Megosztás a következőn keresztül:


A Microsoft Entra alkalmazásproxy használata a magánfelhőben vagy a helyszínen üzemeltetett alkalmazásprogramozási felület (API) biztonságos eléréséhez

Az üzleti logika gyakran magánalkalmazás-programozási felületen (API) található. Az API helyszíni vagy magánfelhőben fut. A natív Android-, iOS-, Mac- vagy Windows-alkalmazásoknak adatokat kell használniuk az API-végpontokkal, vagy felhasználói interakciót kell biztosítaniuk. A Microsoft Entra alkalmazásproxy és a Microsoft Authentication Library (MSAL) lehetővé teszi a natív alkalmazások számára a magánfelhő API-k biztonságos elérését. A Microsoft Entra alkalmazásproxy gyorsabb és biztonságosabb megoldás, mint a tűzfalportok megnyitása és a hitelesítés és engedélyezés szabályozása az alkalmazásrétegben.

Tipp.

A helyszíni egy régi kifejezés, amely a fizikai kiszolgálóknak a vállalati iroda területén való elhelyezésének idejére nyúlik vissza. Manapság számos saját üzemeltetésű számítási feladat fut egy adatközpontban lévő virtuális gépen. A helyszíni és a magánfelhő kifejezés felcserélhető.

Ez a cikk végigvezeti egy Microsoft Entra alkalmazásproxy-megoldás beállításán egy olyan webes API-szolgáltatás üzemeltetéséhez, amelyhez natív alkalmazások férhetnek hozzá.

Áttekintés

Az alábbi ábra a helyszíni API-k közzétételének hagyományos módját mutatja be. Ehhez a megközelítéshez meg kell nyitni a 80-at és a 443-at.

Hagyományos API-hozzáférés

Az alábbi ábra bemutatja, hogyan teheti biztonságossá az API-k biztonságos közzétételét a Microsoft Entra alkalmazásproxyval bejövő portok megnyitása nélkül:

Microsoft Entra alkalmazásproxy API-hozzáférés

A Microsoft Entra alkalmazásproxy képezi a megoldás gerincét, amely nyilvános végpontként működik az API-hozzáféréshez, valamint hitelesítést és engedélyezést biztosít. Az API-kat számos platformról elérheti a Microsoft Authentication Library (MSAL) kódtárak használatával.

Mivel a Microsoft Entra alkalmazásproxy-hitelesítés és -engedélyezés a Microsoft Entra-azonosítóra épül, a Microsoft Entra feltételes hozzáféréssel biztosíthatja, hogy csak megbízható eszközök férhessenek hozzá az alkalmazásproxyn keresztül közzétett API-khoz. A Microsoft Entra join vagy a Microsoft Entra hibrid csatlakoztatása asztali gépekhez és az Intune Managed for Devices használatával. A Microsoft Entra ID P1 vagy P2 funkcióit is kihasználhatja, például a Microsoft Entra többtényezős hitelesítést, valamint a Microsoft Entra ID-védelem gépi tanuláson alapuló biztonságát.

Előfeltételek

Az útmutató követéséhez a következőkre van szüksége:

  • Rendszergazdai hozzáférés egy Azure-címtárhoz egy olyan fiókkal, amely alkalmazásokat hozhat létre és regisztrálhat
  • A minta webes API és natív ügyfélalkalmazások a Microsoft Authentication Libraryből (MSAL)

Az API közzététele alkalmazásproxyn keresztül

Ha az intraneten kívüli API-t alkalmazásproxyn keresztül szeretné közzétenni, ugyanazt a mintát kell követnie, mint a webalkalmazások közzétételéhez. További információ : Oktatóanyag: Helyszíni alkalmazás hozzáadása távoli hozzáféréshez alkalmazásproxyn keresztül a Microsoft Entra ID-ban.

A SecretAPI webes API közzététele alkalmazásproxyn keresztül:

  1. Hozza létre és tegye közzé a SecretAPI-mintaprojektet ASP.NET webalkalmazásként a helyi számítógépen vagy intraneten. Győződjön meg arról, hogy helyileg hozzáférhet a webalkalmazáshoz.

  2. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásadminisztrátorként.

  3. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.

  4. A Vállalati alkalmazások – Minden alkalmazás lap tetején válassza az Új alkalmazás lehetőséget.

  5. A Microsoft Entra Katalógus tallózása lapon keresse meg a helyszíni alkalmazások szakaszt, és válassza a Helyszíni alkalmazás hozzáadása lehetőséget. Megjelenik a Saját helyszíni alkalmazás hozzáadása lap.

