Helyi alkalmazások közzététele távoli felhasználók számára az Azure Active Directory alkalmazásproxy használatával

Az Azure Active Directory (Azure AD) számos lehetőséget kínál a felhasználók, alkalmazások és adatok védelmére a felhőben és a helyszínen. A Azure AD alkalmazásproxy funkciót olyan informatikai szakemberek valósíthatják meg, akik külsőleg szeretnék közzétenni a helyszíni webalkalmazásokat. Azok a távoli felhasználók, akiknek hozzáférésre van szükségük a belső alkalmazásokhoz, biztonságos módon érhetik el őket.

A belső alkalmazások hálózaton kívüli biztonságos elérésének képessége még kritikusabbá válik a modern munkahelyen. Az olyan forgatókönyvek esetében, mint a BYOD (Bring Your Own Device) és a mobileszközök, az informatikai szakembereknek két célt kell teljesíteniük:

• Lehetővé teszi a felhasználók számára, hogy bárhol és bármikor hatékonyak legyenek.
• A vállalati eszközök védelme mindenkor.

Sok szervezet úgy véli, hogy az irányítás és a védelem akkor történik, ha az erőforrások a vállalati hálózataik határain belül léteznek. A mai digitális munkahelyen azonban ez a határ kibővült a felhőben lévő felügyelt mobileszközökkel, erőforrásokkal és szolgáltatásokkal. Most már kezelnie kell a felhasználók identitásainak és az eszközeiken és alkalmazásaikon tárolt adatok védelmének összetettségét.

Lehet, hogy már Azure AD használ a felhőben lévő felhasználók kezeléséhez, akiknek hozzá kell férnie a Microsoft 365-höz és más SaaS-alkalmazásokhoz, valamint a helyszínen üzemeltetett webalkalmazásokhoz. Ha már rendelkezik Azure AD, egyetlen vezérlősíkként használhatja, hogy zökkenőmentes és biztonságos hozzáférést biztosíthasson a helyszíni alkalmazásokhoz. Vagy lehet, hogy még mindig a felhőbe való áttérést fontolgatja. Ha igen, megkezdheti a felhőbe vezető utat a alkalmazásproxy implementálásával, és az első lépéssel egy erős identitásalapítvány létrehozása felé.

Bár nem átfogó, az alábbi lista néhány olyan dolgot mutat be, amelyeket engedélyezhet, ha hibrid párhuzamosság esetén implementálja alkalmazásproxy:

• Helyszíni webalkalmazások közzététele külsőleg, egyszerűsített módon DMZ nélkül
• Egyszeri bejelentkezés (SSO) támogatása eszközök, erőforrások és alkalmazások között a felhőben és a helyszínen
• Többtényezős hitelesítés támogatása a felhőbeli és a helyszíni alkalmazásokhoz
• A felhőfunkciók gyors kihasználása a Microsoft Cloud biztonságával
• Felhasználói fiókok felügyeletének központosítása
• Az identitás és a biztonság ellenőrzésének központosítása
• Felhasználói hozzáférés automatikus hozzáadása vagy eltávolítása az alkalmazásokhoz csoporttagság alapján

Ez a cikk azt ismerteti, hogy Azure AD és alkalmazásproxy hogyan biztosítják a távoli felhasználók számára az egyszeri bejelentkezés (SSO) használatát. A felhasználók biztonságosan csatlakozhatnak helyi alkalmazásokhoz VPN, illetve kettős kiszolgálók és tűzfalszabályok nélkül. Ez a cikk segít megérteni, hogyan alkalmazásproxy a felhő képességeit és biztonsági előnyeit a helyszíni webalkalmazások számára. Emellett a lehetséges architektúrákat és topológiákat is ismerteti.

