Gunakan WAP sebagai proksi web terbalik

  • 10 menit

Proksi Aplikasi Web adalah layanan peran Akses Jarak Jauh. Layanan peran ini berfungsi sebagai proksi web terbalik, dan menyediakan pengguna di internet untuk mengakses aplikasi web internal perusahaan atau server Gateway Desktop Jauh. Proksi Aplikasi Web dapat menggunakan Layanan Federasi Direktori Aktif untuk melakukan pra-autentikasi pengguna internet dan bertindak sebagai proksi Layanan Federasi Direktori Aktif untuk menerbitkan aplikasi yang sadar klaim.

Nota

Aplikasi yang sadar klaim dapat menggunakan informasi apa pun tentang pengguna seperti keanggotaan grup, alamat email, departemen, atau perusahaan sebagai bagian dari otorisasi pengguna.

Sebelum menginstal Proksi Aplikasi Web, Anda harus menyebarkan Layanan Federasi Active Directory sebagai prasyarat. Proksi Aplikasi Web menggunakan Layanan Federasi Direktori Aktif (AD FS) untuk layanan autentikasi. Salah satu fitur yang disediakan oleh AD FS adalah fungsionalitas SSO, yang berarti begitu pengguna memasukkan kredensial mereka untuk mengakses aplikasi web perusahaan, mereka tidak perlu memasukkan kredensial lagi untuk akses berikutnya. Anda juga dapat menggunakan AD FS untuk mengautentikasi pengguna di Proksi Aplikasi Web sebelum pengguna berkomunikasi dengan aplikasi terlebih dahulu.

Menempatkan server Proksi Aplikasi Web di jaringan perimeter antara dua perangkat firewall adalah konfigurasi umum. Server dan aplikasi AD FS yang diterbitkan terletak di jaringan perusahaan, dan bersama dengan pengendali domain dan server internal lainnya, dilindungi oleh firewall kedua. Skenario ini menyediakan akses aman ke aplikasi perusahaan untuk pengguna yang terletak di internet, dan pada saat yang sama melindungi infrastruktur TI perusahaan dari ancaman keamanan di internet.

Diagram yang menampilkan arsitektur WAP umum.

Opsi autentikasi untuk Proksi Aplikasi Web

Saat mengonfigurasi aplikasi di Proksi Aplikasi Web, Anda perlu memilih jenis praautortikasi. Anda dapat memilih pra-autentikasi Active Directory Federation Services atau pra-autentikasi lintas. Pra-autentikasi AD FS menawarkan lebih banyak fitur dan manfaat, tetapi pra-autentikasi pass-through kompatibel dengan semua aplikasi web.

Pra-autentikasi AD FS (Layanan Federasi Direktori Aktif)

Praotentikasi AD FS menggunakan AD FS untuk aplikasi web yang menggunakan autentikasi berbasis klaim. Ketika pengguna memulai koneksi ke aplikasi web perusahaan, titik masuk pertama yang disambungkan pengguna adalah Proksi Aplikasi Web. Proksi Aplikasi Web melakukan pra-otentikasi pengguna di server Layanan Federasi Direktori Aktif (AD FS). Jika autentikasi berhasil, Proksi Aplikasi Web membuat koneksi ke server web di jaringan perusahaan tempat aplikasi dihosting.

Dengan menggunakan pra-autentikasi AD FS (Active Directory Federation Services), Anda memastikan bahwa hanya pengguna yang berwenang yang dapat mengirim paket data ke aplikasi web. Ini mencegah peretas memanfaatkan kelemahan aplikasi web sebelum autentikasi. Pra-autentikasi AD FS secara signifikan mengurangi permukaan serangan untuk aplikasi web.

Praotentikasi lewat langsung

Praautentikasi melalui pass-through tidak menggunakan AD FS (Layanan Federasi Direktori Aktif) untuk autentikasi, begitu pula Proksi Aplikasi Web yang tidak melakukan praautentikasi pengguna. Sebagai gantinya, pengguna terhubung ke aplikasi web melalui Proksi Aplikasi Web. Proksi aplikasi web membangun kembali paket data saat dikirimkan ke aplikasi web, yang memberikan perlindungan dari kelemahan seperti paket yang salah bentuk. Namun, bagian data paket diteruskan ke aplikasi web. Aplikasi web bertanggung jawab untuk mengautentikasi pengguna.

