Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Proksi aplikasi Microsoft Entra adalah solusi akses jarak jauh yang aman dan hemat biaya untuk aplikasi lokal. Ini menyediakan jalur transisi langsung bagi organisasi "Cloud First" untuk mengelola akses ke aplikasi lokal warisan yang belum mampu menggunakan protokol modern. Untuk informasi pengantar selengkapnya, lihat Apa itu proksi aplikasi.
Proksi aplikasi disarankan untuk memberi pengguna jarak jauh akses ke sumber daya internal. Proksi aplikasi menggantikan kebutuhan VPN atau proksi terbalik untuk kasus penggunaan akses jarak jauh ini. Ini tidak ditujukan untuk pengguna yang berada di jaringan perusahaan. Pengguna yang menggunakan proksi aplikasi untuk akses intranet ini mungkin mengalami masalah performa yang tidak diinginkan.
Artikel ini mencakup sumber daya yang Anda butuhkan untuk merencanakan, mengoperasikan, dan mengelola proksi aplikasi Microsoft Entra.
Merencanakan implementasi Anda
Bagian berikut ini menyediakan tampilan luas elemen perencanaan utama yang menyiapkan Anda untuk pengalaman penyebaran yang efisien.
Prasyarat
Anda harus memenuhi prasyarat berikut sebelum memulai implementasi Anda. Anda dapat melihat informasi selengkapnya tentang menyiapkan lingkungan Anda, termasuk prasyarat ini, dalam tutorial.
Konektor: Konektor adalah agen ringan yang dapat Anda sebarkan ke:
- Perangkat keras fisik lokal
- Komputer Virtual (VM) yang dihosting dalam solusi hypervisor apa pun
- VM yang dihosting di Azure untuk mengaktifkan koneksi keluar ke layanan proksi aplikasi.
Lihat Memahami konektor jaringan privat Microsoft Entra untuk gambaran umum yang lebih rinci.
Mesin konektor harus diaktifkan untuk Keamanan Lapisan Transportasi (TLS) 1.2 sebelum menginstal konektor.
Jika memungkinkan, sebarkan konektor di jaringan dan segmen yang sama dengan server aplikasi web back-end. Yang terbaik adalah menyebarkan konektor setelah Anda menyelesaikan penemuan aplikasi.
Sebaiknya setiap grup konektor memiliki setidaknya dua konektor untuk memberikan ketersediaan dan skala tinggi. Memiliki tiga konektor optimal untuk melayani mesin kapan saja. Tinjau tabel kapasitas konektor untuk membantu memutuskan jenis komputer untuk konektor.
Pengaturan akses jaringan: Konektor jaringan privat Microsoft Entra terhubung ke Azure melalui HTTPS (Transmission Control Protocol (TCP) Port 443) dan HTTP (TCP Port 80).
Penghentian lalu lintas TLS pada konektor tidak didukung dan menghalangi konektor untuk membangun saluran aman dengan titik akhir proksi aplikasi Microsoft Entra mereka masing-masing.
Hindari semua bentuk inspeksi langsung pada komunikasi TLS keluar antara konektor dan Azure. Inspeksi internal antara aplikasi konektor dan backend dimungkinkan, tetapi dapat menurunkan pengalaman pengguna, dan dengan demikian, tidak disarankan.
Penyeimbangan beban konektor itu sendiri juga tidak didukung, atau bahkan diperlukan.
Pertimbangan penting sebelum mengonfigurasi proksi aplikasi Microsoft Entra
Persyaratan inti berikut harus dipenuhi untuk mengonfigurasi dan menerapkan proksi aplikasi Microsoft Entra.
Onboarding Azure: Sebelum Anda menyebarkan proksi aplikasi, identitas pengguna harus disinkronkan dari direktori lokal atau dibuat langsung dalam penyewa Microsoft Entra Anda. Sinkronisasi identitas memungkinkan Microsoft Entra ID untuk melakukan pra-autentikasi pengguna sebelum memberi mereka akses ke aplikasi yang diterbitkan melalui proksi aplikasi dan memiliki informasi pengidentifikasi pengguna yang diperlukan untuk melakukan Single Sign-On (SSO).
