Utilizzo del Proxy di applicazione Web
Data di pubblicazione: settembre 2016
Questo contenuto è relativo alla versione locale del Proxy applicazione Web. Per abilitare l'accesso protetto alle applicazioni locali tramite il cloud, vedere le informazioni sul proxy dell'applicazione di Azure Active Directory.
Proxy applicazione Web è un nuovo servizio ruolo Accesso remoto in Windows Server® 2012 R2.Proxy applicazione Web fornisce funzionalità di proxy inverso per le applicazioni web all'interno della rete azienda consentire agli utenti di qualsiasi dispositivo di accedervi dall'esterno della rete aziendale.Proxy applicazione Web esegue l'accesso alle applicazioni web mediante autenticazione preliminare Active Directory Federation Services (ADFS), e inoltre funziona come un AD FS proxy.
Fornire l'accesso alle applicazioni
Proxy applicazione Web offre alle organizzazioni la possibilità di fornire l'accesso alle applicazioni in esecuzione nei server all'interno dell'organizzazione per gli utenti finali che si trovano all'esterno dell'organizzazione. Il processo che consente di rendere l'applicazione disponibile esternamente è noto come pubblicazione. A differenza dei tradizionali soluzioni VPN, durante la pubblicazione di applicazioni tramite Proxy applicazione Web gli utenti finali possano accedere solo alle applicazioni pubblicate. Tuttavia, Proxy applicazione Web può anche essere distribuito con VPN come parte di una distribuzione di accesso remoto all'interno dell'organizzazione. Vedere Interoperability with Other Remote Access Products.
Pubblicazione di applicazioni
La pubblicazione di Proxy applicazione Web consente agli utenti finali di accedere alle applicazioni dell'organizzazione tramite i dispositivi personali, quindi gli utenti non sono limitati all'utilizzo di computer aziendali per svolgere le attività, ma possono avvalersi anche del computer a casa, del tablet o dello smartphone. Inoltre, gli utenti finali non è necessario installare software aggiuntivo sul dispositivo per accedere alle applicazioni pubblicate. È possibile utilizzare Proxy applicazione Web nei client con un browser standard, un client Office o un rich client che utilizza OAuth, ad esempio le app di Windows Store.Proxy applicazione Web funge da proxy inverso per qualsiasi applicazione pubblicata tramite di esso e pertanto l'esperienza per l'utente finale è la stessa offerta dalla connessione diretta del dispositivo all'applicazione.
Accesso alle applicazioni
Proxy applicazione Web deve sempre essere distribuito con AD FS. Ciò consente di sfruttare le funzionalità di AD FS, ad esempio, single sign-on (SSO). Ciò consente agli utenti di immettere le credenziali una sola volta e successivamente essi non verrà richiesto di immettere le credenziali. SSO è supportato da Proxy applicazione Web per i server back-end che utilizzano l'autenticazione basata sulle attestazioni; ad esempio applicazioni di SharePoint basato sulle attestazioni e autenticazione integrata di Windows utilizza Kerberos per la delega vincolata. Integrato Windows applicazioni basate su autenticazione possono essere definite in AD FS come trust della relying party che possono definire criteri di autenticazione e autorizzazione avanzati che vengono applicati nelle richieste all'applicazione.
Protezione delle applicazioni da minacce esterne
Proxy applicazione Web serve come una barriera tra Internet e alle applicazioni aziendali. In molte organizzazioni, quando si distribuisce Proxy applicazione Web e pubblicare applicazioni tramite questo servizio, le applicazioni saranno disponibili per gli utenti esterni in dispositivi che non siano stati aggiunti al dominio, ad esempio, computer portatili personali, Tablet o Smartphone. Questi dispositivi non sono appartenenti a un dominio e di conseguenza, essi sono descritte come i dispositivi non gestiti e non attendibili non all'interno della rete azienda. Poiché si desidera che gli utenti siano in grado di accedere alle informazioni importanti quando e dove si trovano, è necessario ridurre il rischio di consentire agli utenti l'accesso alle risorse aziendali da questi dispositivi non gestiti e non attendibili.Proxy applicazione Web fornisce una serie di funzionalità di protezione della rete aziendale da minacce esterne.Proxy applicazione Web utilizza AD FS per l'autenticazione e autorizzazione per garantire che solo gli utenti di dispositivi che l'autenticazione e sono autorizzati possano accedere alle applicazioni aziendali.
