Implementare l'autenticazione basata su certificati e Kerberos in Microsoft Entra ID

  • 3 minuti

È possibile fornire l'accesso Single Sign-On per le applicazioni locali pubblicate tramite Application Proxy. Le app sono protette con l'autenticazione integrata di Windows. Queste applicazioni richiedono un ticket Kerberos per l'accesso. Il proxy di applicazione usa la delega vincolata Kerberos (KCD) per supportare queste applicazioni. È possibile abilitare l'accesso Single Sign-On alle applicazioni usando l'autenticazione integrata di Windows. Concedere ai connettori di Application Proxy l'autorizzazione per rappresentare gli utenti in Active Directory. I connettori usano questa autorizzazione per inviare e ricevere token per loro conto.

Flusso del processo di autenticazione Kerberos

Diagram of the process flow for Kerberos authentication in Microsoft Entra ID. Full description of process is in the content.

  1. L'utente immette l'URL per accedere all'applicazione locale tramite Application Proxy.
  2. Application Proxy reindirizza la richiesta ai servizi di autenticazione Microsoft Entra per la preautenticazione. A questo punto, Microsoft Entra ID applica tutti i criteri di autenticazione e autorizzazione applicabili, ad esempio l'autenticazione a più fattori. Se l'utente viene convalidato, Microsoft Entra ID crea un token e lo invia all'utente.
  3. L'utente passa il token al proxy di applicazione.
  4. Application Proxy convalida il token e recupera il nome dell'entità utente (UPN) da esso, quindi il connettore esegue il pull dell'UPN e il nome dell'entità servizio (SPN) tramite un canale sicuro con doppia autenticazione.
  5. Il connettore esegue la negoziazione della delega vincolata Kerberos con AD locale, rappresentando l'utente per ottenere un token Kerberos per l'applicazione.
  6. Active Directory invia il token Kerberos per l'applicazione al connettore.
  7. Il connettore invia la richiesta originale al server dell'applicazione, usando il token Kerberos ricevuto da Active Directory.
  8. L'applicazione invia la risposta al connettore, che viene quindi restituita al servizio proxy di applicazione e infine all'utente.

Assicurarsi che l'ambiente sia pronto

Prima di iniziare a usare SSO per le applicazioni con autenticazione integrata di Windows, verificare che l'ambiente sia pronto con le impostazioni e configurazioni seguenti:

  • Le app, ad esempio le app Web SharePoint, devono essere impostate per usare l'autenticazione integrata di Windows.
  • Tutte le app devono avere nomi delle entità servizio.
  • Il server che esegue il connettore e il server che esegue l'app appartengono allo stesso dominio.
  • Il server che esegue il connettore deve avere accesso in lettura all'attributo TokenGroupsGlobalAndUniversal per gli utenti.