Persyaratan Akses Bersyarat: Kami tidak menyarankan penggunaan proksi aplikasi untuk akses intranet karena itu menambahkan latensi yang memengaruhi pengguna. Kami merekomendasikan menggunakan proksi aplikasi dengan kebijakan praotentikasi dan Akses Bersyarat untuk akses jarak jauh dari internet. Pendekatan untuk menyediakan Conditional Access untuk penggunaan intranet adalah dengan memodernisasi aplikasi sehingga aplikasi tersebut dapat mengautentikasi langsung dengan Microsoft Entra ID. Untuk informasi selengkapnya, lihat Sumber Daya untuk memigrasikan aplikasi ke ID Microsoft Entra.
Batas layanan: Untuk melindungi dari penggunaan berlebihan sumber daya oleh penyewa individual, ada batas pengendalian yang ditetapkan per aplikasi dan penyewa. Untuk melihat batas ini, lihat batas dan batasan layanan Microsoft Entra. Batas ini didasarkan pada tolok ukur yang melebihi volume penggunaan tipikal dan menyediakan buffer yang memadai untuk kebanyakan penerapan.
Sertifikat publik: Jika Anda menggunakan nama domain kustom, Anda harus mendapatkan sertifikat TLS. Bergantung pada persyaratan organisasi Anda, mendapatkan sertifikat dapat memakan waktu dan kami sarankan untuk memulai proses sedini mungkin. Proksi aplikasi Azure mendukung sertifikat standar, wildcard, atau berbasis SAN. Untuk informasi selengkapnya, lihat Mengonfigurasi domain kustom dengan proksi aplikasi Microsoft Entra.
Persyaratan domain: Untuk menggunakan Kerberos Constrained Delegation (KCD) untuk single sign-on, pastikan server konektor dan server aplikasi terhubung dengan domain dan berada di domain yang sama atau di domain tepercaya. Layanan konektor berjalan di bawah akun sistem lokal dan tidak boleh menggunakan identitas kustom. Untuk informasi selengkapnya, lihat KCD untuk single sign-on.
Catatan DNS untuk URL
Sebelum menggunakan domain kustom di proksi aplikasi, Anda harus membuat catatan CNAME di Sistem Nama Domain (DNS) publik, yang memungkinkan klien menyelesaikan URL eksternal yang ditentukan kustom ke alamat proksi aplikasi yang telah ditentukan sebelumnya. Gagal membuat catatan CNAME untuk aplikasi yang menggunakan domain kustom mencegah pengguna jarak jauh tersambung ke aplikasi. Langkah-langkah yang diperlukan untuk menambahkan catatan CNAME dapat bervariasi dari penyedia DNS ke penyedia, jadi pelajari cara mengelola catatan DNS dan kumpulan catatan dengan menggunakan pusat admin Microsoft Entra.
Demikian pula, host konektor harus dapat mengidentifikasi URL internal aplikasi yang dipublikasikan.
Hak dan peran administratif
Penginstalan konektor memerlukan hak admin lokal ke server Windows tempat penginstalannya sedang diinstal. Ini juga memerlukan minimal peran Administrator Aplikasi untuk mengautentikasi dan mendaftarkan instans konektor ke penyewa Microsoft Entra Anda.
Penerbitan dan administrasi aplikasi memerlukan peran Administrator Aplikasi . Administrator Aplikasi dapat mengelola semua aplikasi di direktori termasuk pendaftaran, pengaturan SSO, pengguna, dan penetapan dan lisensi grup, pengaturan proksi aplikasi, dan persetujuan. Ini tidak memberikan kemampuan untuk mengelola Akses Bersyarat. Peran Administrator Aplikasi Cloud memiliki semua kemampuan Administrator Aplikasi, kecuali tidak mengizinkan manajemen pengaturan proksi aplikasi.
Lisensi: proksi aplikasi tersedia melalui langganan Microsoft Entra ID P1 atau P2. Lihat halaman harga Microsoft Entra untuk daftar lengkap opsi dan fitur lisensi.
