Menambahkan aplikasi lokal untuk akses jarak jauh melalui proksi aplikasi di ID Microsoft Entra

  • Artikel

MICROSOFT Entra ID memiliki layanan proksi aplikasi yang memungkinkan pengguna mengakses aplikasi lokal dengan masuk dengan akun Microsoft Entra mereka. Untuk mempelajari selengkapnya tentang proksi aplikasi, lihat Apa itu proksi aplikasi?. Tutorial ini mempersiapkan lingkungan Anda untuk digunakan dengan proksi aplikasi. Setelah lingkungan Anda siap, gunakan pusat admin Microsoft Entra untuk menambahkan aplikasi lokal ke penyewa Anda.

Diagram Gambaran Umum proksi aplikasi

Di tutorial ini, Anda akan:

  • Instal dan verifikasi konektor di server Windows Anda, dan daftarkan dengan proksi aplikasi.
  • Tambahkan aplikasi lokal ke penyewa Microsoft Entra Anda.
  • Verifikasi bahwa pengguna uji dapat masuk ke aplikasi dengan menggunakan akun Microsoft Entra.

Prasyarat

Untuk menambahkan aplikasi lokal ke MICROSOFT Entra ID, Anda memerlukan:

  • Langganan Microsoft Entra ID P1 atau P2.
  • Akun administrator aplikasi.
  • Sekumpulan identitas pengguna yang disinkronkan dengan direktori lokal. Atau buat langsung di penyewa Microsoft Entra Anda. Sinkronisasi identitas memungkinkan ID Microsoft Entra untuk melakukan pra-autentikasi pengguna sebelum memberi mereka akses ke aplikasi yang diterbitkan proksi aplikasi. Sinkronisasi juga menyediakan informasi pengidentifikasi pengguna yang diperlukan untuk melakukan akses menyeluruh (SSO).
  • Pemahaman tentang manajemen aplikasi di Microsoft Entra, lihat Menampilkan aplikasi perusahaan di Microsoft Entra.
  • Pemahaman tentang akses menyeluruh (SSO), lihat Memahami akses menyeluruh.

Menginstal dan memverifikasi konektor jaringan privat Microsoft Entra

Proksi aplikasi menggunakan konektor yang sama dengan Akses Privat Microsoft Entra. Konektor disebut konektor jaringan privat Microsoft Entra. Untuk mempelajari cara menginstal dan memverifikasi konektor, lihat Cara mengonfigurasi konektor.

Pernyataan umum

Catatan DNS publik untuk titik akhir proksi aplikasi Microsoft Entra adalah rekaman CNAME berantai yang menunjuk ke catatan A. Menyiapkan rekaman dengan cara ini memastikan toleransi dan fleksibilitas kesalahan. Konektor jaringan privat Microsoft Entra selalu mengakses nama host dengan akhiran *.msappproxy.net domain atau *.servicebus.windows.net. Namun, selama resolusi nama, catatan CNAME mungkin berisi catatan DNS dengan nama host dan akhiran yang berbeda. Karena perbedaannya, Anda harus memastikan bahwa perangkat (tergantung pada penyiapan Anda - server konektor, firewall, proksi keluar) dapat menyelesaikan semua rekaman dalam rantai dan memungkinkan koneksi ke alamat IP yang diselesaikan. Karena catatan DNS dalam rantai mungkin diubah dari waktu ke waktu, kami tidak bisa memberi Anda catatan DNS daftar apa pun.

Jika Anda menginstal konektor di wilayah yang berbeda, Anda harus mengoptimalkan lalu lintas dengan memilih wilayah layanan cloud proksi aplikasi terdekat dengan setiap grup konektor. Untuk mempelajari selengkapnya, lihat Mengoptimalkan arus lalu lintas dengan proksi aplikasi Microsoft Entra.

Jika organisasi Anda menggunakan server proksi untuk terhubung ke internet, Anda perlu mengonfigurasinya untuk proksi aplikasi. Untuk informasi selengkapnya lihat Bekerja dengan server proksi lokal yang sudah ada.

Menambahkan aplikasi lokal ke ID Microsoft Entra

Tambahkan aplikasi lokal ke ID Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi.

  2. Telusuri aplikasi Identity>Applications>Enterprise.

  3. Pilih Aplikasi baru.

  4. Pilih tombol Tambahkan aplikasi lokal, yang muncul sekitar setengah halaman di bagian Aplikasi lokal. Atau, Anda dapat memilih Buat aplikasi Anda sendiri di bagian atas halaman lalu pilih Konfigurasikan proksi aplikasi untuk akses jarak jauh yang aman ke aplikasi lokal.