Távoli hozzáférés a múltban

Korábban a belső erőforrások támadókkal szembeni védelmére szolgáló vezérlősík a távoli felhasználók hozzáférésének megkönnyítése mellett a DMZ-ben vagy a szegélyhálózaton volt. A külső ügyfelek által a vállalati erőforrások eléréséhez használt DMZ-ben üzembe helyezett VPN- és fordítottproxy-megoldások azonban nem felelnek meg a felhő világának. Általában a következő hátrányok szenvednek:

• Hardverköltségek
• A biztonság fenntartása (javítás, portfigyelés stb.)
• Felhasználók hitelesítése a peremhálózaton
• Felhasználók hitelesítése webkiszolgálókra a szegélyhálózaton
• VPN-hozzáférés fenntartása távoli felhasználók számára a VPN-ügyfélszoftverek disztribúciójával és konfigurálásával. Emellett tartsa fenn a tartományhoz csatlakoztatott kiszolgálókat a DMZ-ben, amelyek sebezhetőek lehetnek a külső támadásokkal szemben.

A mai felhők első világában a Azure AD a legalkalmasabb annak szabályozására, hogy ki és mi kerül a hálózatba. Azure AD alkalmazásproxy integrálható modern hitelesítéssel és felhőalapú technológiákkal, például SaaS-alkalmazásokkal és identitásszolgáltatókkal. Ez az integráció lehetővé teszi, hogy a felhasználók bárhonnan hozzáférjenek az alkalmazásokhoz. Az alkalmazásproxy nemcsak a mai digitális munkahelyhez alkalmasabb, hanem biztonságosabb, mint a VPN- és fordítottproxy-megoldások, és könnyebben implementálható. A távoli felhasználók ugyanúgy érhetik el a helyszíni alkalmazásokat, mint a Microsoftot és a Azure AD integrált egyéb SaaS-alkalmazásokat. Nem szükséges módosítani vagy frissíteni az alkalmazásokat ahhoz, hogy használhatók legyenek az alkalmazásproxyval. Ezenkívül az alkalmazásproxy nem követeli meg, hogy bejövő kapcsolatokat nyisson meg a tűzfalon keresztül. Az Alkalmazásproxyval egyszerűen beállíthatja, és elfelejtheti.

A távelérés jövője

A mai digitális munkahelyen a felhasználók bárhol dolgozhatnak több eszközzel és alkalmazással. Az egyetlen állandó a felhasználói identitás. Ezért a biztonságos hálózat első lépése ma Azure AD identitáskezelési képességeinek használata a biztonsági vezérlősíkként. Az identitást vezérlősíkként használó modell általában a következő összetevőkből áll:

• Identitásszolgáltató, amely nyomon követi a felhasználókat és a felhasználóval kapcsolatos információkat.
• Eszközkönyvtár a vállalati erőforrásokhoz hozzáféréssel rendelkező eszközök listájának karbantartásához. Ez a könyvtár tartalmazza a megfelelő eszközadatokat (például az eszköz típusát, integritását stb.).
• Szabályzatértékelési szolgáltatás annak megállapításához, hogy egy felhasználó és egy eszköz megfelel-e a biztonsági rendszergazdák által meghatározott szabályzatnak.
• A szervezeti erőforrásokhoz való hozzáférés engedélyezése vagy megtagadása.

A alkalmazásproxy Azure AD nyomon követi azokat a felhasználókat, akiknek a helyszínen és a felhőben közzétett webalkalmazásokhoz kell hozzáférnie. Központi felügyeleti pontot biztosít ezekhez az alkalmazásokhoz. Bár nem szükséges, javasoljuk, hogy engedélyezze Azure AD feltételes hozzáférést is. A felhasználók hitelesítésének és hozzáférésének feltételeinek meghatározásával gondoskodhat arról, hogy a megfelelő személyek hozzáférjenek az alkalmazásaihoz.

Megjegyzés

Fontos tisztában lenni azzal, hogy a Azure AD alkalmazásproxy VPN- vagy fordítottproxy-csereként szolgál azon barangolási (vagy távoli) felhasználók számára, akiknek belső erőforrásokhoz kell hozzáférniük. Nem a vállalati hálózaton lévő belső felhasználók számára készült. A alkalmazásproxy szükségtelenül használó belső felhasználók váratlan és nemkívánatos teljesítményproblémákat okozhatnak.