Penemuan aplikasi
Kompilasikan inventaris semua aplikasi dalam cakupan yang sedang diterbitkan melalui proksi aplikasi dengan mengumpulkan informasi berikut:
| Tipe informasi | Informasi untuk dikumpulkan |
|---|---|
| Jenis Layanan | Misalnya: SharePoint, SAP, CRM, Aplikasi Web Kustom, API |
| Platform aplikasi | Misalnya: Windows Internet Information Services (IIS), Apache di Linux, Tomcat, NGINX |
| Keanggotaan domain | Nama domain berkualifikasi penuh dari server web (FQDN) |
| Lokasi aplikasi | Di mana web server atau farm berada di infrastruktur Anda |
| Akses internal | URL persis yang digunakan saat mengakses aplikasi secara internal. Jika ini adalah sebuah peternakan, jenis penyeimbangan beban apa yang digunakan? Apakah aplikasi menarik konten dari sumber selain dirinya sendiri. Tentukan apakah aplikasi beroperasi melalui WebSocket. |
| Akses eksternal | Solusi vendor yang mungkin sudah diekspos oleh aplikasi tersebut secara eksternal. URL yang ingin Anda gunakan untuk akses eksternal. Jika SharePoint, pastikan Pemetaan Akses Alternatif dikonfigurasi sesuai panduan. Jika tidak, Anda perlu menentukan URL eksternal. |
| Sertifikat publik | Jika menggunakan domain kustom, mendapatkan sertifikat dengan nama subjek yang sesuai. jika sertifikat ada perhatikan nomor seri dan lokasi dari mana sertifikat dapat diperoleh. |
| Jenis autentikasi | Tipe otentikasi yang didukung oleh aplikasi seperti Basic, Autentikasi Integrasi Windows, berbasis formulir, berbasis tajuk, dan berasaskan klaim. Jika aplikasi dikonfigurasi untuk berjalan di bawah akun domain tertentu, perhatikan Nama Domain Yang Sepenuhnya Memenuhi Syarat (FQDN) dari akun layanan. Jika berbasis SAML, pengidentifikasi dan URL balasan. Jika berbasis header, solusi vendor dan persyaratan khusus untuk menangani jenis autentikasi. |
| Nama grup Konektor | Nama logis untuk grup konektor yang ditunjuk untuk menyediakan saluran dan SSO ke aplikasi backend. |
| Akses pengguna/kelompok | Pengguna atau grup pengguna yang diberikan akses eksternal ke aplikasi. |
| Persyaratan lainnya | Perhatikan lagi akses jarak jauh atau persyaratan keamanan yang harus diperhitungkan dalam menerbitkan aplikasi. |
Anda dapat mengunduh spreadsheet inventori aplikasi untuk menginventarkan aplikasi Anda.
Menentukan persyaratan organisasi
Berikut ini adalah area yang harus Anda tentukan persyaratan bisnis organisasi Anda. Setiap area berisi contoh persyaratan
Akses
Pengguna jarak jauh dengan perangkat yang tergabung dalam domain atau Microsoft Entra dapat mengakses aplikasi yang diterbitkan dengan aman dengan single sign-on (SSO) yang mulus.
Pengguna jarak jauh dengan perangkat pribadi yang disetujui dapat mengakses aplikasi yang diterbitkan dengan aman asalkan mereka terdaftar di MFA dan mendaftarkan aplikasi Microsoft Authenticator di ponsel mereka sebagai metode autentikasi.
Pemerintahan
- Administrator dapat menentukan dan memantau siklus hidup penugasan pengguna ke aplikasi yang diterbitkan melalui proksi aplikasi.
Keamanan
- Hanya pengguna yang ditetapkan ke aplikasi melalui keanggotaan grup atau secara individual dapat mengakses aplikasi tersebut.
Performa
- Tidak ada penurunan performa aplikasi dibandingkan dengan mengakses aplikasi dari jaringan internal.
Pengalaman Pengguna
- Pengguna menyadari cara mengakses aplikasi mereka dengan menggunakan URL perusahaan yang akrab di platform perangkat apa pun.
Audit
- Administrator dapat mengaudit aktivitas akses pengguna.
Praktik terbaik untuk percontohan
Tentukan jumlah waktu dan upaya yang diperlukan untuk mengoperasikan satu aplikasi akses jarak jauh dengan Single Sign-on (SSO) secara penuh. Lakukan uji coba yang mempertimbangkan penemuan awal, penerbitan, dan pengujian umum. Menggunakan aplikasi web sederhana berbasis IIS yang sudah dikonfigurasi sebelumnya untuk autentikasi Windows terintegrasi (IWA) akan membantu membangun garis besar, karena penyiapan membutuhkan upaya minimal untuk berhasil menguji coba akses jarak jauh dan SSO.
