Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Proksi aplikasi Microsoft Entra secara bawaan mendukung akses menyeluruh (SSO) ke aplikasi yang menggunakan header untuk autentikasi. Anda mengonfigurasi nilai header yang diperlukan oleh aplikasi Anda di ID Microsoft Entra. Nilai header dikirim ke aplikasi melalui proksi aplikasi. Manfaat menggunakan dukungan asli untuk autentikasi berbasis header dengan proksi aplikasi meliputi:
Menyederhanakan akses jarak jauh ke aplikasi lokal Anda - Proksi aplikasi menyederhanakan arsitektur akses jarak jauh yang ada. Anda mengganti akses Virtual Private Network (VPN) ke aplikasi ini. Anda menghapus dependensi pada solusi identitas lokal untuk autentikasi. Anda menyederhanakan pengalaman untuk pengguna dan mereka tidak melihat sesuatu yang berbeda ketika mereka menggunakan aplikasi perusahaan. Pengguna dapat bekerja dari mana saja di perangkat apa pun.
Tidak ada perangkat lunak atau perubahan tambahan pada aplikasi - Anda menggunakan konektor jaringan privat yang ada. Tidak diperlukan perangkat lunak tambahan.
Daftar luas atribut dan transformasi yang tersedia - Semua nilai header yang tersedia didasarkan pada klaim standar yang dikeluarkan oleh ID Microsoft Entra. Semua atribut dan transformasi yang tersedia untuk mengonfigurasi klaim untuk aplikasi yang menggunakan Security Assertion Markup Language (SAML) atau OpenID Connect (OIDC) juga tersedia sebagai nilai header.
Prasyarat
Aktifkan proksi aplikasi dan instal konektor yang memiliki akses jaringan langsung ke aplikasi Anda. Untuk mempelajari lebih lanjut, lihat Menambahkan aplikasi lokal untuk akses jarak jauh melalui proksi aplikasi.
Kemampuan yang didukung
Tabel mencantumkan kemampuan umum yang diperlukan untuk aplikasi autentikasi berbasis header.
| Syarat | Deskripsi |
|---|---|
| SSO yang terfederasi | Dalam mode praautentikasi, semua aplikasi dilindungi dengan autentikasi Microsoft Entra dan pengguna memiliki akses menyeluruh. |
| Akses jarak jauh | Proksi aplikasi menyediakan akses jarak jauh ke aplikasi. Pengguna mengakses aplikasi dari internet di browser web apa pun menggunakan Uniform Resource Locator (URL) eksternal. Proksi aplikasi tidak ditujukan untuk akses perusahaan umum. Untuk akses perusahaan umum, lihat Microsoft Entra Private Access. |
| Integrasi berbasis header | Proksi aplikasi menangani integrasi SSO dengan MICROSOFT Entra ID dan kemudian meneruskan identitas atau data aplikasi lain sebagai header HTTP ke aplikasi. |
| Otorisasi aplikasi | Kebijakan umum ditentukan berdasarkan aplikasi yang diakses, keanggotaan grup pengguna, dan kebijakan lainnya. Di Microsoft Entra ID, kebijakan diterapkan menggunakan Akses Bersyarat. Kebijakan otorisasi aplikasi hanya berlaku untuk permintaan autentikasi awal. |
| Autentikasi bertingkat | Kebijakan ditetapkan untuk mewajibkan autentikasi tambahan, misalnya, untuk mendapatkan akses ke sumber daya yang sensitif. |
| Otorisasi yang sangat rinci | Menyediakan kontrol akses di tingkat URL. Kebijakan yang ditambahkan dapat diberlakukan berdasarkan URL yang diakses. URL internal yang dikonfigurasi untuk aplikasi menentukan cakupan aplikasi tempat kebijakan diterapkan. Kebijakan yang dikonfigurasi untuk jalur yang paling rinci diberlakukan. |
Nota
Artikel ini menjelaskan koneksi antara aplikasi autentikasi berbasis header dan ID Microsoft Entra menggunakan proksi aplikasi dan merupakan pola yang direkomendasikan. Sebagai alternatif, ada pola integrasi yang menggunakan PingAccess dengan MICROSOFT Entra ID untuk mengaktifkan autentikasi berbasis header. Untuk informasi selengkapnya, lihat autentikasi berbasis Header untuk satu kali masuk dengan proksi aplikasi dan PingAccess.
Cara kerjanya
- Admin menyesuaikan pemetaan atribut yang diperlukan oleh aplikasi di pusat admin Microsoft Entra.
- Proksi aplikasi memastikan pengguna diautentikasi menggunakan ID Microsoft Entra.