Az alkalmazásproxy működésének áttekintése

alkalmazásproxy a Azure Portal konfigurált Azure AD szolgáltatás. Lehetővé teszi egy külső nyilvános HTTP/HTTPS URL-végpont közzétételét az Azure Cloudban, amely egy belső alkalmazáskiszolgáló URL-címéhez csatlakozik a szervezetben. Ezek a helyszíni webalkalmazások integrálhatók Azure AD az egyszeri bejelentkezés támogatásához. A felhasználók ezután ugyanúgy férhetnek hozzá a helyszíni webalkalmazásokhoz, mint a Microsoft 365-höz és más SaaS-alkalmazásokhoz.

A szolgáltatás összetevői közé tartozik a felhőben futó alkalmazásproxy szolgáltatás, a alkalmazásproxy összekötő, amely egy helyszíni kiszolgálón futó egyszerűsített ügynök, és Azure AD, amely az identitásszolgáltató. Mindhárom összetevő együttműködik annak érdekében, hogy a felhasználó egyszeri bejelentkezési élményt biztosítson a helyszíni webalkalmazások eléréséhez.

Bejelentkezés után a külső felhasználók megjelenítendő URL-cím vagy Saját alkalmazások segítségével érhetik el a helyszíni webalkalmazásokat asztali vagy iOS/MAC-eszközükön. Az alkalmazásproxy például biztosíthat távelérést és egyszeri bejelentkezést a Távoli asztalra, a SharePoint-webhelyekre, a Tableauba, a Qlikba, a Webes Outlook és az üzletági (LOB) alkalmazásokba.

Hitelesítés

Az alkalmazásokat többféleképpen is konfigurálhatja az egyszeri bejelentkezéshez, és a választott módszer az alkalmazás által használt hitelesítéstől függ. alkalmazásproxy a következő típusú alkalmazásokat támogatja:

• Webalkalmazások
• Webes API-k, amelyeket gazdag alkalmazásoknak szeretne elérhetővé tenni különböző eszközökön
• Távoli asztali átjáró mögött üzemeltetett alkalmazások
• Gazdag ügyfélalkalmazások, amelyek integrálva vannak a Microsoft Authentication Library (MSAL) szolgáltatással

Az alkalmazásproxy az alábbi natív hitelesítési protokollt használó alkalmazásokkal működik:

• Integrált Windows-hitelesítés (IWA). Az IWA esetében a alkalmazásproxy összekötők a Kerberos korlátozott delegálását (KCD) használják a felhasználók Kerberos-alkalmazásba való hitelesítéséhez.

Az alkalmazásproxy a következő hitelesítési protokollokat is támogatja külső integrációval vagy adott konfigurációs forgatókönyvekben:

• Fejlécalapú hitelesítés. Ez a bejelentkezési módszer egy PingAccess nevű külső hitelesítési szolgáltatást használ, és akkor használatos, ha az alkalmazás fejléceket használ a hitelesítéshez. Ebben a forgatókönyvben a hitelesítést a PingAccess kezeli.
• Űrlap- vagy jelszóalapú hitelesítés. Ezzel a hitelesítési módszerrel a felhasználók az első alkalommal felhasználónévvel és jelszóval jelentkeznek be az alkalmazásba. Az első bejelentkezés után Azure AD megadja a felhasználónevet és a jelszót az alkalmazásnak. Ebben a forgatókönyvben a hitelesítést a Azure AD kezeli.
• SAML-hitelesítés. Az SAML-alapú egyszeri bejelentkezés saml 2.0-s vagy WS-Federation protokollt használó alkalmazások esetében támogatott. Az SAML egyszeri bejelentkezéssel Azure AD a felhasználó Azure AD fiókjával hitelesíti az alkalmazást.

A támogatott módszerekkel kapcsolatos további információkért lásd: Egyszeri bejelentkezési módszer kiválasztása.