Difesa in profondità
Nella distribuzione consigliata, Proxy applicazione Web viene distribuito in una rete perimetrale tra un firewall con connessione Internet e un firewall di rete aziendale. Tuttavia, oltre alla protezione offerta dal firewall, Proxy applicazione Web offre protezione aggiuntiva per le applicazioni da minacce esterne.
Quando il traffico HTTPS arriva che è indirizzato a un indirizzo pubblicato da Proxy applicazione Web, termina il traffico e avvia nuove richieste per le applicazioni pubblicate. Funge pertanto da un buffer a livello di sessione tra dispositivi esterni e le applicazioni pubblicate. Ossia quando gli utenti di accedere alle applicazioni pubblicate, che non accedono direttamente all'applicazione, invece, accedono all'applicazione tramite Proxy applicazione Web.
Qualsiasi altro traffico che arriva a Proxy applicazione Web viene eliminato e non è stato inoltrato per le applicazioni pubblicate. Ciò include le richieste HTTP o HTTPS non valide che potrebbero essere utilizzate come parte di attacchi denial of service, zero giorno attacchi, attacchi SSL e così via.
Qualsiasi richiesta autenticata che arriva a Proxy applicazione Web contenente un token di autenticazione da AD FS verrà controllato per verificare che il token ricevuto è destinato a un client che invia il token. In tal caso, verifica che il dispositivo (tramite il certificato all'area di lavoro) corrisponde all'interno del token che identificata la periferica quando autenticato per l'attestazione AD FS.
Autenticazione e autorizzazione
Per proteggere l'accesso alle applicazioni dell'organizzazione, è consigliabile consentire l'accesso solo agli utenti autenticati e autorizzati. Quando si pubblicano applicazioni tramite Proxy applicazione Web, questa operazione viene eseguita tramite l'utilizzo di AD FS, che fornisce l'autenticazione e si applica l'autorizzazione per le applicazioni pubblicate.
Nota
Proxy applicazione Web consente inoltre la preautenticazione pass-through, che consente di pubblicare le applicazioni che non richiedono la preautenticazione o con client non supportano le funzionalità di autenticazione disponibili.
Autenticazione degli utenti e dispositivi
Quando si pubblicano applicazioni tramite Proxy applicazione Web, il processo mediante il quale gli utenti e dispositivi siano autenticati prima che possano accedere alle applicazioni è noto come la preautenticazione.Proxy applicazione Web supporta due forme di preautenticazione:
AD FS la preautenticazione, ovvero quando si utilizza AD FS per la preautenticazione, è necessario che l'utente per l'autenticazione di AD FS server prima di Proxy applicazione Web l'utente viene reindirizzato all'applicazione web pubblicata. Ciò garantisce che tutto il traffico alle applicazioni web pubblicate è autenticato.
La preautenticazione pass-through, gli utenti non è necessario immettere le credenziali prima che si connettono alle applicazioni web pubblicate.
Nota
La preautenticazione pass-through non ha alcun impatto sul se un'applicazione richiede agli utenti di fornire le credenziali per l'applicazione. Vale a dire, un'applicazione configurata con la preautenticazione pass-through non richiede agli utenti di immettere le credenziali per ottenere la rete aziendale, ma potrebbe richiedere agli utenti di immettere le credenziali per visualizzare il contenuto dell'applicazione.
Accedere con facilità le applicazioni pubblicate dal Proxy applicazione Web, e utilizzare AD FS la preautenticazione degli utenti finali è necessario utilizzare uno dei client seguenti:
Qualsiasi client che supporti i reindirizzamenti HTTP; ad esempio, un web browser.Proxy applicazione Web esegue l'azione appropriata su richiesta in entrata per reindirizzare l'utente a un indirizzo per l'autenticazione e l'indirizzo web originale, questa volta la prova di autenticazione.
I rich client che utilizzano HTTP di base, ad esempio, Exchange ActiveSync.
Qualsiasi client che utilizza MSOFBA; ad esempio, Word, Excel o PowerPoint. In questo caso, un utente tenta di accedere a un documento dal proprio elenco di documenti recenti che è archiviato in un server all'interno della rete azienda.