Elemen desain berikut harus meningkatkan keberhasilan implementasi pilot Anda secara langsung di penyewa produksi.
Manajemen konektor:
Konektor memainkan peran kunci dalam menyediakan saluran lokal untuk aplikasi Anda. Menggunakan grup konektor Default memadai untuk pengujian pilot awal aplikasi yang diterbitkan sebelum menugaskannya ke dalam produksi. Aplikasi yang berhasil diuji kemudian dapat dipindahkan ke grup konektor produksi.
Manajemen aplikasi:
Tenaga kerja Anda kemungkinan besar akan mengingat URL eksternal yang familiar dan relevan. Hindari menerbitkan aplikasi Anda menggunakan akhiran msappproxy.net atau onmicrosoft.com yang telah ditentukan sebelumnya. Sebagai gantinya, berikan domain terverifikasi tingkat atas yang familier, diawali dengan nama host logis seperti intranet.<>customers_domain.com.
Batasi visibilitas ikon aplikasi pilot ke grup pilot dengan menyembunyikan ikon peluncurannya dari portal Azure MyApps. Saat siap untuk produksi, Anda dapat menargetkan aplikasi ke audiens yang masing-masing dituju, baik di tenant praproduksi yang sama, atau dengan menerbitkan aplikasi di tenant produksi Anda.
Pengaturan akses menyeluruh: Beberapa pengaturan SSO memiliki dependensi khusus yang dapat memakan waktu untuk disiapkan, jadi hindari penundaan kontrol perubahan dengan memastikan dependensi ditangani sebelumnya. Proses ini mencakup host konektor bergabung ke dalam domain untuk melakukan SSO menggunakan Kerberos Constrained Delegation (KCD) dan menangani aktivitas lain yang memakan waktu.
TLS Antara Host Konektor dan Aplikasi Target: Keamanan sangat penting, sehingga TLS antara host konektor dan aplikasi target harus selalu digunakan. Terutama jika aplikasi web dikonfigurasi untuk autentikasi berbasis formulir (FBA), karena kredensial pengguna kemudian secara efektif dikirimkan dalam teks yang jelas.
Terapkan secara bertahap dan uji setiap langkah. Lakukan pengujian fungsi dasar setelah menerbitkan aplikasi untuk memastikan bahwa semua persyaratan pengguna dan bisnis terpenuhi:
Menguji dan memvalidasi akses umum ke aplikasi web dengan praautentikasi yang dinonaktifkan. Jika berhasil, aktifkan praauthentication dan tetapkan pengguna dan grup. Kemudian uji dan validasi akses. Selanjutnya, tambahkan metode SSO untuk aplikasi Anda dan uji lagi untuk memvalidasi akses. Terakhir, terapkan kebijakan Akses Bersyarat dan MFA sesuai kebutuhan. Menguji dan memvalidasi akses.
Alat Pemecahan Masalah: Mulai pemecahan masalah dengan memeriksa akses ke aplikasi yang diterbitkan langsung dari browser di host konektor. Pastikan aplikasi berfungsi seperti yang diharapkan. Sederhanakan penyiapan Anda untuk mengisolasi masalah, seperti menggunakan konektor tunggal dan menonaktifkan SSO. Alat seperti Telerik's Fiddler dapat membantu men-debug akses atau masalah konten dengan melacak lalu lintas, termasuk untuk platform seluler seperti iOS dan Android. Untuk informasi selengkapnya, lihat panduan pemecahan masalah.
Terapkan solusi Anda
Menyebarkan proksi aplikasi
Langkah-langkah untuk menyebarkan proksi aplikasi Anda tercakup dalam tutorial untuk menambahkan aplikasi lokal untuk akses jarak jauh. Jika penginstalan tidak berhasil, pilih Pecahkan masalah proksi aplikasi di portal atau gunakan panduan pemecahan masalah untuk Masalah saat menginstal Konektor Agen proksi aplikasi.
Menerbitkan aplikasi melalui proksi aplikasi
Aplikasi penerbitan mengasumsikan bahwa Anda memenuhi semua prasyarat dan bahwa Anda memiliki beberapa konektor yang ditampilkan sebagai terdaftar dan aktif di halaman proksi aplikasi.
