Windows-hitelesítés – Kerberos korlátozott delegálás Microsoft Entra-azonosítóval
A szolgáltatásnévnevek alapján a Kerberos korlátozott delegálás (KCD) korlátozott delegálást biztosít az erőforrások között. Ehhez tartományi rendszergazdáknak kell létrehozniuk a delegálásokat, és csak egyetlen tartományra korlátozódnak. Az erőforrás-alapú KCD használatával Kerberos-hitelesítést biztosíthat egy olyan webalkalmazáshoz, amely egy Active Directory-erdőben több tartományban lévő felhasználókat használ.
A Microsoft Entra alkalmazásproxy egyszeri bejelentkezést (SSO) és távoli hozzáférést biztosíthat azokhoz a KCD-alapú alkalmazásokhoz, amelyekhez Kerberos-jegy szükséges a hozzáféréshez és a Kerberos korlátozott delegáláshoz (KCD).
Az integrált Windows-hitelesítést (IWA) használó helyszíni KCD-alkalmazások egyszeri bejelentkezésének engedélyezéséhez engedélyezze a magánhálózati összekötők számára, hogy megszemélyesíthessék a felhasználókat az Active Directoryban. A privát hálózati összekötő ezzel az engedéllyel küld és fogad jogkivonatokat a felhasználók nevében.
A KCD-t akkor használja, ha távoli hozzáférést kell biztosítania, előhitelesítéssel kell védenie, és egyszeri bejelentkezést kell biztosítania a helyszíni IWA-alkalmazásoknak.
- Felhasználó: Hozzáfér az alkalmazásproxy által kiszolgált örökölt alkalmazáshoz.
- Webböngésző: Az az összetevő, amellyel a felhasználó kapcsolatba lép az alkalmazás külső URL-címének eléréséhez.
- Microsoft Entra-azonosító: Hitelesíti a felhasználót.
- alkalmazásproxy szolgáltatás: Fordított proxyként működik, hogy kéréseket küldjön a felhasználótól a helyszíni alkalmazásnak. A Microsoft Entra-azonosítóban található. alkalmazásproxy feltételes hozzáférési szabályzatokat kényszeríthet ki.
- Privát hálózati összekötő: Windows helyszíni kiszolgálókon telepítve, hogy kapcsolatot biztosítson az alkalmazáshoz. A Microsoft Entra-azonosítóra adott választ adja vissza. KCD-egyeztetést hajt végre az Active Directoryval, megszemélyesíti a felhasználót, hogy kerberos-jogkivonatot kapjon az alkalmazáshoz.
- Active Directory: Elküldi az alkalmazás Kerberos-jogkivonatát a privát hálózati összekötőnek.
- Örökölt alkalmazások: Azok az alkalmazások, amelyek felhasználói kéréseket fogadnak alkalmazásproxy. Az örökölt alkalmazások a privát hálózati összekötőre adott választ adják vissza.
Az alábbi forrásokból többet is megtudhat a Windows-hitelesítés (KCD) Microsoft Entra-azonosítóval való implementálásáról.
- Kerberos-alapú egyszeri bejelentkezés (SSO) a Microsoft Entra ID-ban alkalmazásproxy ismerteti az előfeltételeket és a konfigurációs lépéseket.
- Az oktatóanyag – Helyszíni alkalmazás hozzáadása – alkalmazásproxy a Microsoft Entra ID-ban segít felkészíteni a környezetet a alkalmazásproxy való használatra.
- A Microsoft Entra hitelesítési és szinkronizálási protokoll áttekintése a hitelesítési és szinkronizálási protokollokkal való integrációt ismerteti. A hitelesítési integrációk lehetővé teszik a Microsoft Entra ID és annak biztonsági és felügyeleti funkcióinak használatát az örökölt hitelesítési módszereket használó alkalmazások kis vagy egyáltalán nem módosított használatával. A szinkronizálási integrációk lehetővé teszik a felhasználói és csoportadatok Microsoft Entra-azonosítóval való szinkronizálását, majd a Microsoft Entra felügyeleti képességeinek használatát. Egyes szinkronizálási minták lehetővé teszik az automatikus kiépítést.
- A helyszíni alkalmazásokkal való egyszeri bejelentkezés megismerése alkalmazásproxy azt ismerteti, hogy az egyszeri bejelentkezés hogyan teszi lehetővé a felhasználók számára az alkalmazások többszöri hitelesítés nélküli elérését. Az egyszeri bejelentkezés a felhőben a Microsoft Entra-azonosítóval történik, és lehetővé teszi, hogy a szolgáltatás vagy Csatlakozás or megszemélyesítse a felhasználót az alkalmazás hitelesítési kihívásainak teljesítéséhez.
- A Security Assertion Markup Language (SAML) egyszeri bejelentkezés helyszíni alkalmazásokhoz a Microsoft Entra alkalmazásproxyval azt ismerteti, hogyan biztosíthat távoli hozzáférést az SAML-hitelesítéssel védett helyszíni alkalmazásokhoz alkalmazásproxy keresztül.