  5. Di bagian Tambahkan aplikasi lokal Anda sendiri, berikan informasi berikut tentang aplikasi Anda:

    Bidang KETERANGAN
    Nama Nama aplikasi yang muncul di Aplikasi Saya dan di pusat admin Microsoft Entra.
    Mode Pemeliharaan Pilih apakah Anda ingin mengaktifkan mode pemeliharaan dan menonaktifkan akses untuk semua pengguna ke aplikasi untuk sementara waktu.
    URL Internal URL untuk mengakses aplikasi dari dalam jaringan privat Anda. Anda bisa menyediakan jalur spesifik pada server ujung belakang untuk diterbitkan, sementara server lainnya tidak diterbitkan. Dengan cara ini, Anda dapat menerbitkan situs yang berbeda di server yang sama dengan aplikasi yang berbeda, dan memberikan masing-masing nama dan aturan aksesnya sendiri.

    Jika Anda menerbitkan jalur, pastikan jalur tersebut menyertakan semua gambar, skrip, dan lembar gaya yang diperlukan untuk aplikasi Anda. Misalnya, jika aplikasi Anda berada di https:https://yourapp/app/yourapp/app dan menggunakan gambar yang terletak di https:https://yourapp/media/yourapp/media, Anda harus menerbitkan https:https://yourapp//yourapp/ sebagai jalurnya. URL internal ini tidak harus menjadi halaman arahan yang dilihat pengguna Anda. Untuk informasi selengkapnya, lihat Mengatur halaman beranda kustom untuk aplikasi yang dipublikasikan.
    URL Eksternal Alamat bagi pengguna untuk mengakses aplikasi dari luar jaringan Anda. Jika Anda tidak ingin menggunakan domain proksi aplikasi default, baca tentang domain kustom di proksi aplikasi Microsoft Entra.
    Praautentikasi Cara proksi aplikasi memverifikasi pengguna sebelum memberi mereka akses ke aplikasi Anda.

    ID Microsoft Entra - Proksi aplikasi mengalihkan pengguna untuk masuk dengan ID Microsoft Entra, yang mengautentikasi izin mereka untuk direktori dan aplikasi. Sebaiknya simpan opsi ini sebagai default sehingga Anda dapat memanfaatkan fitur keamanan Microsoft Entra seperti Akses Bersyarat dan autentikasi multifaktor. ID Microsoft Entra diperlukan untuk memantau aplikasi dengan aplikasi Microsoft Defender untuk Cloud.

    Passthrough - Pengguna tidak perlu mengautentikasi terhadap ID Microsoft Entra untuk mengakses aplikasi. Anda masih dapat menyiapkan persyaratan autentikasi di ujung akhir.
    Grup Konektor Konektor memproses akses jarak jauh ke aplikasi Anda, dan grup konektor membantu Anda mengatur konektor serta aplikasi berdasarkan wilayah, jaringan, atau tujuan. Jika Anda belum membuat grup konektor, aplikasi Anda akan ditetapkan ke Default.

    Jika aplikasi Anda menggunakan WebSocket untuk terhubung, semua konektor dalam grup harus versi 1.5.612.0 atau yang lebih baru.

  6. Jika perlu, konfigurasi Pengaturan tambahan. Untuk sebagian besar aplikasi, Anda harus menyimpan pengaturan ini dalam status default.

    Bidang Deskripsi
    Batas Waktu Aplikasi Ujung Belakang Atur nilai ini ke Panjang hanya jika aplikasi Anda lambat mengautentikasi dan menyambungkan. Secara default, batas waktu aplikasi ujung belakang memiliki durasi 85 detik. Ketika diatur terlalu lama, batas waktu backend ditingkatkan menjadi 180 detik.
    Menggunakan cookie khusus HTTP Pilih agar cookie proksi aplikasi menyertakan bendera HTTPOnly di header respons HTTP. Jika menggunakan Layanan Desktop Jauh, biarkan opsi tidak dipilih.
    Menggunakan Cookie Persisten Biarkan opsi tidak dipilih. Hanya gunakan pengaturan ini untuk aplikasi yang tidak dapat berbagi kuki di antara proses. Untuk informasi selengkapnya tentang pengaturan cookie, lihat Pengaturan cookie untuk mengakses aplikasi lokal di ID Microsoft Entra.
    Menerjemahkan URL di Header Tetap pilih opsi kecuali aplikasi Anda memerlukan header host asli dalam permintaan autentikasi.
    Menerjemahkan URL dalam Isi Aplikasi Jaga agar opsi tidak dipilih kecuali tautan HTML dikodekan secara permanen ke aplikasi lokal lainnya dan jangan gunakan domain kustom. Untuk informasi selengkapnya, lihat Menautkan terjemahan dengan proksi aplikasi.