Applicazioni Windows Store e le applicazioni RESTful con i client che utilizzano il gestore delle autenticazioni Web per l'autenticazione. Un utente può aprire un'applicazione sul dispositivo che ottiene un token da AD FS tramite il gestore delle autenticazioni Web e include il token nell'intestazione di autorizzazione HTTP nelle richieste successive per l'applicazione.
Nota
A seconda del client utilizzato per accedere all'applicazione pubblicata, Proxy applicazione Web definisce la modalità di elaborazione della richiesta.
Funzionalità di autenticazione
Quando si utilizza AD FS per l'autenticazione, è anche trarre vantaggio da tutte le funzionalità che AD FS fornisce:
Area di lavoro, si tratta di una nuova funzionalità di AD FS in R2 per Windows Server 2012. Consente agli utenti di aggiungere dispositivi all'area di lavoro che normalmente non sarebbe dominio; ad esempio, computer portatili personali, Tablet e Smartphone. Quando questa funzionalità è abilitata, il AD FS amministratore può configurare tutte le applicazioni o singole applicazioni, per richiedere ai dispositivi di essere registrati prima di consentirne l'accesso per le applicazioni pubblicate. Per altre informazioni, vedere Accedere a una rete aziendale da qualsiasi dispositivo per SSO e l'autenticazione a due fattori trasparente per tutte le applicazioni aziendali.
SSO, ciò consente agli utenti di immettere le credenziali una sola volta ed essere autenticati a tutte le applicazioni pubblicate supportate. Vedere Accedere a una rete aziendale da qualsiasi dispositivo per SSO e l'autenticazione a due fattori trasparente per tutte le applicazioni aziendali.
Autenticazione a più fattori (MFA), ovveroAD FS può essere configurato per richiedere agli utenti di autenticarsi con più di uno schema di autenticazione, ad esempio, una password monouso o una smart card. Vedere Gestire i rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni con esigenze particolari.
Controllo degli accessi a più fattori, controllo dell'accesso in AD FS viene implementato con regole attestazione di autorizzazione che vengono utilizzate per rilasciare consentire o negare le attestazioni che determinano se un utente o un gruppo di utenti potranno accedere AD FS-risorse protette o non. Le regole di autorizzazione possono essere impostate solo per i trust della relying party. Tutte le funzionalità possono essere combinate, come necessario, per garantire la sicurezza più rigoroso per le applicazioni riservate o ignorati per le applicazioni meno riservate. Vedere Gestire i rischi con il controllo di accesso condizionale.
Quando si pubblicano applicazioni tramite Proxy applicazione Web non è necessario configurare il AD FS funzionalità di autenticazione indicati in precedenza. Ciò consente di fornire l'accesso ai dispositivi che non sono in grado di aggiungere l'area di lavoro o fornire altri fattori di autenticazione, ad esempio chioschi multimediali.
Panoramica tecnica del Proxy applicazione Web
Quando si decide di utilizzare Proxy applicazione Web nell'organizzazione, è consigliabile distribuire il Proxy applicazione Web Server dietro un firewall front-end per separarlo da Internet o tra due firewall; un firewall front-end per separarlo da Internet e un firewall back-end per separarlo dalla rete aziendale. In questa topologia, Proxy applicazione Web fornisce un livello di protezione contro utenti malintenzionati che potrebbero essere provenienti da Internet. Nessun altro server devono trovarsi nella rete perimetrale; vale a dire il AD FS server si trovano nella rete aziendale e può essere raggiunto solo tramite Proxy applicazione Web utilizzando il relativo incorporata AD FS funzionalità proxy.
Il diagramma seguente illustra una tipica topologia per la distribuzione Proxy applicazione Web in una rete perimetrale tra due firewall.
.jpeg "Topologia proxy applicazione Web")
Archiviazione della configurazione Proxy applicazione Web
Il Proxy applicazione Web configurazione viene archiviata nel AD FS server dell'organizzazione; pertanto, Proxy applicazione Web server richiedono la connettività al AD FS server. Inoltre, dopo aver configurato il primo Proxy applicazione Web server, è possibile installare altre Proxy applicazione Web server per creare una distribuzione in cluster. Quando si installa il servizio ruolo nel nuovo server del cluster, la configurazione viene trasferita automaticamente al nuovo server dopo aver completato il Proxy applicazione Web Configurazione guidata.
