Uso de WAP como proxy web inverso
Web Application Proxy es un servicio de rol de acceso remoto. Este servicio de rol funciona como un proxy web inverso y proporciona a los usuarios ubicados en Internet acceso a las aplicaciones web corporativas internas o a los servidores de puerta de enlace de Escritorio remoto. El Proxy de aplicación web puede usar AD FS para autenticar a los usuarios de Internet y actúa como proxy de AD FS para la publicación de aplicaciones basadas en notificaciones.
Nota:
Una aplicación basada en notificaciones puede utilizar cualquier información sobre un usuario, como la pertenencia a grupos, la dirección de correo electrónico, el departamento o la empresa como parte de la autorización del usuario.
Antes de instalar el proxy de aplicación web, debe implementar AD FS como requisito previo. El proxy de aplicación web usa AD FS para servicios de autenticación. Una característica proporcionada por AD FS es la funcionalidad de SSO, lo que significa que si los usuarios escriben sus credenciales para acceder a una aplicación web corporativa una vez, no se les pedirá que vuelvan a escribir sus credenciales para el acceso posterior a la aplicación web corporativa. También puede usar AD FS para autenticar a los usuarios en el Proxy de aplicación web antes de que los usuarios se comuniquen con la aplicación.
Colocar el servidor proxy de aplicación web en la red perimetral entre dos dispositivos de firewall es una configuración típica. El servidor y las aplicaciones de AD FS que se publican se encuentran en la red corporativa y, junto con controladores de dominio y otros servidores internos, están protegidos por el segundo firewall. Este escenario proporciona acceso seguro a las aplicaciones corporativas para los usuarios ubicados en Internet y, al mismo tiempo, protege la infraestructura de TI corporativa frente a amenazas de seguridad en Internet.
Opciones de autenticación para el proxy de aplicación web
Al configurar una aplicación en el proxy de aplicación web, debe seleccionar el tipo de autenticación previa. Puede elegir entre la autenticación previa de AD FS o la autenticación previa de paso a través. La autenticación previa de AD FS proporciona más características y ventajas, pero la autenticación previa de paso a través es compatible con todas las aplicaciones web.
Autenticación previa de AD FS
La preautenticación de AD FS utiliza AD FS para aplicaciones web que utilizan la autenticación basada en reclamaciones. Cuando un usuario inicia una conexión a la aplicación web corporativa, el primer punto de entrada al que se conecta el usuario es el proxy de aplicación web. Proxy de aplicación web autentica previamente al usuario en el servidor de AD FS. Si la autenticación se realiza correctamente, el proxy de aplicación web establece una conexión con el servidor web en la red corporativa donde se hospeda la aplicación.
Al usar la autenticación previa de AD FS, asegúrese de que solo los usuarios autorizados puedan enviar paquetes de datos a la aplicación web. Esto evita que los hackers aprovechen los errores de la aplicación web antes de la autenticación. La autenticación previa de AD FS reduce significativamente la superficie expuesta a ataques para una aplicación web.
Autenticación previa de paso a través
La autenticación previa de paso a través no usa AD FS para la autenticación, ni el Proxy de aplicación web autentica previamente al usuario. En su lugar, el usuario está conectado a la aplicación web a través del proxy de aplicación web. El proxy de aplicación web vuelve a generar los paquetes de datos a medida que se entregan a la aplicación web, lo que proporciona protección contra errores, como paquetes con formato incorrecto. Sin embargo, la parte de datos del paquete pasa a la aplicación web. La aplicación web es responsable de autenticar a los usuarios.
Ventajas de autenticación previa de AD FS
La autenticación previa de AD FS proporciona las siguientes ventajas sobre la autenticación previa de paso a través:
- SSO. Permite a los usuarios autenticados previamente por AD FS escribir sus credenciales solo una vez. Si posteriormente los usuarios acceden a otras aplicaciones que usan AD FS para la autenticación, no se les pedirá de nuevo sus credenciales.
- Autenticación multifactor (MFA). MFA permite configurar varios tipos de credenciales para reforzar la seguridad. Por ejemplo, puede configurar el sistema para que los usuarios escriban su nombre de usuario y contraseña junto con una tarjeta inteligente.
- Control de acceso multifactor. Controles de acceso multifactor que se usan en organizaciones que desean reforzar su seguridad al publicar aplicaciones web mediante la implementación de reglas de notificación de autorización. Las reglas se configuran para que emitan un permiso o una notificación de denegación, lo que determina si se permite o se deniega el acceso de un usuario o grupo a una aplicación web que usa la autenticación previa de AD FS.
Publicación de aplicaciones con proxy de aplicación web
Una vez instalado el servicio de rol proxy de aplicación web, configúrelo mediante el Asistente para configuración de proxy de aplicación web desde la consola de administración de acceso remoto. Cuando se completa el Asistente para configuración del proxy de aplicación web, crea la consola de Proxy de aplicación web, que puede usar para administrar y configurar aún más el proxy de aplicación web.
El Asistente para configuración del proxy de aplicación web requiere que escriba la siguiente información durante el proceso de configuración inicial:
- Nombre de AD FS. Para buscar este nombre, abra la consola de administración de AD FS y, en Editar propiedades del servicio de federación, busque el valor en el cuadro Nombre del servicio de federación.
- Credenciales de la cuenta de administrador local para AD FS.
- Certificado de proxy de AD FS. Se trata de un certificado que el proxy de aplicación web usará para la funcionalidad de proxy de AD FS.
Sugerencia
El certificado de proxy de AD FS debe contener el nombre de AD FS en el campo asunto del certificado porque el Asistente para configurar proxy de aplicación web lo requiere. Además, el campo de nombres alternativos del firmante del certificado debe incluir el nombre de AD FS.
Después de completar el Asistente para configuración del proxy de aplicación web, puede publicar la aplicación web mediante la consola del proxy de aplicación web o los cmdlets de Windows PowerShell. Los cmdlets de Windows PowerShell para administrar aplicaciones publicadas son:
Add-WebApplicationProxyApplicationGet-WebApplicationProxyApplicationSet-WebApplicationProxyApplication
Al publicar la aplicación web, debe proporcionar la siguiente información:
- Tipo de autenticación previa, por ejemplo, transferencia directa.
- La aplicación que se va a publicar.
- Dirección URL externa de la aplicación, por ejemplo,
https://lon-svr1.adatum.com. - Certificado cuyo nombre de firmante cubre la dirección URL externa, por ejemplo,
lon-svr1.adatum.com. - Dirección URL del servidor back-end, que se escribe automáticamente al escribir la dirección URL externa.