Aplikasi wildcard di proksi aplikasi Microsoft Entra
Di MICROSOFT Entra ID, mengonfigurasi sejumlah besar aplikasi lokal dapat dengan cepat menjadi tidak dapat dikelola dan memperkenalkan risiko yang tidak perlu untuk kesalahan konfigurasi jika banyak dari mereka memerlukan pengaturan yang sama. Dengan proksi aplikasi Microsoft Entra, Anda dapat mengatasi masalah ini dengan menggunakan penerbitan aplikasi wildcard untuk menerbitkan dan mengelola banyak aplikasi sekaligus. Ini adalah solusi yang memungkinkan Anda untuk:
- Menyederhanakan overhead administratif Anda
- Mengurangi jumlah potensi kesalahan konfigurasi
- Memungkinkan pengguna Anda mengakses lebih banyak sumber daya dengan aman
Artikel ini memberi Anda informasi yang Anda butuhkan untuk mengonfigurasi penerbitan aplikasi wildcard di lingkungan Anda.
Membuat aplikasi wildcard
Anda dapat membuat aplikasi wildcard (*) jika Anda memiliki sekelompok aplikasi dengan konfigurasi yang sama. Kandidat potensial untuk aplikasi wildcard adalah aplikasi yang berbagi pengaturan berikut:
- Grup pengguna yang memiliki akses ke aplikasi tersebut
- Metode SSO
- Protokol akses (http, https)
Anda dapat menerbitkan aplikasi dengan wildcard jika keduanya, URL internal dan eksternal berada dalam format berikut:
http(s)://*.<domain>
Misalnya: http(s)://*.adventure-works.com.
Meskipun URL internal dan eksternal dapat menggunakan domain yang berbeda, sebagai praktik terbaik, URL tersebut harus sama. Saat menerbitkan aplikasi, Anda akan melihat kesalahan jika salah satu URL tidak memiliki wildcard.
Membuat aplikasi wildcard didasarkan pada alur penerbitan aplikasi yang sama yang tersedia untuk semua aplikasi lainnya. Satu-satunya perbedaan adalah Anda menyertakan wildcard dalam URL dan kemungkinan konfigurasi SSO.
Prasyarat
Untuk memulai, pastikan Anda telah memenuhi persyaratan ini.
Domain kustom
Meskipun domain kustom bersifat opsional untuk semua aplikasi lain, domain tersebut merupakan prasyarat untuk aplikasi wildcard. Membuat domain kustom mengharuskan Anda untuk:
- Membuat domain terverifikasi di Azure.
- Mengunggah sertifikat TLS/SSL dalam format PFX ke proksi aplikasi Anda.
Anda harus mempertimbangkan untuk menggunakan sertifikat wildcard agar sesuai dengan aplikasi yang Anda rencanakan untuk dibuat.
Untuk alasan keamanan, ini adalah persyaratan yang sulit dan kami tidak akan mendukung wildcard untuk aplikasi yang tidak dapat menggunakan domain kustom untuk URL eksternal.
Pembaruan DNS
Saat menggunakan domain kustom, Anda perlu membuat entri DNS dengan data CNAME untuk URL eksternal (misalnya, *.adventure-works.com) yang mengarah ke URL eksternal titik akhir proksi aplikasi. Untuk aplikasi wildcard, data CNAME perlu menunjuk ke URL eksternal yang relevan:
<yourAADTenantId>.tenant.runtime.msappproxy.net
Untuk mengonfirmasi bahwa Anda telah mengonfigurasi CNAME dengan benar, Anda dapat menggunakan nslookup di salah satu titik akhir target, misalnya, expenses.adventure-works.com. Respons Anda harus menyertakan alias yang sudah disebutkan (<yourAADTenantId>.tenant.runtime.msappproxy.net).