  6. Ha nincs telepítve magánhálózati összekötő, a rendszer kérni fogja a telepítést. Válassza a Magánhálózati összekötő letöltése lehetőséget az összekötő letöltéséhez és telepítéséhez.

  7. Információk hozzáadása a Saját helyszíni alkalmazás hozzáadása lapon.

    1. A Név mellett adja meg a SecretAPI nevet.

    2. A Belső URL-cím mellett adja meg az API intraneten belüli eléréséhez használt URL-címet.

    3. Győződjön meg arról, hogy az előzetes hitelesítés Microsoft Entra-azonosítóra van állítva.

    4. Válassza a Létrehozás lehetőséget, és várja meg, amíg az alkalmazás létrejön.

    API-alkalmazás hozzáadása

  8. A Vállalati alkalmazások – Minden alkalmazás lapon válassza a SecretAPI alkalmazást.

  9. A SecretAPI – Áttekintés lapon válassza a Tulajdonságok lehetőséget a bal oldali navigációs sávon.

  10. Nem szeretné, hogy az API-k elérhetők legyenek a végfelhasználók számára a MyApps panelen, ezért a Tulajdonságok lap alján állítsa a Látható a felhasználók számára nem értékre, majd válassza a Mentés lehetőséget.

    Nem látható a felhasználók számára

A webes API mostantól a Microsoft Entra alkalmazásproxyn keresztül van közzétéve. Ezután vegye fel az alkalmazást elérő felhasználókat.

  1. A SecretAPI – Áttekintés lapon válassza a Felhasználók és csoportok lehetőséget a bal oldali navigációs sávon.

  2. A Felhasználók és csoportok lapon válassza a Felhasználó hozzáadása lehetőséget.

  3. A Hozzárendelés hozzáadása lapon válassza a Felhasználók és csoportok lehetőséget.

  4. A Felhasználók és csoportok lapon keressen és jelöljön ki olyan felhasználókat, akik hozzáférhetnek az alkalmazáshoz, beleértve legalább saját magát is. Az összes felhasználó kijelölése után válassza a Kiválasztás lehetőséget.

    Felhasználó kiválasztása és hozzárendelése

  5. A Hozzárendelés hozzáadása lapon válassza a Hozzárendelés lehetőséget.

Feljegyzés

Az integrált Windows-hitelesítést használó API-k további lépéseket igényelhetnek.

A natív alkalmazás regisztrálása és az API-hoz való hozzáférés biztosítása

A natív alkalmazások olyan programok, amelyeket egy adott platformon vagy eszközön való használatra fejlesztettek ki. Ahhoz, hogy a natív alkalmazás csatlakozni tud egy API-hoz, regisztrálnia kell azt a Microsoft Entra-azonosítóban. Az alábbi lépések bemutatják, hogyan regisztrálhat natív alkalmazásokat, és hogyan adhat hozzáférést az alkalmazásproxyn keresztül közzétett webes API-hoz.

Az AppProxyNativeAppSample natív alkalmazás regisztrálása:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásadminisztrátorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat> Alkalmazásregisztrációk.

  3. Új regisztráció kiválasztása.

  4. Adja meg az adatokat az Alkalmazás regisztrálása lapon.

    1. A Név mezőbe írja be az AppProxyNativeAppSample nevet.

    2. A Támogatott fióktípusok csoportban válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget (csak Contoso – Egyetlen bérlő).

    3. Az Átirányítás URL-cím alatt legördülő menüben válassza a Nyilvános ügyfél/natív (mobil & asztali) lehetőséget, majd írja be a * *https://login.microsoftonline.com/common/oauth2/nativeclient értéket.

    4. Válassza a Regisztráció lehetőséget, és várja meg, amíg az alkalmazás sikeresen regisztrálva lesz.

      Új alkalmazásregisztráció

Az AppProxyNativeAppSample alkalmazás regisztrálva van a Microsoft Entra-azonosítóban. Natív alkalmazás hozzáférésének biztosítása a SecretAPI webes API-hoz:

  1. A Alkalmazásregisztrációk lapon válassza az AppProxyNativeAppSample alkalmazást.

  2. Az AppProxyNativeAppSample lapon válassza ki az API-engedélyeket a bal oldali navigációs sávon.

  3. Az API engedélyoldalán válassza az Engedély hozzáadása lehetőséget.

  4. Az első Kérelem API-engedélyek lapon válassza ki a szervezetem által használt API-kat, majd keresse meg és válassza a SecretAPI lehetőséget.

