird, wählen Sie zunächst die Anwendung und dann die Option Einmaliges Anmelden aus.
- Legen Sie den Modus für einmaliges Anmelden auf Headerbasiert fest.
- In der Standardkonfiguration ist die Microsoft Entra-ID als Standard ausgewählt.
- Wählen Sie das Bearbeitungssymbol in Kopfzeilen aus, um die Kopfzeilen zu konfigurieren, die an die Anwendung gesendet werden.
- Wählen Sie Add new header (Neuen Header hinzufügen) aus. Geben Sie einen Namen für die Kopfzeile an, und wählen Sie entweder "Attribut " oder " Transformation " aus, und wählen Sie in der Dropdownliste aus, welche Kopfzeile Ihre Anwendung benötigt.
- Weitere Informationen zur Liste mit den verfügbaren Attributen finden Sie unter Anpassen von Ansprüchen: Attribute.
- Weitere Informationen zur Liste mit den verfügbaren Transformationen finden Sie unter Anpassen von Ansprüchen: Anspruchstransformationen.
- Sie können einen Gruppenkopf hinzufügen. Weitere Informationen zur Konfiguration von Gruppen als Wert finden Sie unter Konfigurieren von Gruppenansprüchen für Anwendungen.
- Wählen Sie Speichern aus.
Teste deine App
Die Anwendung wird jetzt ausgeführt und ist verfügbar. So testen Sie die App:
- Löschen Sie zuvor zwischengespeicherte Header, indem Sie ein neues Browser- oder privates Browserfenster öffnen.
- Navigieren Sie zur externen URL. Sie finden diese Einstellung in den Anwendungsproxyeinstellungen als externe URL aufgeführt.
- Melden Sie sich mit dem Testkonto an, das Sie der App zugewiesen haben.
- Bestätigen Sie, dass Sie die Anwendung mit SSO laden und anmelden können.
Überlegungen
- Der Anwendungsproxy bietet Remotezugriff auf lokale Apps oder in einer privaten Cloud. Ein Anwendungsproxy wird nicht empfohlen für Datenverkehr, der aus demselben Netzwerk wie die vorgesehene Anwendung stammt.
- Der Zugriff auf headerbasierte Authentifizierungsanwendungen sollte ausschließlich auf Datenverkehr vom Connector oder einer anderen zugelassenen headerbasierten Authentifizierungslösung beschränkt sein. Zugriffsbeschränkungen werden häufig mithilfe einer Firewall oder IP-Einschränkung auf dem Anwendungsserver ausgeführt.