Poiché Proxy applicazione Web Memorizza la propria configurazione nel AD FS server dispone di alcun localmente memorizzate informazioni di configurazione.
Funzionalità di Proxy ADFS di Active Directory
Il Proxy applicazione Web servizio ruolo è inoltre un AD FS proxy. Vale a dire Proxy applicazione Web è in ascolto su tutti i parametri che AD FS è in ascolto.Proxy applicazione Web inoltra le richieste da Internet per AD FS e le risposte da AD FS a Internet. Si noti che il Proxy applicazione Web servizio ruolo è una sostituzione per il AD FS ruolo proxy.
Creazione di un proxy nell'organizzazione per il servizio federativo aggiunge sicurezza aggiuntiva livelli per il AD FS distribuzione. È possibile distribuire Proxy applicazione Web nella rete perimetrale dell'organizzazione quando si desidera:
Impedire l'accesso diretto al computer client esterni di AD FS server. Distribuendo un Proxy applicazione Web server nella rete perimetrale, in modo efficace isolare il AD FS server.Proxy applicazione Web server non hanno accesso alle chiavi private che vengono utilizzati per generare i token.
Fornire un modo pratico per differenziare l'esperienza di accesso per gli utenti provenienti da Internet diversamente dagli utenti che provengono dalla rete aziendale utilizzando l'autenticazione integrata di Windows.
La gestione di Proxy applicazione Web
Proxy applicazione Web utilizza una serie di strumenti e le funzionalità fornite da R2 per Windows Server 2012 che consente di installare facilmente, distribuire e gestire nelle distribuzioni aziendale.
Proxy applicazione Web è un servizio ruolo in R2 per Windows Server 2012. Ciò consente di installare facilmente Proxy applicazione Web la distribuzione utilizzando Server Manager o Windows PowerShell.
Proxy applicazione Web è integrato nella console di gestione accesso remoto, consentendo di gestire il Proxy applicazione Web server e altre tecnologie di accesso remoto, ad esempio DirectAccess e VPN dalla stessa console di gestione accesso remoto.
Proxy applicazione Web fornisce la funzionalità completa mediante un set di Windows PowerShell comandi e un'API di Windows Management Instrumentation (WMI).
Per facilitare la risoluzione dei problemi, Proxy applicazione Web:
Scrive gli eventi nel registro eventi di Windows.
Espone un numero di contatori delle prestazioni.
Ha un dedicato Best Practices Analyzer (BPA).
Interoperabilità con altri prodotti di accesso remoto
Proxy applicazione Web è un servizio ruolo del ruolo Accesso remoto in R2 per Windows Server 2012. È possibile installare Proxy applicazione Web side-by-side con accesso remoto negli scenari seguenti:
| DirectAccess | VPN | Proxy applicazione Web |
|---|---|---|
| Distribuzione a server singolo | Distribuzione a server singolo | Distribuzione a server singolo |
| Distribuzione a più siti | Distribuzione a più server | Non supportato nello stesso server |
| Non supportato nello stesso server | Distribuzione a più server | Distribuzione a più server |
| Distribuzione cluster1 | Distribuzione a più server | Distribuzione a più server2 |
Nota
1 - In una distribuzione cluster con DirectAccess preesistente è possibile installare il Proxy applicazione Web solo mediante Windows PowerShell.
2 - In una distribuzione del Proxy applicazione Web a più server preesistente è possibile installare DirectAccess solo mediante Windows PowerShell.
Proxy applicazione Web offre funzionalità pubblicazione dell'applicazione, simile a Forefront Unified Access Gateway (UAG). Tuttavia, Proxy applicazione Web interagisce con altri server e servizi per fornire una distribuzione semplificata. Questo permette di concentrarsi su come configurare solo le parti necessarie di distribuzione. È consigliabile che per le nuove distribuzioni in cui si richiede funzionalità di pubblicazione dell'applicazione per gli scenari descritti in precedenza, è necessario utilizzare Proxy applicazione Web.
Vedere anche
Pianificazione della pubblicazione di applicazioni mediante il proxy applicazione Web