Pubblicare applicazioni in reti e posizioni separate tramite i gruppi di connettori

Usare i gruppi di connettori proxy applicazione per assegnare connettori specifici a applicazioni specifiche. Connessione or gruppi offrono maggiore controllo e consentono di ottimizzare le distribuzioni.

Ogni connettore proxy dell'applicazione viene assegnato a un gruppo di connettori. Tutti i connettori che appartengono allo stesso gruppo di connettori costituiscono un'unità separata per la disponibilità elevata e il bilanciamento del carico. Tutti i connettori appartengono a un gruppo di connettori. Se non si creano i gruppi, tutti i connettori vengono inclusi in un gruppo predefinito. Creare nuovi gruppi di connettori e assegnare connettori nell'interfaccia di amministrazione di Microsoft Entra.

i gruppi Connessione or sono utili se le applicazioni sono ospitate in posizioni diverse. I gruppi di connettori vengono creati in base alla posizione. Le applicazioni usano connettori fisicamente vicini.

Suggerimento

Se si dispone di una distribuzione proxy di applicazione di grandi dimensioni, non assegnare applicazioni al gruppo di connettori predefinito. In questo caso, i nuovi connettori non riceveranno traffico live finché non vengono assegnati a un gruppo di connettori attivi. Questa configurazione permette anche di applicare ai connettori una modalità inattiva spostandoli di nuovo nel gruppo predefinito, in modo da eseguire operazioni di manutenzione senza alcun impatto sugli utenti.

Prerequisiti

Per usare i gruppi di connettori, è necessario disporre di più connettori. I nuovi connettori vengono aggiunti automaticamente al gruppo di connettori predefinito . Per altre informazioni sull'installazione dei connettori, vedere Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite proxy applicazione in Microsoft Entra ID.

Creare gruppi di connettori

Per creare un gruppo di connettori:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.

  2. Passare a Identity>Applications enterprise applications application proxy (Proxy applicazione applicazioni>>aziendali).

  3. Selezionare Nuovo gruppo di connettori.

    Shows the screen to select a new connector group

  4. Assegnare un nome al nuovo gruppo di connettori, quindi usare il menu a discesa per selezionare i connettori appartenenti al gruppo.

  5. Seleziona Salva.

Assegnare applicazioni ai gruppi di connettori

Si assegna un'applicazione a un gruppo di connettori quando la si pubblica per la prima volta. È anche possibile aggiornare il gruppo a cui è assegnato un connettore. Per aggiornare il gruppo in cui si trova un connettore:

  1. Nel dashboard di gestione della directory selezionare Applicazioni>aziendali Tutte le applicazioni> da assegnare a un proxy applicazione del gruppo >di connettori.
  2. Usare il menu a discesa Gruppo di connettori per selezionare il gruppo che dovrà essere usato dall'applicazione.
  3. Fare clic su Salva per salvare la modifica.

Casi d'uso per gruppi di connettori

I gruppi di connettori sono utili in varie situazioni, ad esempio:

Siti con più data center interconnessi

Le organizzazioni di grandi dimensioni usano più data center. Si vuole mantenere il maggior traffico possibile all'interno di un data center specifico perché i collegamenti tra data center sono costosi e lenti. I connettori vengono distribuiti in ogni data center per gestire solo le applicazioni che risiedono all'interno del data center. Questo approccio riduce al minimo i collegamenti tra data center e offre un'esperienza completamente trasparente agli utenti.

Applicazioni installate in reti isolate

Le applicazioni possono essere ospitate in reti che non fanno parte della rete aziendale principale. È possibile usare gruppi di connettori per installare connettori dedicati in reti isolate, in modo da isolare anche le applicazioni per la rete. Lo scenario è comune per i fornitori che mantengono un'applicazione specifica.

Applicazioni installate in Infrastruttura distribuita come servizio (IaaS)

Per le applicazioni installate in Infrastruttura distribuita come servizio (IaaS) per l'accesso cloud, i gruppi di connettori forniscono un servizio comune per proteggere l'accesso a tutte le app. i gruppi Connessione or non creano altre dipendenze nella rete aziendale o frammentino l'esperienza dell'app. Connessione ors vengono installati in ogni data center cloud e servono solo le applicazioni che risiedono in tale rete. È possibile installare diversi connettori per ottenere la disponibilità elevata.