Menggunakan grup konektor yang ditetapkan ke wilayah layanan cloud proksi aplikasi selain wilayah default
Jika Anda memiliki konektor yang diinstal di wilayah yang berbeda dari wilayah penyewa default Anda, akan bermanfaat untuk mengubah wilayah mana grup konektor Anda dioptimalkan untuk meningkatkan performa mengakses aplikasi ini. Untuk mempelajari lebih lanjut, lihat Mengoptimalkan grup konektor untuk menggunakan layanan cloud proksi aplikasi terdekat.
Jika grup konektor yang ditetapkan ke aplikasi wildcard menggunakan wilayah yang berbeda dari wilayah default Anda, Anda harus memperbarui data CNAME untuk mengarahkan ke URL eksternal khusus regional. Gunakan tabel berikut untuk menentukan URL yang relevan:
| Wilayah Yang Ditetapkan Konektor | URL Eksternal |
|---|---|
| Asia | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
| Australia | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
| Eropa | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
| Amerika Utara | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Pertimbangan
Berikut adalah beberapa pertimbangan yang harus Anda perhitungkan untuk aplikasi wildcard.
Format yang diterima
Untuk aplikasi wildcard, URL Internal harus diformat sebagai http(s)://*.<domain>.
Saat mengonfigurasi URL Eksternal, Anda harus menggunakan format berikut: https://*.<custom domain>
Posisi lain dari wildcard, beberapa wildcard, atau string regex lainnya tidak didukung dan menyebabkan kesalahan.
Mengecualikan aplikasi dari wildcard
Anda dapat mengecualikan aplikasi dari aplikasi wildcard dengan
- Menerbitkan aplikasi pengecualian sebagai aplikasi reguler
- Mengaktifkan wildcard hanya untuk aplikasi tertentu melalui pengaturan DNS Anda
Menerbitkan aplikasi sebagai aplikasi biasa adalah metode yang disukai untuk mengecualikan aplikasi dari wildcard. Anda harus menerbitkan aplikasi yang dikecualikan sebelum aplikasi wildcard untuk memastikan bahwa pengecualian Anda diberlakukan sejak awal. Aplikasi yang paling spesifik akan selalu diutamakan – aplikasi yang diterbitkan sebagai budgets.finance.adventure-works.com didahulukan daripada aplikasi *.finance.adventure-works.com, yang kemudian diutamakan daripada aplikasi *.adventure-works.com.
Anda juga dapat membatasi wildcard agar hanya berfungsi untuk aplikasi tertentu melalui manajemen DNS Anda. Sebagai praktik terbaik, Anda harus membuat entri data CNAME yang menyertakan wildcard dan mencocokkan format URL eksternal yang telah Anda konfigurasi. Namun, Anda dapat menunjuk URL aplikasi tertentu ke wildcard. Misalnya, alih-alih *.adventure-works.com, arahkan hr.adventure-works.com, expenses.adventure-works.com, dan travel.adventure-works.com individually ke 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net.
Jika menggunakan opsi ini, Anda juga memerlukan entri data CNAME lain untuk nilai AppId.domain, misalnya, 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com, juga menunjuk ke lokasi yang sama. Anda dapat menemukan AppId pada halaman properti aplikasi dari aplikasi wildcard:
Mengatur URL beranda untuk panel MyApps
Aplikasi wildcard diwakili hanya dengan satu petak peta di panel MyApps. Secara default petak peta ini tersembunyi. Untuk memperlihatkan petak peta dan membuat pengguna mendarat di halaman tertentu:
- Ikuti panduan untuk menetapkan URL beranda.
- Atur Tampilkan Aplikasi ke true pada halaman properti aplikasi.
Delegasi yang dibatasi Kerberos
Untuk aplikasi yang menggunakan delegasi yang dibatasi kerberos (KCD) sebagai metode SSO, SPN yang tercantum untuk metode SSO memerlukan wildcard. Misalnya, SPN dapat berupa: HTTP/*.adventure-works.com. Anda masih harus memiliki SPN individual yang dikonfigurasi di server ujung belakang Anda (misalnya, HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).