- Layanan cloud proksi aplikasi mengetahui atribut yang diperlukan. Jadi layanan mengambil klaim yang sesuai dari token ID yang diterima selama autentikasi. Layanan kemudian menerjemahkan nilai ke header HTTP yang diperlukan sebagai bagian dari permintaan ke konektor.
- Permintaan kemudian diteruskan ke konektor, yang kemudian diteruskan ke aplikasi backend.
- Aplikasi menerima header dan dapat menggunakan header ini sesuai kebutuhan.
Menerbitkan aplikasi dengan proksi aplikasi
Terbitkan aplikasi Anda sesuai dengan instruksi yang dijelaskan dalam Terbitkan aplikasi dengan proksi aplikasi.
- Nilai URL internal menentukan cakupan aplikasi. Anda mengonfigurasi nilai URL internal di jalur akar aplikasi, dan semua sub jalur di bawah akar menerima konfigurasi header dan aplikasi yang sama.
- Buat aplikasi baru untuk mengatur konfigurasi header atau penetapan pengguna yang berbeda untuk jalur yang lebih terperinci daripada aplikasi yang Anda konfigurasikan. Di aplikasi baru, konfigurasikan URL internal dengan jalur tertentu yang Anda butuhkan lalu konfigurasikan header tertentu yang diperlukan untuk URL ini. Proksi aplikasi selalu menyesuaikan pengaturan konfigurasi Anda dengan jalur paling terperinci yang telah ditetapkan untuk aplikasi.
Pilih ID Microsoft Entra sebagai metode pra-autentikasi .
Tetapkan pengguna uji dengan membuka Pengguna dan grup, lalu tetapkan pengguna dan grup yang sesuai.
Buka browser dan navigasikan ke URL Eksternal dari pengaturan proksi aplikasi.
Verifikasi bahwa Anda dapat tersambung ke aplikasi. Meskipun dapat tersambung, Anda belum dapat mengakses aplikasi karena header tidak dikonfigurasi.
Mengonfigurasi masuk tunggal
Sebelum Anda mulai dengan sistem masuk tunggal untuk aplikasi yang menggunakan header, instal konektor jaringan privat. Konektor harus dapat mengakses ke aplikasi target. Untuk mempelajari selengkapnya, lihat Tutorial : Proksi aplikasi Microsoft Entra.
- Setelah aplikasi Anda muncul dalam daftar aplikasi perusahaan, pilih aplikasi tersebut, dan pilih Single sign-on.
- Atur mode satu kali masuk ke berbasis Header.
- Dalam Konfigurasi Dasar, ID Microsoft Entra, dipilih sebagai default.
- Pilih ikon pensil edit pada Header untuk mengonfigurasi header yang akan dikirim ke aplikasi.
- Pilih Tambahkan header baru. Berikan sebuah nama untuk header dan pilih antara Atribut atau Transformasi, kemudian pilih dari menu drop-down header mana yang dibutuhkan aplikasi Anda.
- Untuk mempelajari selengkapnya tentang daftar atribut yang tersedia, lihat Kustomisasi Klaim - Atribut.
- Untuk mempelajari selengkapnya tentang daftar transformasi yang tersedia, lihat Kustomisasi Klaim - Transformasi Klaim.
- Anda dapat menambahkan Header Grup. Untuk mempelajari selengkapnya tentang mengonfigurasi grup sebagai nilai, lihat: Mengonfigurasi klaim grup untuk aplikasi.
- Pilih Simpan.
Menguji aplikasi Anda
Aplikasi sekarang berjalan dan tersedia. Untuk menguji aplikasi:
- Hapus header yang di-cache sebelumnya dengan membuka browser baru atau jendela browser privat.
- Navigasikan ke URL eksternal. Anda dapat menemukan pengaturan ini tercantum sebagai URL Eksternal di pengaturan proksi aplikasi.
- Masuk dengan akun pengujian yang Anda tetapkan ke aplikasi.
- Konfirmasikan bahwa Anda dapat memuat dan masuk ke aplikasi menggunakan SSO.
Pertimbangan
- Proksi aplikasi menyediakan akses jarak jauh ke aplikasi lokal atau di cloud privat. Proksi aplikasi tidak disarankan untuk lalu lintas yang berasal dari dalam jaringan yang sama dengan aplikasi yang dimaksudkan.
- Akses ke aplikasi autentikasi berbasis header harus dibatasi hanya untuk lalu lintas dari konektor atau solusi autentikasi berbasis header lain yang diizinkan. Pembatasan akses umumnya dilakukan menggunakan firewall atau pembatasan IP pada server aplikasi.