Considerare come esempio un'organizzazione con diverse macchine virtuali connesse alla rete virtuale IaaS ospitata. Per consentire ai dipendenti di usare queste applicazioni, queste reti private sono connesse alla rete aziendale usando la rete privata virtuale (VPN) da sito a sito. La VPN da sito a sito offre un'esperienza ottimale per i dipendenti che si trovano in locale. Tuttavia, non è ideale per i dipendenti remoti, perché richiede un'infrastruttura più locale per instradare l'accesso, come illustrato nel diagramma:

Diagram that illustrates the Microsoft Entra IaaS network

Con i gruppi di connettori proxy dell'applicazione Microsoft Entra, è possibile abilitare un servizio comune per proteggere l'accesso a tutte le applicazioni senza creare altre dipendenze dalla rete aziendale:

Microsoft Entra IaaS Multiple Cloud Vendors

Scenario a più foreste: gruppi di connettori diversi per ogni foresta

L'accesso Single Sign-On viene in genere ottenuto usando la delega vincolata Kerberos. I computer del connettore vengono aggiunti a un dominio che può delegare gli utenti all'applicazione. La delega vincolata Kerberos supporta le funzionalità tra foreste. Tuttavia, per le aziende che dispongono di ambienti distinti con più foreste senza attendibilità, non è possibile usare un singolo connettore per tutte le foreste. I connettori specifici vengono invece distribuiti per foresta e impostati per gestire le applicazioni pubblicate per servire solo gli utenti di tale foresta specifica. Ogni gruppo di connettori rappresenta una foresta diversa. Anche se il tenant e la maggior parte dell'esperienza sono unificati per tutte le foreste, gli utenti possono essere assegnati alle applicazioni di foresta usando i gruppi di Microsoft Entra.

Siti di ripristino di emergenza

Esistono due approcci da considerare per i siti di ripristino di emergenza:

  • Il sito di ripristino di emergenza è integrato in modalità attiva-attiva in cui è esattamente come il sito principale. Il sito ha anche le stesse impostazioni di rete e Active Directory (AD). È possibile creare i connettori nel sito di ripristino di emergenza nello stesso gruppo di connettori del sito principale. Microsoft Entra ID rileva automaticamente i failover.
  • Il sito di ripristino di emergenza è separato dal sito principale. Creare un gruppo di connettori diverso nel sito di ripristino di emergenza. Sono presenti applicazioni di backup o deviare manualmente l'applicazione esistente al gruppo di connettori di ripristino di emergenza in base alle esigenze.

Gestire più aziende da un singolo tenant

È possibile implementare un modello in cui un singolo provider di servizi distribuisce e gestisce i servizi correlati a Microsoft Entra per più aziende. i gruppi Connessione or consentono di separare i connettori e le applicazioni in gruppi diversi. Un modo, adatto per le piccole aziende, è avere un singolo tenant di Microsoft Entra, mentre le diverse aziende hanno il proprio nome di dominio e reti. Lo stesso approccio funziona per scenari di fusione e situazioni in cui una singola divisione serve diverse aziende per motivi normativi o aziendali.

Configurazioni di esempio

Si considerino queste configurazioni del gruppo di connettori di esempio.

Configurazione predefinita senza gruppi di connettori

Se non si usano gruppi di connettori, la configurazione ha un aspetto simile al seguente:

Example without connector groups

La configurazione è sufficiente per distribuzioni e test di piccole dimensioni. Funziona anche se l'organizzazione ha una topologia di rete flat.

Configurazione predefinita con una rete isolata

La configurazione è un'evoluzione del valore predefinito, un'app specifica viene eseguita in una rete isolata, ad esempio una rete virtuale IaaS:

Example Microsoft Entra without connector groups on an isolated network

La configurazione consigliata per organizzazioni complesse di grandi dimensioni include il gruppo di connettori predefinito come gruppo che non gestisce applicazioni e viene usato per i connettori inattivi o appena installati. Tutte le applicazioni vengono gestite tramite gruppi di connettori personalizzati.

Nell'esempio, l'azienda ha due data center, A e B, con due connettori che servono ogni sito. In ognuno dei siti vengono eseguite applicazioni diverse.

Example of company with 2 datacenters and 2 connectors

Passaggi successivi