Biztonsági előnyök

A alkalmazásproxy és Azure AD által kínált távelérési megoldás számos biztonsági előnyt támogat, többek között a következőket:

• Hitelesített hozzáférés. alkalmazásproxy az alkalmazások előzetes hitelesítéssel való közzétételére alkalmas, hogy csak a hitelesített kapcsolatok érhessenek el a hálózaton. Az alkalmazásproxy szolgáltatáson keresztül nem lehet forgalmat továbbítani a helyszíni környezetbe az előhitelesítéssel közzétett alkalmazások érvényes jogkivonata nélkül. Az előzetes hitelesítés természeténél fogva számos célzott támadást blokkol, mivel csak hitelesített identitások férhetnek hozzá a háttéralkalmazáshoz.

• Feltételes hozzáférés. A hálózattal létesített kapcsolatok létrehozása előtt részletesebb szabályzatvezérlők alkalmazhatók. A feltételes hozzáféréssel korlátozásokat határozhat meg a háttéralkalmazás elérésére engedélyezett forgalomra. Olyan szabályzatokat hozhat létre, amelyek korlátozzák a bejelentkezéseket a hely, a hitelesítés erőssége és a felhasználói kockázati profil alapján. A feltételes hozzáférés fejlődésével egyre több vezérlőt adnak hozzá, hogy további biztonságot, például integrációt biztosítsanak Microsoft Defender for Cloud Apps. A Defender for Cloud Apps integrációja lehetővé teszi egy helyszíni alkalmazás valós idejű monitorozásra való konfigurálását a feltételes hozzáférés használatával a munkamenetek valós idejű figyeléséhez és vezérléséhez a feltételes hozzáférési szabályzatok alapján.

• Forgalom leállítása. A háttéralkalmazásba irányuló összes forgalom leáll a felhőben található alkalmazásproxy szolgáltatásban, miközben a munkamenet újra létrejön a háttérkiszolgálóval. Ez a kapcsolati stratégia azt jelenti, hogy a háttérkiszolgálók nincsenek kitéve a közvetlen HTTP-forgalomnak. Jobban védettek a célzott DoS-támadások (szolgáltatásmegtagadás) ellen, mert a tűzfal nincs támadás alatt.

• Minden hozzáférés kimenő. A alkalmazásproxy-összekötők csak a felhőben lévő alkalmazásproxy szolgáltatás kimenő kapcsolatait használják a 80-at és a 443-at. Bejövő kapcsolatok nélkül nincs szükség tűzfalportok megnyitására a bejövő kapcsolatokhoz vagy összetevőkhöz a DMZ-ben. Minden kapcsolat kimenő és biztonságos csatornán keresztül történik.

• Security Analytics és Machine Learning (ML) alapú intelligencia. Mivel ez az Azure Active Directory része, alkalmazásproxy használhatja az Azure AD Identity Protectiont (prémium szintű P2 licencelést igényel). Azure AD Identity Protection egyesíti a gépi tanulási biztonsági intelligenciát a Microsoft Digitális bűncselekmények osztályának és a Microsoft Biztonsági válaszközpontjának adatcsatornáival a feltört fiókok proaktív azonosításához. Az Identity Protection valós idejű védelmet nyújt a nagy kockázatú bejelentkezések ellen. Figyelembe veszi az olyan tényezőket, mint a fertőzött eszközökről való hozzáférés, a hálózatok anonimizálása, vagy az atipikus és valószínűtlen helyekről való hozzáférés egy munkamenet kockázati profiljának növelése érdekében. Ez a kockázati profil valós idejű védelemre szolgál. Számos ilyen jelentés és esemény már elérhető egy API-val a SIEM-rendszerekkel való integrációhoz.

• Távelérés szolgáltatásként. A távoli hozzáférés engedélyezéséhez nem kell aggódnia a helyszíni kiszolgálók karbantartása és javítása miatt. alkalmazásproxy egy olyan internetes skálázási szolgáltatás, amelyet a Microsoft birtokol, így mindig a legújabb biztonsági javításokat és frissítéseket kapja. A nem csomagolt szoftverek továbbra is sok támadást intéznek. A Belbiztonsági Minisztérium szerint a célzott támadások 85 százaléka megelőzhető. Ezzel a szolgáltatási modellel nem kell többé megterhelnie a peremhálózati kiszolgálók felügyeletét, és szükség szerint ki kell javítania őket.

