Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les applications sont souvent constituées de plusieurs applications web individuelles. Ces situations utilisent différents suffixes de domaine ou ports ou chemins d’accès dans l’URL. Les instances d’application web individuelles doivent être publiées dans des applications de proxy d’application Microsoft Entra distinctes. Dans ces situations, les problèmes suivants peuvent survenir :
-
Pré-authentification : Le client doit acquérir séparément un jeton d’accès ou un cookie pour chaque application proxy d’application Microsoft Entra. Les acquisitions multiples entraînent des redirections plus nombreuses lors de connexion à
microsoftonline.com. -
Partage de ressources inter-origine (CORS) : Les appels CORS, à l'aide de la méthode
OPTIONS, sont utilisés pour valider l’accès pour l’URL entre l’application web de l’appelant et l’application web ciblée. Le service cloud du proxy d’application Microsoft Entra bloque ces appels. Le blocage se produit parce que les demandes ne peuvent pas contenir d’informations d’authentification. - Mauvaise gestion des applications : Plusieurs applications d’entreprise sont créées pour permettre l’accès à une application privée en ajoutant des frictions à l’expérience de gestion des applications.
La figure suivante montre un exemple de structure de domaine d’application complexe.
Avec le Proxy d’application Microsoft Entra, vous pouvez résoudre ce problème à l’aide de la publication d’une application complexe composée de plusieurs URL sur différents domaines.
Une application complexe comporte plusieurs segments d’application. Chaque segment d’application a une URL interne et externe. Une stratégie d’accès conditionnel est associée à l’application. L’accès à l’une des URL externes fonctionne avec la pré-authentification avec le même ensemble de stratégies. Ces stratégies sont appliquées pour tous les segments d’application.
Les applications complexes offrent plusieurs avantages :
- Authentification de l’utilisateur
- Atténuation des problèmes CORS
- Accès pour différentes extensions de domaine, ports ou chemins dans l'URL interne
Cet article explique comment configurer la publication d’applications génériques dans votre environnement.
Caractéristiques des segments d’application pour une application complexe.
- Les segments d'application ne sont configurés que pour une application de type générique.
- L’URL externe et l’URL secondaire doivent correspondre respectivement au domaine d’URL externe et au domaine d’URL secondaire de l’application.
- Les URL des segments d’application (internes et externes) doivent rester uniques dans les applications complexes.
- Les règles CORS (facultatives) peuvent être configurées par segment d’application.
- L’accès est accordé uniquement aux segments d’application définis pour une application complexe.
Remarque
Si vous supprimez tous les segments d’application, l’application complexe agit comme une application générique, ce qui autorise l’accès à n’importe quelle URL valide sous le domaine spécifié.
- Vous pouvez avoir une URL interne définie à la fois en tant que segment d’application et application standard.
Remarque
Les applications ordinaires sont toujours prioritaires sur une application complexe (application générique).
Conditions préalables
- Activez le proxy d’application et installez un connecteur qui a une ligne de vue sur vos applications. Consultez le tutoriel Ajouter une application locale pour l’accès à distance via le proxy d’application pour apprendre à préparer votre environnement local, installer et inscrire un connecteur et tester le connecteur.
Configurez les segments d’application pour une application complexe.
Remarque
Deux segments d’application par application distribuée complexe sont pris en charge pour l’abonnement Microsoft Entra ID P1 ou P2.
Pour publier une application distribuée complexe via le proxy d’application avec des segments d’application :
Dans la page paramètres de base du proxy d’application, sélectionnez Ajouter des segments d’application.
Dans la page gérer et configurer des segments d’application, sélectionnez + Ajouter un segment d’application.
Entrez l’URL interne.
Sélectionnez un domaine personnalisé dans la liste déroulante Url externe .
Ajouter des règles CORS (facultatif). Pour plus d’informations, consultez Configuration de la règle CORS.
Cliquez sur Créer.
Affectez des utilisateurs à l’application.
Pour modifier/mettre à jour un segment d’application, sélectionnez le segment d’application dans la liste de la page gérer et configurer les segments d’application. Chargez un certificat pour le domaine mis à jour, si nécessaire, et mettez à jour l’enregistrement DNS (Domain Name System).
Configuration de l’authentification unique (SSO)
Remarque
L’authentification unique avec l’authentification Windows intégrée (IWA) ne prend pas en charge les noms de principal de service génériques (SPN). Par exemple, un caractère générique tel que http/*.contoso.com utilise le SPN unique configuré, comme http/app.contoso.com, pour tous les segments.
Mises à jour de DNS
Lorsque vous utilisez des domaines personnalisés, créez une entrée DNS avec un enregistrement CNAME pour l’URL externe. Par exemple, pointez *.adventure-works.com sur l’URL externe du point de terminaison du proxy d’application. Pour les applications génériques, pointez l’enregistrement CNAME vers l’URL externe appropriée : <yourAADTenantId>.tenant.runtime.msappproxy.net.
Vous pouvez également créer une entrée DNS dédiée avec un enregistrement CNAME pour chaque segment d’application individuel comme suit :
External URL of the application segment><yourAADTenantId>.tenant.runtime.msappproxy.net
En outre, l’ajout d’un enregistrement CNAME pour l’ID d’application dans la même zone DNS est requis :
<yourAppId>><yourAADTenantId>.tenant.runtime.msappproxy.net
Si le groupe de connecteurs affecté à l’application complexe ne se trouve pas dans la région du groupe de connecteurs par défaut, l’un des suffixes de domaine suivants doit être utilisé dans les entrées DNS :
| Région attribuée au connecteur | URL externe |
|---|---|
| Asie | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
| Australie | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
| Europe | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
| Amérique du Nord | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Pour obtenir des instructions plus détaillées sur le proxy d’application, consultez Tutoriel : Ajouter une application locale pour l’accès à distance via le proxy d’application dans l’ID Microsoft Entra.
Étapes suivantes
- Ajouter une application locale pour l’accès à distance via le proxy d’application dans Microsoft Entra ID
- Planifier un déploiement de proxy d’application Microsoft Entra
- Comprendre l’accès à distance aux applications locales via le proxy d’application Microsoft Entra
- Comprendre et résoudre les problèmes CORS du proxy d'application Microsoft Entra