Akses jarak jauh ke aplikasi lokal melalui Proksi Aplikasi Azure AD

Proksi Aplikasi Azure Active Directory menyediakan akses jarak jauh yang aman ke aplikasi web lokal. Setelah akses menyeluruh ke Azure AD, pengguna dapat mengakses aplikasi cloud dan lokal melalui URL eksternal atau portal aplikasi internal. Misalnya, Proksi Aplikasi dapat menyediakan akses jarak jauh dan akses menyeluruh ke Desktop Jarak Jauh, SharePoint, Teams, Tableau, Qlik, dan aplikasi lini bisnis (LOB).

Proksi Aplikasi Azure AD:

  • Mudah digunakan. Pengguna dapat mengakses aplikasi lokal Anda dengan cara yang sama seperti saat mereka mengakses Microsoft 365 dan aplikasi SaaS lainnya yang terintegrasi dengan Azure AD. Anda tidak perlu mengubah atau memperbarui aplikasi untuk bekerja dengan Proksi Aplikasi.

  • Aman. Aplikasi lokal dapat menggunakan kontrol otorisasi Azure dan analitik keamanan. Misalnya, aplikasi lokal dapat menggunakan Akses Bersyarat dan verifikasi dua langkah. Proksi Aplikasi tidak mengharuskan Anda membuka koneksi masuk melalui firewall.

  • Hemat biaya. Solusi lokal biasanya mengharuskan Anda menyiapkan dan memelihara zona demiliterisasi (DMZ), server tepi, atau infrastruktur kompleks lainnya. Proksi Aplikasi berjalan di cloud, yang membuatnya mudah digunakan. Untuk menggunakan Proksi Aplikasi, Anda tidak perlu mengubah infrastruktur jaringan atau menginstal peralatan tambahan di lingkungan lokal Anda.

Apa itu Proksi Aplikasi?

Proksi Aplikasi adalah fitur Azure AD yang memungkinkan pengguna mengakses aplikasi web lokal dari klien jarak jauh. Proksi Aplikasi mencakup layanan Proksi Aplikasi yang berjalan di cloud, dan konektor Proksi Aplikasi yang berjalan di server lokal. Azure AD, layanan Proksi Aplikasi, dan konektor Proksi Aplikasi bekerja sama untuk meneruskan token masuk pengguna dengan aman dari Azure AD ke aplikasi web.

Proksi Aplikasi berfungsi dengan:

  • Aplikasi web yang menggunakan Autentikasi Windows yang terintegrasi untuk autentikasi
  • Aplikasi web yang menggunakan akses berbasis formulir atau header
  • API Web yang ingin Anda tampilkan ke aplikasi kaya di perangkat yang berbeda
  • Aplikasi yang dihosting di belakang Gateway Desktop Jarak Jauh
  • Aplikasi klien kaya yang terintegrasi dengan Microsoft Authentication Library (MSAL)

Proksi Aplikasi mendukung akses menyeluruh. Untuk mengetahui informasi selengkapnya tentang metode yang didukung, lihat Memilih metode akses menyeluruh.

Proksi Aplikasi disarankan untuk memberikan akses ke sumber daya internal kepada pengguna jarak jauh. Proksi Aplikasi menggantikan kebutuhan akan VPN atau proksi terbalik. Ini tidak ditujukan bagi pengguna internal di jaringan perusahaan. Pengguna internal yang tidak perlu menggunakan Proksi Aplikasi dapat menyebabkan masalah performa yang tidak terduga dan tidak diinginkan.

Cara kerja Proksi Aplikasi

Diagram berikut menunjukkan cara Azure AD dan Proksi Aplikasi bekerja sama untuk menyediakan akses menyeluruh ke aplikasi lokal.

AzureAD Application Proxy diagram

  1. Setelah pengguna mengakses aplikasi melalui titik akhir, pengguna dialihkan ke halaman masuk Azure AD.
  2. Setelah berhasil masuk, Azure AD mengirimkan token ke perangkat klien pengguna.
  3. Klien mengirimkan token ke layanan Proksi Aplikasi, yang mengambil nama prinsipal pengguna (UPN) dan nama prinsipal keamanan (SPN) dari token. Kemudian, Proksi Aplikasi mengirimkan permintaan ke konektor Proksi Aplikasi.
  4. Jika Anda telah mengonfigurasi akses menyeluruh, konektor melakukan autentikasi tambahan yang diperlukan atas nama pengguna.
  5. Konektor mengirimkan permintaan ke aplikasi lokal.
  6. Respons dikirim melalui konektor dan layanan Proksi Aplikasi kepada pengguna.

Catatan

Seperti kebanyakan agen hibrid Azure AD, Konektor Proksi Aplikasi tidak mengharuskan Anda membuka koneksi masuk melalui firewall Anda. Lalu lintas pengguna di langkah 3 berakhir di Layanan Proksi Aplikasi (di Azure AD). Konektor Proksi Aplikasi (lokal) bertanggung jawab atas sisa komunikasi.

Komponen Deskripsi
Titik akhir Titik akhir adalah URL atau portal pengguna akhir. Pengguna dapat menjangkau aplikasi saat berada di luar jaringan Anda dengan mengakses URL eksternal. Pengguna dalam jaringan Anda dapat mengakses aplikasi melalui URL atau portal pengguna akhir. Saat pengguna masuk ke salah satu titik akhir ini, mereka mengautentikasi di Azure AD, kemudian dirutekan melalui konektor ke aplikasi lokal.
Azure AD Azure AD melakukan autentikasi menggunakan direktori tenant yang disimpan di cloud.
Layanan Proksi Aplikasi Layanan Proksi Aplikasi ini berjalan di cloud sebagai bagian dari Azure AD. Ini meneruskan token masuk dari pengguna ke Konektor Proksi Aplikasi. Proksi Aplikasi meneruskan header yang dapat diakses berdasarkan permintaan dan mengatur header sesuai protokolnya, ke alamat IP klien. Jika permintaan masuk ke proksi sudah memiliki header tersebut, alamat IP klien ditambahkan ke akhir daftar yang dipisahkan koma yang merupakan nilai header.
Konektor Proksi Aplikasi Konektor adalah agen ringan yang berjalan di Server Windows di dalam jaringan Anda. Konektor mengelola komunikasi antara layanan Proksi Aplikasi di cloud dan aplikasi lokal. Konektor hanya menggunakan koneksi keluar, sehingga Anda tidak perlu membuka port masuk atau memasukkan apa pun ke DMZ. Konektor tidak memiliki status dan menarik informasi dari cloud jika perlu. Untuk mengetahui informasi selengkapnya tentang konektor, seperti cara konektor menyeimbangkan beban dan mengautentikasi, lihat Memahami konektor Proksi Aplikasi Azure AD.
Direktori Aktif (AD) Direktori Aktif berjalan secara lokal guna melakukan autentikasi untuk akun domain. Saat akses menyeluruh dikonfigurasi, konektor berkomunikasi dengan AD untuk melakukan autentikasi tambahan yang diperlukan.
Aplikasi lokal Akhirnya, pengguna dapat mengakses aplikasi lokal.

Langkah berikutnya

Untuk mulai menggunakan Proksi Aplikasi, lihat Tutorial: Menambahkan aplikasi lokal untuk akses jarak jauh melalui Proksi Aplikasi.