• Intune integráció. A Intune a vállalati forgalmat a személyes forgalomtól elkülönítve irányítják. alkalmazásproxy biztosítja a vállalati forgalom hitelesítését. alkalmazásproxy és a Intune Managed Browser képesség együttes használatával a távoli felhasználók biztonságosan hozzáférhetnek a belső webhelyekhez iOS- és Android-eszközökről.

Ütemterv a felhőhöz

A alkalmazásproxy megvalósításának másik fő előnye, hogy a Azure AD kiterjeszti a helyszíni környezetre. Valójában az alkalmazásproxy implementálása kulcsfontosságú lépés a szervezet és az alkalmazások felhőbe való áthelyezésében. Ha a felhőbe lép, és távolodik a helyszíni hitelesítéstől, csökkentheti a helyszíni lábnyomot, és vezérlősíkként használhatja Azure AD identitáskezelési képességeit. A meglévő alkalmazások minimális vagy egyáltalán nem frissített verziójával olyan felhőbeli képességekhez férhet hozzá, mint az egyszeri bejelentkezés, a többtényezős hitelesítés és a központi felügyelet. A szükséges összetevők alkalmazásproxyba való telepítése egy egyszerű folyamat a távelérési keretrendszer létrehozásához. A felhőbe lépve hozzáférhet a legújabb Azure AD funkciókhoz, frissítésekhez és funkciókhoz, például a magas rendelkezésre álláshoz és a vészhelyreállításhoz.

Ha többet szeretne megtudni az alkalmazások Azure AD való migrálásáról, olvassa el az Alkalmazások migrálása az Azure Active Directoryba című témakört.

Architektúra

Az alábbi ábra általában azt szemlélteti, hogy Azure AD hitelesítési szolgáltatások és alkalmazásproxy hogyan működnek együtt, hogy egyszeri bejelentkezést biztosítsanak a helyszíni alkalmazásoknak a felhasználók számára.

1. Miután a felhasználó egy végponton keresztül hozzáfért az alkalmazáshoz, a rendszer átirányítja a felhasználót a Azure AD bejelentkezési lapra. Ha feltételes hozzáférési szabályzatokat konfigurált, a rendszer jelenleg bizonyos feltételeket ellenőriz annak biztosítása érdekében, hogy megfeleljen a szervezet biztonsági követelményeinek.
2. A sikeres bejelentkezés után Azure AD egy jogkivonatot küld a felhasználó ügyféleszközére.
3. Az ügyfél elküldi a jogkivonatot a alkalmazásproxy szolgáltatásnak, amely lekéri a felhasználónevet (UPN) és a biztonsági egyszerű nevet (SPN) a jogkivonatból.
4. alkalmazásproxy továbbítja a kérést, amelyet a alkalmazásproxy összekötő fog átvenni.
5. Az összekötő végrehajtja a felhasználó nevében szükséges további hitelesítést (nem kötelező a hitelesítési módszertől függően), lekéri az alkalmazáskiszolgáló belső végpontját, és elküldi a kérést a helyszíni alkalmazásnak.
6. Az alkalmazáskiszolgáló válaszát a rendszer az összekötőn keresztül küldi el a alkalmazásproxy szolgáltatásnak.
7. A rendszer elküldi a választ a alkalmazásproxy szolgáltatásból a felhasználónak.

