Usare il WAP come proxy web inverso
Proxy applicazione Web è un servizio del ruolo di Accesso remoto Questo servizio di ruolo funziona come proxy Web inverso e fornisce agli utenti che sono su Internet l'accesso alle applicazioni Web aziendali interne o ai server Gateway Desktop Remoto. Proxy applicazione Web può usare AD FS per preautenticare gli utenti Internet e svolge la funzione di proxy AD FS per la pubblicazione di applicazioni basate su attestazioni.
Annotazioni
Un'applicazione in grado di riconoscere attestazioni può usare qualsiasi informazione su un utente, ad esempio l'appartenenza a un gruppo, l'indirizzo di posta elettronica, il reparto o la società come parte dell'autorizzazione dell'utente.
Prima di installare il proxy applicazioni web, è necessario distribuire AD FS come requisito preliminare. Il proxy delle applicazioni web utilizza AD FS per i servizi di autenticazione. Una funzionalità fornita da AD FS è la funzionalità SSO, il che significa che se gli utenti immettono le credenziali per accedere a un'applicazione Web aziendale una sola volta, non verrà chiesto di immettere di nuovo le credenziali per l'accesso successivo all'applicazione Web aziendale. È anche possibile usare AD FS per autenticare gli utenti in Proxy applicazione Web prima che gli utenti comunichino con l'applicazione.
L'inserimento del server proxy applicazione Web nella rete perimetrale tra due dispositivi firewall è una configurazione tipica. Il server e le applicazioni AD FS pubblicati si trovano nella rete aziendale e, insieme ai controller di dominio e ad altri server interni, sono protetti dal secondo firewall. Questo scenario offre accesso sicuro alle applicazioni aziendali per gli utenti che si trovano su Internet e allo stesso tempo protegge l'infrastruttura IT aziendale dalle minacce alla sicurezza su Internet.
Opzioni di autenticazione per proxy dell'applicazione Web
Quando si configura un'applicazione in Proxy applicazione Web, è necessario selezionare il tipo di preautenticazione. È possibile scegliere la preautenticazione di AD FS o la preautenticazione pass-through. La preautenticazione di AD FS offre più funzionalità e vantaggi, ma la preautenticazione pass-through è compatibile con tutte le app Web.
Preautenticazione di AD FS
La preautenticazione di AD FS usa AD FS per le applicazioni Web che usano l'autenticazione basata sulle attestazioni. Quando un utente avvia una connessione all'applicazione Web aziendale, il primo punto di ingresso a cui l'utente si connette è il proxy applicazione Web. Proxy dell'applicazione Web preautentica l'utente sul server AD FS. Se l'autenticazione ha esito positivo, il proxy applicazione Web stabilisce una connessione al server Web nella rete aziendale in cui è ospitata l'applicazione.
Usando la preautenticazione di AD FS, assicurarsi che solo gli utenti autorizzati possano inviare pacchetti di dati all'applicazione Web. Ciò impedisce agli hacker di sfruttare i difetti dell'app Web prima dell'autenticazione. La preautenticazione di AD FS riduce significativamente la superficie di attacco per un'app Web.
Preautenticazione pass-through
Nella preautenticazione pass-through non viene usato AD FS per l'autenticazione, né viene eseguita la preautenticazione dell'utente tramite Proxy applicazione Web. L'utente è invece connesso all'applicazione Web tramite proxy applicazione Web. Il proxy dell'applicazione Web ricompila i pacchetti di dati man mano che vengono recapitati all'app Web, che garantisce la protezione da difetti, ad esempio pacchetti in formato non valido. Tuttavia, la parte dei dati del pacchetto passa all'app Web. L'app Web è responsabile dell'autenticazione degli utenti.
Vantaggi della preautenticazione di AD FS
La preautenticazione di AD FS offre i vantaggi seguenti rispetto alla preautenticazione pass-through:
- accesso Single Sign-On. Consente agli utenti che vengono preautenticati da AD FS di immettere le credenziali una sola volta. Se gli utenti accedono successivamente ad altre applicazioni che usano AD FS per l'autenticazione, non verranno nuovamente richieste le credenziali.
- Autenticazione a più fattori. L'autenticazione a più fattori consente di configurare più tipi di credenziali per rafforzare la sicurezza. Ad esempio, è possibile configurare il sistema in modo che gli utenti immettano il nome utente e la password insieme a una smart card.
- Controllo di accesso a più fattori. Controlli di accesso a più fattori usati nelle organizzazioni che vogliono rafforzare la sicurezza durante la pubblicazione di applicazioni Web implementando regole attestazioni di autorizzazione. Le regole vengono configurate in modo da rilasciare un'attestazione di autorizzazione o negazione, che determina se un utente o un gruppo è consentito o negato l'accesso a un'applicazione Web che usa la preautenticazione di AD FS.
Pubblicare applicazioni con Proxy dell'applicazione Web
Dopo aver installato il servizio di ruolo Proxy applicazione Web, è possibile configurarlo usando la configurazione guidata di Proxy applicazione Web dalla console di gestione Accesso remoto. Al termine della Configurazione guidata Web Application Proxy, viene creata la console Web Application Proxy, che è possibile usare per la gestione e la configurazione aggiuntive del Web Application Proxy.
La Configurazione guidata del proxy dell'applicazione Web richiede di immettere le seguenti informazioni durante il processo di configurazione iniziale.
- Nome AD FS. Per individuare questo nome, aprire la console di gestione di AD FS e, in Modifica proprietà servizio federativo, trovare il valore nella casella Nome servizio federativo.
- Credenziali dell'account amministratore locale per AD FS.
- Certificato proxy AD FS. Si tratta di un certificato che il proxy applicazione Web userà per la funzionalità proxy AD FS.
Suggerimento
Il certificato proxy AD FS deve contenere il nome AD FS nel campo oggetto del certificato perché la Configurazione del Wizard di applicazione Web Proxy lo richiede. Inoltre, il campo dei nomi alternativi del soggetto nel certificato deve includere il nome di AD FS.
Dopo aver completato la Configurazione guidata di Web Application Proxy, è possibile pubblicare l'app Web utilizzando la console di Web Application Proxy o i cmdlet di Windows PowerShell. I cmdlet di Windows PowerShell per la gestione delle app pubblicate sono:
Add-WebApplicationProxyApplicationGet-WebApplicationProxyApplicationSet-WebApplicationProxyApplication
Quando si pubblica l'app Web, è necessario fornire le informazioni seguenti:
- Il tipo di preautenticazione, ad esempio pass-through.
- L'applicazione da pubblicare.
- L'URL esterno dell'applicazione, ad esempio
https://lon-svr1.adatum.com. - Un certificato il cui nome soggetto copre l'URL esterno, ad esempio
lon-svr1.adatum.com. - URL del server back-end, immesso automaticamente quando si immette l'URL esterno.