    Pilih jika Anda berencana untuk memantau aplikasi ini dengan aplikasi Microsoft Defender untuk Cloud. Untuk informasi selengkapnya, lihat Mengonfigurasi pemantauan akses aplikasi real-time dengan aplikasi Microsoft Defender untuk Cloud dan ID Microsoft Entra.
    Memvalidasi Sertifikat TLS/SSL Backend Pilih untuk mengaktifkan validasi sertifikat TLS/SSL backend untuk aplikasi.

  7. Pilih Tambahkan.

Uji aplikasi

Anda siap menguji aplikasi ditambahkan dengan benar. Dalam langkah-langkah berikut, Anda menambahkan akun pengguna ke aplikasi, dan mencoba masuk.

Menambahkan pengguna untuk pengujian

Sebelum menambahkan pengguna ke aplikasi, pastikan akun pengguna sudah memiliki izin untuk mengakses aplikasi dari dalam jaringan perusahaan.

Untuk menambahkan pengguna uji:

  1. Pilih aplikasi Perusahaan, lalu pilih aplikasi yang ingin Anda uji.
  2. Pilih Memulai, lalu pilih Tetapkan pengguna untuk pengujian.
  3. Di bawah Pengguna dan grup, pilih Tambahkan pengguna.
  4. Di bawah Tambahkan penugasan, pilih Pengguna dan grup. Bagian Pengguna dan grup muncul.
  5. Pilih akun yang ingin Anda tambahkan.
  6. Pilih Pilih, lalu pilih Tetapkan.

Menguji masuk

Untuk menguji autentikasi ke aplikasi:

  1. Dari aplikasi yang ingin Anda uji, pilih proksi aplikasi.
  2. Di bagian atas halaman, pilih Uji Aplikasi untuk menjalankan tes pada aplikasi dan memeriksa masalah konfigurasi apa pun.
  3. Pastikan untuk meluncurkan aplikasi terlebih dulu untuk menguji masuk ke aplikasi, lalu unduh laporan diagnostik untuk meninjau panduan resolusi untuk tiap masalah yang terdeteksi.

Untuk pemecahan masalah, lihat Memecahkan masalah proksi aplikasi dan pesan kesalahan.

Membersihkan sumber daya

Jangan lupa untuk menghapus salah satu sumber daya yang Anda buat dalam tutorial ini ketika Anda selesai.

Pemecahan Masalah

Pelajari tentang masalah umum dan cara memecahkan masalahnya.

Membuat Aplikasi/Mengatur URL

Periksa detail kesalahan untuk informasi dan saran tentang cara memperbaiki aplikasi. Sebagian besar pesan kesalahan menyertakan perbaikan yang disarankan. Untuk menghindari kesalahan umum, verifikasi bahwa:

  • Anda adalah administrator dengan izin untuk membuat aplikasi proksi aplikasi
  • URL internal unik
  • URL eksternal unik
  • URL dimulai dengan http atau https, dan diakhiri dengan “/”
  • URL harus berupa nama domain dan bukan alamat IP

Pesan kesalahan harus ditampilkan di sudut kanan atas saat Anda membuat aplikasi. Anda juga dapat memilih ikon pemberitahuan untuk melihat pesan kesalahan.

Mengunggah sertifikat untuk domain kustom

Domain Kustom memungkinkan Anda menentukan domain URL eksternal Anda. Untuk menggunakan domain kustom, Anda perlu mengunggah sertifikat untuk domain tersebut. Untuk informasi tentang menggunakan domain dan sertifikat kustom, lihat Bekerja dengan domain kustom di proksi aplikasi Microsoft Entra.

Jika Anda mengalami masalah saat mengunggah sertifikat, cari pesan kesalahan di portal untuk informasi tambahan tentang masalah dengan sertifikat. Masalah sertifikat umum meliputi:

  • Sertifikat yang kedaluwarsa
  • Sertifikat ditandatangani sendiri
  • Sertifikat kehilangan key privat

Pesan kesalahan ditampilkan di sudut kanan atas saat Anda mencoba mengunggah sertifikat. Anda juga dapat memilih ikon pemberitahuan untuk melihat pesan kesalahan.

Langkah berikutnya