Anda juga dapat menerbitkan aplikasi dengan menggunakan PowerShell.
Praktik terbaik untuk diikuti saat menerbitkan aplikasi:
Gunakan Grup Konektor: Tetapkan grup konektor yang ditunjuk untuk menerbitkan setiap aplikasi masing-masing. Sebaiknya setiap grup konektor memiliki setidaknya dua konektor untuk memberikan ketersediaan dan skala tinggi. Memiliki tiga konektor optimal jika Anda perlu melayani mesin kapan saja. Selain itu, lihat Memahami grup konektor jaringan privat Microsoft Entra untuk melihat bagaimana Anda juga dapat menggunakan grup konektor untuk mengelompokkan konektor Berdasarkan jaringan atau lokasi.
Atur Batas Waktu Aplikasi Backend: Pengaturan berguna dalam skenario di mana aplikasi mungkin memerlukan lebih dari 75 detik untuk memproses transaksi klien. Misalnya, ketika klien mengirim kueri ke aplikasi web yang bertindak sebagai antarmuka ke database. Front-end mengirim kueri ke server database back-end-nya dan menunggu respons, tetapi pada saat menerima respons, sesi percakapan di sisi klien berakhir. Mengatur batas waktu ke jangka panjang menyediakan 180 detik untuk menyelesaikan transaksi yang lebih lama.
Gunakan Jenis Cookie yang Sesuai
HTTP-Only Cookie: Memberikan keamanan ekstra dengan meminta proksi aplikasi menyertakan bendera HTTPOnly di header respons HTTP set-cookie. Pengaturan ini membantu mengurangi eksploitasi seperti pembuatan skrip lintas situs (XSS). Biarkan diatur ke Tidak untuk klien/agen pengguna yang memerlukan akses ke cookie sesi. Misalnya, klien RDP/MTSC yang terhubung ke Gateway Desktop Jarak Jauh yang diterbitkan melalui proksi aplikasi.
Cookie Aman: Ketika cookie diatur dengan atribut Secure, agen pengguna (aplikasi sisi klien) hanya menyertakan cookie dalam permintaan HTTP jika permintaan dikirimkan melalui saluran aman TLS. Pengaturan ini membantu mengurangi risiko cookie disusupi melalui saluran teks yang jelas, jadi harus diaktifkan.
Cookie Persisten: Memungkinkan cookie sesi proksi aplikasi bertahan di antara penutupan browser dengan tetap valid hingga kedaluwarsa atau dihapus. Digunakan untuk skenario di mana aplikasi rich, seperti Office, mengakses dokumen dalam aplikasi web yang diterbitkan, tanpa pengguna diminta ulang untuk autentikasi. Aktifkan dengan hati-hati, karena cookie persisten pada akhirnya dapat meninggalkan layanan berisiko akses tidak sah, jika tidak digunakan dengan kontrol kompensasi lainnya. Setelan ini hanya boleh digunakan untuk aplikasi lama yang tidak dapat berbagi cookie antar proses. Lebih baik memperbarui aplikasi Anda untuk menangani berbagi cookie antar proses alih-alih menggunakan pengaturan.
Menerjemahkan URL di Header: Anda mengaktifkan pengaturan untuk skenario di mana DNS internal tidak dapat dikonfigurasi agar sesuai dengan namespace publik organisasi(alias Split DNS). Kecuali aplikasi Anda memerlukan header host asli dalam permintaan klien, biarkan nilai diatur ke Ya. Alternatifnya adalah meminta konektor menggunakan FQDN di URL internal untuk perutean lalu lintas aktual, dan FQDN di URL eksternal, sebagai header host. Dalam kebanyakan kasus, alternatif harus memungkinkan aplikasi berfungsi normal saat diakses dari lokasi yang jauh, tetapi pengguna Anda kehilangan manfaat memiliki URL dalam dan luar yang cocok.