Manfaat pra-autentikasi AD FS

Pra-autentikasi AD FS memberikan manfaat berikut atas pra-autentikasi pass-through:

  • SSO. Memungkinkan pengguna yang telah diautentikasi sebelumnya oleh AD FS untuk hanya memasukkan kredensial mereka sekali. Jika pengguna kemudian mengakses aplikasi lain yang menggunakan Layanan Federasi Direktori Aktif (AD FS) untuk autentikasi, mereka tidak akan diminta untuk memasukkan kredensial mereka lagi.
  • Autentikasi multifaktor (MFA). MFA memungkinkan Anda mengonfigurasi beberapa jenis kredensial untuk memperkuat keamanan. Misalnya, Anda dapat mengonfigurasi sistem sehingga pengguna memasukkan nama pengguna dan kata sandi mereka bersama dengan kartu pintar.
  • Kontrol akses multifaktor. Kontrol akses multifaktor yang digunakan dalam organisasi yang ingin memperkuat keamanan mereka saat menerbitkan aplikasi web dengan menerapkan aturan klaim otorisasi. Aturan dikonfigurasi sehingga mengeluarkan izin, atau klaim tolak, yang menentukan apakah pengguna atau grup diizinkan atau ditolak akses ke aplikasi web yang menggunakan praautentikasi Ad FS.

Menerbitkan aplikasi dengan Proksi Aplikasi Web

Setelah layanan peran Proksi Aplikasi Web diinstal, Anda mengonfigurasinya dengan menggunakan Wizard Konfigurasi Proksi Aplikasi Web dari konsol Manajemen Akses Jarak Jauh. Ketika Wizard Konfigurasi Proksi Aplikasi Web selesai, ia membuat konsol Proksi Aplikasi Web, yang dapat Anda gunakan untuk manajemen dan konfigurasi Proksi Aplikasi Web lebih lanjut.

Wizard Konfigurasi Proksi Aplikasi Web mengharuskan Anda memasukkan informasi berikut selama proses konfigurasi awal:

  • Nama AD FS Untuk menemukan nama ini, buka konsol Manajemen Layanan Federasi AD, dan, di bawah Edit Properti Layanan Federasi, temukan nilai di kotak Nama Layanan Federasi.
  • Kredensial akun administrator lokal untuk Layanan Federasi Direktori Aktif.
  • Sertifikat Proksi AD FS. Ini adalah sertifikat yang akan digunakan Proksi Aplikasi Web untuk fungsionalitas proksi AD FS.

Petunjuk / Saran

Sertifikat proksi AD FS harus berisi nama AD FS di bidang subjek sertifikat karena Wizard Konfigurasi Proksi Aplikasi Web memerlukannya. Selain itu, bidang nama alternatif subjek dari sertifikat harus menyertakan nama AD FS.

Setelah menyelesaikan Wizard Konfigurasi Proksi Aplikasi Web, Anda dapat menerbitkan aplikasi web dengan menggunakan konsol Proksi Aplikasi Web atau cmdlet Windows PowerShell. Cmdlet Windows PowerShell untuk mengelola aplikasi yang diterbitkan adalah:

  • Add-WebApplicationProxyApplication
  • Get-WebApplicationProxyApplication
  • Set-WebApplicationProxyApplication

Saat memublikasikan aplikasi web, Anda harus memberikan informasi berikut:

  • Jenis pra-autentikasi, misalnya, pass-through.
  • Aplikasi yang akan diterbitkan.
  • URL eksternal aplikasi, misalnya, https://lon-svr1.adatum.com.
  • Sertifikat yang nama subjeknya mencakup URL eksternal, misalnya, lon-svr1.adatum.com.
  • URL server backend akan dimasukkan secara otomatis ketika Anda memasukkan URL eksternal.