Összetevő	Leírás
Végpont	A végpont egy URL-cím vagy egy felhasználói portál. A felhasználók a hálózaton kívül is elérhetik az alkalmazásokat egy külső URL-cím elérésével. A hálózaton belüli felhasználók URL-címen vagy felhasználói portálon keresztül érhetik el az alkalmazást. Amikor a felhasználók az egyik végpontra lépnek, a hitelesítés Azure AD történik, majd az összekötőn keresztül a helyszíni alkalmazáshoz lesznek irányítva.
Azure AD	Azure AD a hitelesítést a felhőben tárolt bérlői címtár használatával hajtja végre.
alkalmazásproxy szolgáltatás	Ez a alkalmazásproxy szolgáltatás a felhőben fut a Azure AD részeként. Átadja a bejelentkezési jogkivonatot a felhasználótól a alkalmazásproxy-összekötőnek. alkalmazásproxy továbbítja a kérelem akadálymentes fejléceit, és a protokollnak megfelelően állítja be a fejléceket az ügyfél IP-címére. Ha a proxynak küldött bejövő kérelem már rendelkezik ezzel a fejlécmel, a rendszer hozzáadja az ügyfél IP-címét a vesszővel tagolt lista végéhez, amely a fejléc értéke.
alkalmazásproxy összekötő	Az összekötő egy egyszerű ügynök, amely a hálózaton belüli Windows Serveren fut. Az összekötő kezeli a alkalmazásproxy szolgáltatás és a helyszíni alkalmazás közötti kommunikációt. Az összekötő csak kimenő kapcsolatokat használ, így nem kell bejövő portokat megnyitnia, és semmit sem kell elhelyeznie a DMZ-ben. Az összekötők állapot nélküliek, és szükség szerint adatokat kérnek le a felhőből. Az összekötőkkel, például a terheléselosztással és a hitelesítéssel kapcsolatos további információkért lásd: Azure AD alkalmazásproxy összekötők ismertetése.
Active Directory (AD)	Az Active Directory a helyszínen fut a tartományi fiókok hitelesítéséhez. Az egyszeri bejelentkezés konfigurálásakor az összekötő kommunikál az AD-vel, hogy elvégezhesse a szükséges további hitelesítést.
Helyszíni alkalmazás	Végül a felhasználó hozzáférhet egy helyszíni alkalmazáshoz.

Azure AD alkalmazásproxy a felhőalapú alkalmazásproxy szolgáltatásból és egy helyszíni összekötőből áll. Az összekötő figyeli a alkalmazásproxy szolgáltatás kéréseit, és kezeli a belső alkalmazásokkal való kapcsolatokat. Fontos megjegyezni, hogy minden kommunikáció TLS-en keresztül történik, és mindig a alkalmazásproxy szolgáltatás összekötőjétől származik. Vagyis a kommunikáció csak kimenő. Az összekötő ügyféltanúsítványt használ a alkalmazásproxy szolgáltatásban az összes hívás hitelesítéséhez. A kapcsolatbiztonság egyetlen kivétele az ügyféltanúsítvány kezdeti telepítési lépése. További részletekért tekintse meg a alkalmazásproxy A motorháztető alatt.

alkalmazásproxy összekötők

alkalmazásproxy összekötők a helyszínen üzembe helyezett egyszerűsített ügynökök, amelyek megkönnyítik a felhőbeli alkalmazásproxy szolgáltatással való kimenő kapcsolatot. Az összekötőket olyan Windows Serverre kell telepíteni, amely hozzáfér a háttéralkalmazáshoz. A felhasználók az alábbi ábrán látható módon csatlakoznak az alkalmazásproxy felhőszolgáltatáshoz, amely az összekötőken keresztül irányítja a forgalmat az alkalmazásokhoz.

Az összekötő és az App Proxy szolgáltatás közötti beállítás és regisztráció az alábbiak szerint történik:

1. A rendszergazda megnyitja a 80-at és a 443-at a kimenő forgalom számára, és lehetővé teszi az összekötő, az alkalmazásproxy szolgáltatás és a Azure AD számára szükséges URL-címek elérését.
2. A rendszergazda bejelentkezik a Azure Portal, és futtat egy végrehajtható fájlt az összekötő helyszíni Windows-kiszolgálóra való telepítéséhez.
3. Az összekötő elkezdi "hallgatni" az App Proxy szolgáltatást.
4. A rendszergazda hozzáadja a helyszíni alkalmazást a Azure AD, és olyan beállításokat konfigurál, mint például az URL-címek, amelyeknek a felhasználóknak csatlakozniuk kell az alkalmazásaikhoz.