Menerjemahkan URL di Isi Aplikasi: Aktifkan terjemahan tautan Isi Aplikasi untuk aplikasi saat Anda ingin tautan dari aplikasi tersebut diterjemahkan dalam respons kembali ke klien. Jika diaktifkan, fungsi ini memberikan upaya terbaik untuk menerjemahkan semua tautan internal yang ditemukan proksi aplikasi dalam respons HTML dan CSS yang dikembalikan ke klien. Ini berguna saat menerbitkan aplikasi yang berisi tautan absolut yang dikodekan secara permanen atau nama pendek NetBIOS dalam konten, atau aplikasi dengan konten yang ditautkan ke aplikasi lokal lainnya.
Untuk skenario di mana aplikasi yang dipublikasikan terhubung ke aplikasi lain yang dipublikasikan, aktifkan terjemahan tautan untuk setiap aplikasi sehingga Anda memiliki kontrol atas pengalaman pengguna di tingkat per aplikasi.
Misalnya, Anda memiliki tiga aplikasi yang diterbitkan melalui proksi aplikasi yang semuanya terhubung satu sama lain: Manfaat, Pengeluaran, dan Perjalanan, ditambah aplikasi keempat, Umpan Balik yang tidak diterbitkan melalui proksi aplikasi.
Saat terjemahan tautan diaktifkan untuk aplikasi Manfaat, tautan ke aplikasi Pengeluaran dan Perjalanan dialihkan ke URL eksternal mereka, memungkinkan pengguna eksternal mengaksesnya. Namun, tautan dari Pengeluaran dan Perjalanan kembali ke Manfaat tidak berfungsi kecuali terjemahan tautan juga diaktifkan untuk aplikasi tersebut. Tautan Aplikasi umpan balik tidak dialihkan karena tidak memiliki URL eksternal, mencegah pengguna eksternal mengaksesnya melalui aplikasi Manfaat. Untuk informasi selengkapnya, lihat opsi terjemahan dan pengalihan tautan.
Mengakses aplikasi Anda
Kelola akses ke sumber daya yang diterbitkan proksi aplikasi dengan memilih pendekatan yang paling sesuai dengan skenario dan persyaratan skalabilitas Anda. Metode umum termasuk menyinkronkan grup lokal melalui Microsoft Entra Connect, membuat Grup Dinamis di MICROSOFT Entra ID berdasarkan atribut pengguna, mengaktifkan grup layanan mandiri yang dikelola oleh pemilik sumber daya, atau menggabungkan strategi ini. Jelajahi sumber daya yang ditautkan untuk memahami manfaat setiap metode.
Cara paling lurus untuk menetapkan akses pengguna ke aplikasi adalah masuk ke opsi Pengguna dan Grup dari panel kiri aplikasi yang diterbitkan dan secara langsung menetapkan grup atau individu.
Gambar 24
Anda juga dapat mengizinkan pengguna untuk menggunakan akses layanan mandiri ke aplikasi Anda dengan menetapkan grup yang saat ini bukan anggota mereka dan mengonfigurasi opsi layanan mandiri.
Gambar 25
Jika diaktifkan, pengguna masuk ke portal MyApps untuk meminta akses. Mereka disetujui secara otomatis dan ditambahkan ke grup layanan mandiri atau memerlukan persetujuan dari pemberi izin yang ditunjuk.
Pengguna tamu juga dapat diundang untuk mengakses aplikasi internal yang diterbitkan melalui proksi aplikasi melalui Microsoft Entra B2B.
Untuk aplikasi lokal yang biasanya dapat diakses secara anonim, tidak memerlukan autentikasi, Anda mungkin ingin menonaktifkan opsi yang terletak di Properti aplikasi.
Membiarkan opsi diatur ke Tidak memungkinkan pengguna mengakses aplikasi lokal melalui proksi aplikasi Microsoft Entra tanpa izin, jadi gunakan dengan hati-hati.
Setelah aplikasi Anda diterbitkan, aplikasi harus dapat diakses dengan mengetikkan URL eksternalnya di browser atau dengan ikonnya di https://myapps.microsoft.com.
Mengaktifkan praotentikasi
Verifikasi bahwa aplikasi Anda dapat diakses melalui proksi aplikasi yang mengaksesnya melalui URL eksternal.
Telusuri aplikasi Entra ID>Enterprise>Semua aplikasi dan pilih aplikasi yang ingin Anda kelola.
Pilih proksi aplikasi.