  5. A következő Kérelem API-engedélyek lapon jelölje be a user_impersonation melletti jelölőnégyzetet, majd válassza az Engedélyek hozzáadása lehetőséget.

    Válasszon egy A P I-t.

  6. Az API engedélyoldalára visszatérve kiválaszthatja a Contoso rendszergazdai hozzájárulásának megadását, hogy más felhasználóknak ne kelljen külön-külön hozzájárulást adniuk az alkalmazáshoz.

A natív alkalmazáskód konfigurálása

Az utolsó lépés a natív alkalmazás konfigurálása. A kódot hozzá kell adni a Form1.cs fájlhoz a NativeClient mintaalkalmazásban. A kód az MSAL-kódtár használatával szerzi be a jogkivonatot. A jogkivonat lekéri az API-hívást, és csatolja a kérés fejlécéhez. A jogkivonat tulajdonosi tanúsítványként van csatolva. További információ az MSAL-ról: MSAL hozzáadása a projekthez , és hivatkozás hozzáadása az MSAL-hoz.

  1. A Form1.cs adja hozzá a névteret using Microsoft.Identity.Client; a kódhoz.

  2. Szerkessze a natív alkalmazáskódot a Microsoft Authentication Library (MSAL) hitelesítési környezetében, hogy belefoglalja ezt a testreszabott kódmintát.

Konfigurálja a natív alkalmazást a Microsoft Entra-azonosítóhoz való csatlakozáshoz, és hívja meg az API-t alkalmazásproxy használatával. Ezután frissítse a helyőrző értékeket a App.config fájlban a NativeClient sample app Microsoft Entra ID értékeivel.

  1. Illessze be a könyvtár (bérlő) azonosítóját a <add key="ida:Tenant" value="" /> mezőbe. Ezt az értéket (GUID- t) bármelyik alkalmazás Áttekintés lapján megtalálhatja és átmásolhatja.

  2. Illessze be az AppProxyNativeAppSample alkalmazás (ügyfél) azonosítóját a <add key="ida:ClientId" value="" /> mezőbe. Ezt az értéket (guid) az AppProxyNativeAppSample Áttekintés lapján, a Bal oldali navigációs menü Kezelés csoportjában találja és másolhatja.

  3. Illessze be az AppProxyNativeAppSample Redirect URI-t a <add key="ida:RedirectUri" value="" /> mezőbe. Ezt az értéket (egy URI-t) az AppProxyNativeAppSample hitelesítési oldalán, a Bal oldali navigációs Menü Kezelés csoportjában találja és másolhatja. Ez a lépés nem kötelező, mivel az MSAL a metódus PublicClientApplicationBuilder.WithDefaultRedirectUri() használatával szúrja be az ajánlott válasz egységes erőforrás-azonosítóját (URI).

  4. Illessze be a SecretAPI alkalmazásazonosító URI-ját a <add key="todo:TodoListResourceId" value="" /> mezőbe. Az érték megegyezik todo:TodoListBaseAddressa . Az URI-érték az alkalmazás API-oldalán SecretAPI található. Keresse meg a bal oldali navigációs sávOt a Kezelés csoportban.

  5. Illessze be a SecretAPI kezdőlapJÁNAK URL-címét a <add key="todo:TodoListBaseAddress" value="" /> mezőbe. Ezt az értéket (egy URL-címet) a SecretAPI Védjegyzés > tulajdonságok lapjáról, a Bal oldali navigációs menü Kezelés csoportjában találja és másolhatja.

Feljegyzés

Ha a megoldás nem hozza létre és jelenti az érvénytelen Resx-fájlt, a Megoldáskezelő bontsa ki a Tulajdonságok elemet, kattintson a jobb gombbal az Resources.resx elemre, majd válassza a Kód megtekintése lehetőséget. 121–123. megjegyzéssorok.

A paraméterek konfigurálása után hozza létre és futtassa a natív alkalmazást. Amikor kiválasztja a Bejelentkezés gombot, az alkalmazás lehetővé teszi a bejelentkezést, majd megjelenik egy sikeres képernyő, amely megerősíti, hogy sikeresen csatlakozott a SecretAPI-hoz.

Képernyőkép az

Következő lépések