Olvasás angol nyelven

Megosztás a következőn keresztül:


Windows-hitelesítés – Kerberos korlátozott delegálás Microsoft Entra-azonosítóval

A szolgáltatásnévnevek alapján a Kerberos korlátozott delegálás (KCD) korlátozott delegálást biztosít az erőforrások között. Ehhez tartományi rendszergazdáknak kell létrehozniuk a delegálásokat, és csak egyetlen tartományra korlátozódnak. Az erőforrás-alapú KCD használatával Kerberos-hitelesítést biztosíthat egy olyan webalkalmazáshoz, amely egy Active Directory-erdőben több tartományban lévő felhasználókat használ.

A Microsoft Entra alkalmazásproxy egyszeri bejelentkezést (SSO) és távoli hozzáférést biztosíthat azokhoz a KCD-alapú alkalmazásokhoz, amelyekhez Kerberos-jegy szükséges a hozzáféréshez és a Kerberos korlátozott delegáláshoz (KCD).

Az integrált Windows-hitelesítést (IWA) használó helyszíni KCD-alkalmazások egyszeri bejelentkezésének engedélyezéséhez engedélyezze a magánhálózati összekötők számára, hogy megszemélyesíthessék a felhasználókat az Active Directoryban. A privát hálózati összekötő ezzel az engedéllyel küld és fogad jogkivonatokat a felhasználók nevében.

Mikor érdemes használni a KCD-t?

A KCD-t akkor használja, ha távoli hozzáférést kell biztosítania, előhitelesítéssel kell védenie, és egyszeri bejelentkezést kell biztosítania a helyszíni IWA-alkalmazásoknak.

Architektúradiagram

A rendszer összetevői

  • Felhasználó: Hozzáfér az alkalmazásproxy által kiszolgált örökölt alkalmazáshoz.
  • Webböngésző: Az az összetevő, amellyel a felhasználó kapcsolatba lép az alkalmazás külső URL-címének eléréséhez.
  • Microsoft Entra-azonosító: Hitelesíti a felhasználót.
  • alkalmazásproxy szolgáltatás: Fordított proxyként működik, hogy kéréseket küldjön a felhasználótól a helyszíni alkalmazásnak. A Microsoft Entra-azonosítóban található. alkalmazásproxy feltételes hozzáférési szabályzatokat kényszeríthet ki.
  • Privát hálózati összekötő: Windows helyszíni kiszolgálókon telepítve, hogy kapcsolatot biztosítson az alkalmazáshoz. A Microsoft Entra-azonosítóra adott választ adja vissza. KCD-egyeztetést hajt végre az Active Directoryval, megszemélyesíti a felhasználót, hogy kerberos-jogkivonatot kapjon az alkalmazáshoz.
  • Active Directory: Elküldi az alkalmazás Kerberos-jogkivonatát a privát hálózati összekötőnek.
  • Örökölt alkalmazások: Azok az alkalmazások, amelyek felhasználói kéréseket fogadnak alkalmazásproxy. Az örökölt alkalmazások a privát hálózati összekötőre adott választ adják vissza.

Windows-hitelesítés (KCD) implementálása a Microsoft Entra-azonosítóval

Az alábbi forrásokból többet is megtudhat a Windows-hitelesítés (KCD) Microsoft Entra-azonosítóval való implementálásáról.

Következő lépések