Di bidang Pra-Autentikasi , gunakan daftar dropdown untuk memilih ID Microsoft Entra, dan pilih Simpan. Dengan praautentikasi diaktifkan, MICROSOFT Entra ID terlebih dahulu mengautentikasi pengguna. Jika login tunggal disiapkan, aplikasi back-end juga memverifikasi pengguna sebelum memberikan akses. Mengalihkan mode praauthentikasi dari Passthrough ke MICROSOFT Entra ID mengamankan URL eksternal dengan HTTPS, memastikan bahwa aplikasi apa pun yang awalnya menggunakan HTTP sekarang beroperasi melalui HTTPS.
Mengaktifkan satu kali masuk
SSO meningkatkan pengalaman dan keamanan pengguna dengan memungkinkan pengguna untuk masuk sekali dengan ID Microsoft Entra. Setelah pra-autentikasi, konektor jaringan privat masuk ke aplikasi lokal untuk pengguna, membuatnya muncul seolah-olah pengguna masuk secara langsung.
Memilih opsi Passthrough memungkinkan pengguna mengakses aplikasi yang diterbitkan tanpa harus mengautentikasi ke ID Microsoft Entra.
Untuk mengaktifkan SSO, aplikasi Anda harus melakukan pra-otortikasi pengguna dengan ID Microsoft Entra. Tanpa preauthentication, opsi SSO tidak tersedia.
Baca Akses menyeluruh ke aplikasi di MICROSOFT Entra ID untuk membantu Anda memilih metode SSO yang paling tepat saat mengonfigurasi aplikasi Anda.
Bekerja dengan aplikasi jenis lain
Proksi aplikasi Microsoft Entra mendukung aplikasi yang dibangun dengan Microsoft Authentication Library (MSAL). Ini menangani aplikasi klien asli dengan menggunakan token ID Microsoft Entra di header permintaan klien untuk melakukan praautensi pengguna.
Pelajari tentang konfigurasi proksi aplikasi yang tersedia. Baca menerbitkan aplikasi klien asli dan seluler dan aplikasi berbasis klaim.
Memperkuat keamanan dengan Akses Bersyarat
Keamanan aplikasi memerlukan serangkaian kemampuan keamanan tingkat lanjut yang dapat melindungi dari dan merespons ancaman kompleks di tempat dan di cloud. Gunakan kebijakan Akses Bersyarat untuk mengontrol akses ke aplikasi Anda berdasarkan banyak kondisi seperti lokasi, risiko, jenis perangkat, kepatuhan perangkat, dan lain-lain. Untuk contoh kebijakan yang mungkin Anda sebarkan, lihat artikel Template Akses Kondisional.
Kemampuan berikut dapat digunakan untuk mendukung proksi aplikasi Microsoft Entra:
Akses Bersyarat berbasis pengguna dan lokasi: Menjaga data sensitif tetap terlindungi dengan membatasi akses pengguna berdasarkan lokasi geografis atau alamat IP dengan kebijakan Akses Bersyarat berbasis lokasi.
Akses Bersyarat berbasis perangkat: Pastikan hanya perangkat yang terdaftar, disetujui, dan sesuai yang dapat mengakses data perusahaan dengan Akses Bersyarat berbasis perangkat.
Akses Bersyarat Berbasis Aplikasi: Pekerjaan tidak harus berhenti saat pengguna tidak berada di jaringan perusahaan. Amankan akses ke cloud perusahaan dan aplikasi lokal dan pertahankan kontrol dengan Akses Bersyarat.
Akses Bersyarkat berbasis risiko: Lindungi data Anda dari peretas berbahaya dengan kebijakan Akses Bersyarah berbasis risiko yang dapat diterapkan ke semua aplikasi dan semua pengguna, baik di tempat maupun di cloud.
Microsoft Entra Aplikasi Saya: Dengan layanan proksi aplikasi Anda sudah dipasang, dan aplikasi diterbitkan dengan aman, tawarkan kepada pengguna Anda sebuah hub yang sederhana untuk menemukan dan mengakses semua aplikasi mereka. Tingkatkan produktivitas dengan kemampuan layanan mandiri, seperti kemampuan untuk meminta akses ke aplikasi dan grup baru atau mengelola akses ke sumber daya ini atas nama orang lain, melalui Aplikasi Saya.