Skenario 1: Aplikasi wildcard umum
Dalam skenario ini, Anda memiliki tiga aplikasi berbeda yang ingin Anda publikasikan:
expenses.adventure-works.comhr.adventure-works.comtravel.adventure-works.com
Ketiga aplikasi:
- Digunakan oleh semua pengguna Anda
- Menggunakan autentikasi Windows terintegrasi
- Memiliki properti yang sama
Anda dapat menerbitkan aplikasi wildcard menggunakan langkah-langkah yang diuraikan dalam Menerbitkan aplikasi menggunakan proksi aplikasi Microsoft Entra. Skenario ini mengasumsikan:
- Penyewa dengan ID berikut:
aaaabbbb-0000-cccc-1111-dddd2222eeee - Domain terverifikasi bernama
adventure-works.comtelah dikonfigurasi. - Entri data CNAME yang mengarahkan
*.adventure-works.comke00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.nettelah dibuat.
Dengan mengikuti langkah-langkah yang didokumentasikan, Anda membuat aplikasi proksi aplikasi baru di penyewa Anda. Dalam contoh ini, wildcard berada di bidang berikut:
URL Internal:
URL Eksternal:
SPN Aplikasi Internal:
Dengan menerbitkan aplikasi wildcard, Anda sekarang dapat mengakses tiga aplikasi dengan menavigasi ke URL yang biasa Anda gunakan (misalnya, travel.adventure-works.com).
Konfigurasi mengimplementasikan struktur berikut:
| Warna | Deskripsi |
|---|---|
| Biru | Aplikasi secara eksplisit diterbitkan dan terlihat di pusat admin Microsoft Entra. |
| Abu-abu | Aplikasi yang dapat Anda akses melalui aplikasi induk. |
Skenario 2: Aplikasi wildcard umum dengan pengecualian
Dalam skenario ini, Anda memiliki tambahan untuk tiga aplikasi umum aplikasi lain, finance.adventure-works.com, yang seharusnya hanya dapat diakses oleh divisi Keuangan. Dengan struktur aplikasi saat ini, aplikasi keuangan Anda akan dapat diakses melalui aplikasi wildcard dan oleh semua karyawan. Untuk mengubahnya, Anda mengecualikan aplikasi dari wildcard dengan mengonfigurasi Keuangan sebagai aplikasi terpisah dengan izin yang lebih ketat.
Pastikan bahwa ada data CNAME yang menunjuk finance.adventure-works.com ke titik akhir spesifik aplikasi, yang ditentukan pada halaman proksi aplikasi untuk aplikasi. Untuk skenario ini, finance.adventure-works.com mengarah ke https://finance-awcycles.msappproxy.net/.
Mengikuti langkah-langkah yang didokumentasikan, skenario ini memerlukan pengaturan berikut:
Di URL Internal, Anda mengatur keuangan, bukan wildcard.
Di URL Eksternal, Anda mengatur keuangan, bukan wildcard.
SPN Aplikasi Internal Anda mengatur keuangan, bukan wildcard.
Konfigurasi ini mengimplementasikan skenario berikut:
URL finance.adventure-works.com spesifik. URL *.adventure-works.com tidak spesifik. URL yang lebih spesifik lebih diutamakan. Pengguna yang menavigasi untuk finance.adventure-works.com memiliki pengalaman yang ditentukan dalam aplikasi Sumber Daya Keuangan. Dalam hal ini, hanya karyawan keuangan yang dapat mengakses finance.adventure-works.com.
Jika Anda memiliki beberapa aplikasi yang diterbitkan untuk keuangan dan Anda memiliki finance.adventure-works.com sebagai domain terverifikasi, Anda dapat menerbitkan aplikasi wildcard lain *.finance.adventure-works.com. Karena ini lebih spesifik daripada *.adventure-works.com generik, lebih diutamakan jika pengguna mengakses aplikasi di domain keuangan.
Langkah berikutnya
- Untuk mempelajari selengkapnya tentang Domain kustom, lihat Bekerja dengan domain kustom di proksi aplikasi Microsoft Entra.
- Untuk mempelajari selengkapnya tentang Menerbitkan aplikasi, lihat Menerbitkan aplikasi menggunakan proksi aplikasi Microsoft Entra
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk