Akses menyeluruh (SSO) berbasis header untuk aplikasi lokal dengan proksi aplikasi Microsoft Entra
Proksi aplikasi Microsoft Entra secara asli mendukung akses menyeluruh (SSO) ke aplikasi yang menggunakan header untuk autentikasi. Anda mengonfigurasi nilai header yang diperlukan oleh aplikasi Anda di ID Microsoft Entra. Nilai header dikirim ke aplikasi melalui proksi aplikasi. Manfaat menggunakan dukungan asli untuk autentikasi berbasis header dengan proksi aplikasi meliputi:
Sederhanakan akses jarak jauh ke aplikasi lokal Anda - Proksi aplikasi menyederhanakan arsitektur akses jarak jauh yang ada. Anda mengganti akses Virtual Private Network (VPN) ke aplikasi ini. Anda menghapus dependensi pada solusi identitas lokal untuk autentikasi. Anda menyederhanakan pengalaman untuk pengguna dan mereka tidak melihat sesuatu yang berbeda ketika mereka menggunakan aplikasi perusahaan. Pengguna dapat bekerja dari mana saja di perangkat apa pun.
Tidak ada perangkat lunak atau perubahan tambahan pada aplikasi Anda - Anda menggunakan konektor jaringan privat yang ada. Tidak diperlukan perangkat lunak tambahan.
Daftar luas atribut dan transformasi yang tersedia - Semua nilai header yang tersedia didasarkan pada klaim standar yang dikeluarkan oleh ID Microsoft Entra. Semua atribut dan transformasi yang tersedia untuk mengonfigurasi klaim untuk aplikasi Security Assertion Markup Language (SAML) atau OpenID Koneksi (OIDC) juga tersedia sebagai nilai header.
Prasyarat
Aktifkan proksi aplikasi dan instal konektor yang memiliki akses jaringan langsung ke aplikasi Anda. Untuk mempelajari selengkapnya, lihat Menambahkan aplikasi lokal untuk akses jarak jauh melalui proksi aplikasi.
Kemampuan yang didukung
Tabel mencantumkan kemampuan umum yang diperlukan untuk aplikasi autentikasi berbasis header.
| Persyaratan | Deskripsi |
|---|---|
| SSO Federasi | Dalam mode praautentikasi, semua aplikasi dilindungi dengan autentikasi Microsoft Entra dan pengguna memiliki akses menyeluruh. |
| Akses jarak jauh | Proksi aplikasi menyediakan akses jarak jauh ke aplikasi. Pengguna mengakses aplikasi dari internet di browser web apa pun menggunakan Uniform Resource Locator (URL) eksternal. Proksi aplikasi tidak ditujukan untuk akses perusahaan umum. Untuk akses perusahaan umum, lihat Akses Privat Microsoft Entra. |
| Integrasi berbasis header | Proksi aplikasi menangani integrasi SSO dengan MICROSOFT Entra ID dan kemudian meneruskan identitas atau data aplikasi lain sebagai header HTTP ke aplikasi. |
| Otorisasi aplikasi | Kebijakan umum ditentukan berdasarkan aplikasi yang diakses, keanggotaan grup pengguna, dan kebijakan lainnya. Di MICROSOFT Entra ID, kebijakan diimplementasikan menggunakan Akses Bersyar. Kebijakan otorisasi aplikasi hanya berlaku untuk permintaan autentikasi awal. |
| Autentikasi peningkatan | Kebijakan didefinisikan untuk memaksa autentikasi yang ditambahkan, misalnya, untuk mendapatkan akses ke sumber daya sensitif. |
| Otorisasi terperinci | Menyediakan kontrol akses di tingkat URL. Kebijakan yang ditambahkan dapat diberlakukan berdasarkan URL yang diakses. URL internal yang dikonfigurasi untuk aplikasi menentukan cakupan aplikasi tempat kebijakan diterapkan. Kebijakan yang dikonfigurasi untuk jalur yang paling terperinci diberlakukan. |
Catatan
Artikel ini menjelaskan koneksi antara aplikasi autentikasi berbasis header dan ID Microsoft Entra menggunakan proksi aplikasi dan merupakan pola yang direkomendasikan. Sebagai alternatif, ada pola integrasi yang menggunakan PingAccess dengan MICROSOFT Entra ID untuk mengaktifkan autentikasi berbasis header. Untuk informasi selengkapnya, lihat Autentikasi berbasis header untuk akses menyeluruh dengan proksi aplikasi dan PingAccess.
Cara kerjanya
- Admin menyesuaikan pemetaan atribut yang diperlukan oleh aplikasi di pusat admin Microsoft Entra.