Mengelola implementasi Anda
Peran yang Diperlukan
Microsoft menganjurkan prinsip pemberian hak istimewa sekecil mungkin untuk melakukan tugas yang diperlukan dengan ID Microsoft Entra. Tinjau berbagai peran Azure yang tersedia dan pilih yang tepat untuk memenuhi kebutuhan setiap persona. Beberapa peran harus diterapkan sementara dan dihapus setelah penyebaran selesai.
| Peran bisnis | Tugas bisnis | Peran Microsoft Entra |
|---|---|---|
| Admin meja bantuan | Menangani tugas dukungan pengguna dasar seperti mengatur ulang kata sandi, membatalkan token refresh, dan memeriksa kesehatan layanan. | Administrator Bantuan Teknis |
| Admin identitas | Baca laporan masuk Microsoft Entra dan log audit untuk men-debug masalah terkait proksi aplikasi. | Pembaca keamanan |
| Pemilik aplikasi | Buat dan kelola semua aspek aplikasi perusahaan, pendaftaran aplikasi, dan setelan proksi aplikasi. | Administrator Aplikasi |
| Admin infrastruktur | Pemilik sertifikat Rollover | Administrator Aplikasi |
Meminimalkan jumlah orang yang memiliki akses ke informasi atau sumber daya yang aman membantu mengurangi kemungkinan aktor jahat mendapatkan akses yang tidak sah, atau pengguna yang berwenang secara tidak sengaja memengaruhi sumber daya sensitif.
Untuk mengelola akses administratif secara efektif dan memastikan audit yang tepat, sebaiknya gunakan akses just-in-time (JIT) dengan Privileged Identity Management. Pendekatan ini menyediakan akses istimewa sesuai permintaan ke sumber daya Azure dan ID Microsoft Entra hanya jika diperlukan.
Pelaporan dan Pemantauan
ID Microsoft Entra memberikan lebih banyak wawasan tentang penggunaan aplikasi organisasi Anda dan kesehatan operasional melalui log audit dan laporan. Proksi aplikasi juga memudahkan untuk memantau konektor dari pusat admin Microsoft Entra dan Log Peristiwa Windows.
Log audit aplikasi
Log ini memberikan informasi terperinci tentang login ke aplikasi yang dikonfigurasi dengan proksi aplikasi dan perangkat dan pengguna yang mengakses aplikasi. Catatan audit terletak di pusat admin Microsoft Entra dan di API Audit untuk diekspor. Selain itu, laporan penggunaan dan wawasan juga tersedia untuk aplikasi Anda.
Pemantauan konektor jaringan privat
Konektor dan layanan menangani semua tugas ketersediaan tinggi. Anda dapat memantau status konektor Anda dari halaman proksi aplikasi di pusat admin Microsoft Entra. Untuk informasi selengkapnya tentang pemeliharaan konektor, lihat Memahami konektor jaringan privat Microsoft Entra.
Catatan peristiwa Windows dan penghitung kinerja
Konektor memiliki log admin dan log sesi. Log Admin menyertakan peristiwa utama dan kesalahannya. Catatan Sesi menyertakan semua transaksi dan detail pemrosesannya. Log dan penghitung berada di Log Peristiwa Windows. Untuk informasi selengkapnya, lihat Memahami konektor jaringan privat Microsoft Entra. Ikuti tutorial untuk mengonfigurasi sumber data log peristiwa di Azure Monitor.
Panduan pemecahan masalah dan langkah-langkahnya
Pelajari selengkapnya tentang masalah umum dan cara mengatasinya dengan panduan kami untuk memecahkan masalah pesan kesalahan.
Konten terkait
Artikel berikut ini mencakup skenario umum yang juga dapat digunakan untuk membuat panduan pemecahan masalah untuk organisasi dukungan Anda.
- Memecahkan masalah tautan di halaman aplikasi tidak berfungsi
- Buka port untuk aplikasi saya
- Mengonfigurasi autentikasi satu kali
- Mengonfigurasi Delegasi Kerberos yang Dibatasi
- Mengonfigurasi dengan PingAccess
- Memecahkan masalah kesalahan Akses Aplikasi Perusahaan
- Memecahkan masalah saat menginstal Aplikasi Agen Proxy Connector
- Memecahkan masalah masuk