További információ: Azure AD alkalmazásproxy üzembe helyezés megtervezése.

Javasoljuk, hogy mindig több összekötőt helyezzen üzembe a redundancia és a skálázás érdekében. Az összekötők a szolgáltatással együtt gondoskodnak a magas rendelkezésre állású feladatokról, és dinamikusan hozzáadhatók vagy eltávolíthatók. Minden alkalommal, amikor új kérés érkezik, a rendszer az elérhető összekötők egyikéhez irányítja. Amikor egy összekötő fut, aktív marad, miközben csatlakozik a szolgáltatáshoz. Ha egy összekötő átmenetileg nem érhető el, nem válaszol erre a forgalomra. A nem használt összekötők inaktívként vannak megjelölve, és 10 nap inaktivitás után törlődnek.

Az összekötők azt is lekérdezik a kiszolgálón, hogy van-e az összekötő újabb verziója. Bár manuális frissítést is végezhet, az összekötők automatikusan frissülnek, amíg az alkalmazásproxy Connector Updater szolgáltatás fut. A több összekötővel rendelkező bérlők esetében az automatikus frissítések az egyes csoportokban egyszerre egy összekötőt céloznak meg, hogy megakadályozzák az állásidőt a környezetben.

Megjegyzés

Figyelheti a alkalmazásproxy verzióelőzmények lapot, hogy értesítést kapjon a frissítések kiadásáról, ha feliratkozik az RSS-hírcsatornájára.

Minden alkalmazásproxy összekötő egy összekötőcsoporthoz van rendelve. Az ugyanabban az összekötőcsoportban lévő összekötők egyetlen egységként működnek a magas rendelkezésre állás és a terheléselosztás érdekében. Új csoportokat hozhat létre, összekötőket rendelhet hozzájuk a Azure Portal, majd adott összekötőket rendelhet hozzá adott alkalmazások kiszolgálásához. Javasoljuk, hogy a magas rendelkezésre állás érdekében minden összekötőcsoportban legalább két összekötő legyen.

Az összekötőcsoportok akkor hasznosak, ha a következő forgatókönyveket kell támogatnia:

• Földrajzi alkalmazás közzététele
• Alkalmazásszegmentáció/elkülönítés
• Felhőben vagy helyszínen futó webalkalmazások közzététele

Az összekötők telepítési helyére és a hálózat optimalizálására vonatkozó további információkért lásd: Hálózati topológia szempontjai az Azure Active Directory alkalmazásproxy használatakor.

Egyéb használati esetek

Eddig arra összpontosítottunk, hogy a alkalmazásproxy használatával külsőleg is közzétehesse a helyszíni alkalmazásokat, miközben lehetővé tettük az egyszeri bejelentkezést az összes felhőbeli és helyszíni alkalmazásra. Vannak azonban más használati esetek is az alkalmazásproxyhoz, amelyeket érdemes megemlíteni. Ezek közé tartoznak például az alábbiak:

• REST API-k biztonságos közzététele. Ha üzleti logikával vagy API-kkal rendelkezik, amelyek a helyszínen futnak, vagy a felhőben lévő virtuális gépeken futnak, alkalmazásproxy nyilvános végpontot biztosít az API-hozzáféréshez. Az API-végponthoz való hozzáférés lehetővé teszi a hitelesítés és az engedélyezés szabályozását bejövő portok megkövetelése nélkül. További biztonságot nyújt Azure AD Prémium szintű funkciókkal, például a többtényezős hitelesítéssel és az eszközalapú feltételes hozzáféréssel asztali, iOS, MAC és Android rendszerű eszközökhöz Intune használatával. További információ: Natív ügyfélalkalmazások engedélyezése proxyalkalmazásokkal való interakcióhoz és API védelme az OAuth 2.0 használatával az Azure Active Directoryval és API Management.
• Távoli asztali szolgáltatások(RDS). A standard RDS-környezetekhez nyitott bejövő kapcsolatokra van szükség. Az RDS alkalmazásproxy-alapú központi telepítése azonban állandó kimenő kapcsolatot létesít az összekötő szolgáltatást futtató kiszolgálóról. Így több alkalmazást is kínálhat a felhasználóknak, ha a távoli asztali szolgáltatásokon keresztül tesz közzé helyszíni alkalmazásokat. Csökkentheti az üzembe helyezés támadási felületét is, ha korlátozott kétlépéses ellenőrzést és feltételes hozzáférés-vezérlést biztosít az RDS-hez.
• WebSockets használatával csatlakozó alkalmazások közzététele. A Qlik Sense támogatása nyilvános előzetes verzióban érhető el, és a jövőben más alkalmazásokra is ki lesz terjesztve.
• Engedélyezze a natív ügyfélalkalmazások számára a proxyalkalmazásokkal való interakciót. A Azure AD alkalmazásproxy használatával webalkalmazásokat tehet közzé, de a Microsoft Authentication Library (MSAL) használatával konfigurált natív ügyfélalkalmazások közzétételére is használható. A natív ügyfélalkalmazások eltérnek a webalkalmazásoktól, mivel egy eszközön vannak telepítve, míg a webalkalmazások böngészőn keresztül érhetők el.

Összegzés

A munka módja és az általunk használt eszközök gyorsan változnak. Mivel egyre több alkalmazott használja saját eszközeit, és a szolgáltatott szoftveres (SaaS-) alkalmazások széles körű használatát, a szervezetek által kezelt és biztonságos adatoknak is fejlődniük kell. A vállalatok már nem kizárólag a saját falaikon belül működnek, és határukat körülvevő árok védik őket. Az adatok minden eddiginél több helyre utaznak a helyszíni és a felhőbeli környezetekben. Ez a fejlődés hozzájárult a felhasználók termelékenységének és együttműködési képességének növeléséhez, de megnehezíti a bizalmas adatok védelmét is.

Akár a Azure AD használatával kezeli a felhasználókat egy hibrid párhuzamos forgatókönyvben, akár szeretné elindítani a felhőbe vezető utat, a Azure AD alkalmazásproxy megvalósítása segíthet csökkenteni a helyszíni lábnyom méretét azáltal, hogy távoli hozzáférést biztosít szolgáltatásként.

A szervezeteknek ma el kell kezdeniük az alkalmazásproxy előnyeit, hogy kihasználhassák az alábbi előnyöket:

• Helyszíni alkalmazások külső közzététele a hagyományos VPN vagy más helyszíni webes közzétételi megoldások és DMZ-megközelítés fenntartásával járó többletterhelés nélkül
• Egyszeri bejelentkezés az összes alkalmazásra, legyen az Microsoft 365 vagy más SaaS-alkalmazás, beleértve a helyszíni alkalmazásokat is
• Felhőbeli biztonság, ahol Azure AD a Microsoft 365 telemetriát használja a jogosulatlan hozzáférés megakadályozása érdekében
• Intune integráció a vállalati forgalom hitelesítésének biztosítása érdekében
• A felhasználói fiókok kezelésének központosítása
• Automatikus frissítések a legújabb biztonsági javítások biztosításához
• Új funkciók a megjelenésükkor; a legutóbbi támogatás az SAML egyszeri bejelentkezéshez és az alkalmazás cookie-k részletesebb kezeléséhez

Következő lépések

• A Azure AD alkalmazásproxy tervezésével, üzemeltetésével és kezelésével kapcsolatos információkért lásd: Azure AD alkalmazásproxy üzembe helyezés megtervezése.
• Ha élő bemutatót szeretne ütemezni, vagy ingyenes, 90 napos próbaverziót szeretne beszerezni, olvassa el az Első lépések a Enterprise Mobility + Security című témakört.