- Proksi aplikasi memastikan pengguna diautentikasi menggunakan ID Microsoft Entra.
- Layanan cloud proksi aplikasi mengetahui atribut yang diperlukan. Jadi layanan mengambil klaim yang sesuai dari token ID yang diterima selama autentikasi. Layanan kemudian menerjemahkan nilai ke dalam header HTTP yang diperlukan sebagai bagian dari permintaan ke konektor.
- Permintaan kemudian diteruskan ke konektor, yang kemudian diteruskan ke aplikasi backend.
- Aplikasi menerima header dan dapat menggunakan header ini sesuai kebutuhan.
Menerbitkan aplikasi dengan proksi aplikasi
Terbitkan aplikasi Anda sesuai dengan instruksi yang dijelaskan dalam Menerbitkan aplikasi dengan proksi aplikasi.
- Nilai URL internal menentukan cakupan aplikasi. Anda mengonfigurasi nilai URL internal di jalur akar aplikasi, dan semua sub jalur di bawah akar menerima konfigurasi header dan aplikasi yang sama.
- Buat aplikasi baru untuk mengatur konfigurasi header atau penetapan pengguna yang berbeda untuk jalur yang lebih terperinci daripada aplikasi yang Anda konfigurasi. Di aplikasi baru, konfigurasikan URL internal dengan jalur tertentu yang Anda butuhkan lalu konfigurasikan header tertentu yang diperlukan untuk URL ini. Proksi aplikasi selalu cocok dengan pengaturan konfigurasi Anda dengan jalur yang paling terperinci yang ditetapkan untuk aplikasi.
Pilih MICROSOFT Entra ID sebagai metode pra-autentikasi.
Tetapkan pengguna uji dengan menavigasi ke Pengguna dan grup dan menetapkan pengguna dan grup yang sesuai.
Buka browser dan navigasikan ke URL Eksternal dari pengaturan proksi aplikasi.
Pastikan bahwa Anda dapat tersambung ke aplikasi. Meskipun dapat terhubung, Anda belum dapat mengakses aplikasi karena header tidak dikonfigurasi.
Mengonfigurasi SSO
Sebelum Anda mulai menggunakan akses menyeluruh untuk aplikasi berbasis header, instal konektor jaringan privat. Konektor harus dapat mengakses ke aplikasi target. Untuk mempelajari selengkapnya, lihat Tutorial: Proksi aplikasi Microsoft Entra.
- Setelah aplikasi Anda muncul dalam daftar aplikasi enterprise, pilih, kemudian pilih Akses menyeluruh.
- Atur mode akses menyeluruh ke berbasis Header.
- Di Konfigurasi Dasar, ID Microsoft Entra, dipilih sebagai default.
- Pilih pensil edit, di Header untuk mengonfigurasi header untuk dikirim ke aplikasi.
- Pilih Tambahkan header baru. Berikan nama untuk header dan pilih Atribut atau Transformasi dan pilih dari drop-down header mana yang dibutuhkan aplikasi Anda.
- Untuk mempelajari selengkapnya tentang daftar atribut yang tersedia, lihat Kustomisasi Klaim- Atribut.
- Untuk mempelajari selengkapnya tentang daftar transformasi yang tersedia, lihat Kustomisasi Klaim- Transformasi Klaim.
- Anda dapat menambahkan Header Grup. Untuk mempelajari selengkapnya tentang mengonfigurasi grup sebagai nilai, lihat: Mengonfigurasi klaim grup untuk aplikasi.
- Pilih Simpan.
Menguji aplikasi Anda
Aplikasi sekarang berjalan dan tersedia. Untuk menguji aplikasi:
- Hapus header yang di-cache sebelumnya dengan membuka browser baru atau jendela browser privat.
- Navigasikan ke URL eksternal. Anda dapat menemukan pengaturan ini yang tercantum sebagai URL Eksternal di pengaturan proksi aplikasi.
- Masuk dengan akun pengujian yang Anda tetapkan ke aplikasi.
- Konfirmasikan bahwa Anda dapat memuat dan masuk ke aplikasi menggunakan SSO.
Pertimbangan
- Proksi aplikasi menyediakan akses jarak jauh ke aplikasi lokal atau di cloud privat. Proksi aplikasi tidak disarankan untuk lalu lintas yang berasal dari dalam jaringan yang sama dengan aplikasi yang dimaksudkan.
- Akses ke aplikasi autentikasi berbasis header harus dibatasi hanya ke lalu lintas dari konektor atau solusi autentikasi berbasis header lainnya yang diizinkan.. Pembatasan akses umumnya dilakukan menggunakan firewall atau pembatasan IP pada server aplikasi.