проверка подлинности Windows — ограниченное делегирование Kerberos с идентификатором Microsoft Entra
На основе имен субъектов-служб ограниченное делегирование Kerberos (KCD) обеспечивает ограниченное делегирование между ресурсами. Для этого требуется, чтобы администраторы домена создали делегирования в рамках одного домена. KCD на основе ресурсов можно использовать для предоставления проверки подлинности Kerberos для веб-приложения с пользователями в нескольких доменах в лесу Active Directory.
Прокси приложения Microsoft Entra может предоставлять единый вход (SSO) и удаленный доступ к приложениям на основе KCD, которым требуется билет Kerberos для доступа и ограниченного делегирования Kerberos (KCD).
Чтобы включить единый вход в локальные приложения KCD, использующие интегрированные проверка подлинности Windows (IWA), предоставьте соединителям частной сети разрешение на олицетворения пользователей в Active Directory. Соединитель частной сети использует это разрешение для отправки и получения маркеров от имени пользователей.
Когда следует использовать KCD
Используйте KCD, если требуется предоставить удаленный доступ, защитить с помощью предварительной проверки подлинности и предоставить единый вход локальным приложениям IWA.
Компоненты системы
- Пользователь: обращается к устаревшему приложению, которое обслуживает прокси приложения.
- Веб-браузер: компонент, с которым взаимодействует пользователь для получения доступа к внешнему URL-адресу приложения.
- Идентификатор Microsoft Entra: проверяет подлинность пользователя.
- Служба прокси приложения: выступает в качестве обратного прокси-сервера для отправки запросов от пользователя в локальное приложение. Он находится в идентификаторе Microsoft Entra. Прокси приложения может применять политики условного доступа.
- Соединитель частной сети: установлен на локальных серверах Windows для обеспечения подключения к приложению. Возвращает ответ на идентификатор Microsoft Entra. Выполняет согласование KCD с доменными службами Active Directory, обезличивает пользователя с целью получения токена Kerberos для приложения.
- Active Directory: отправляет маркер Kerberos для приложения в соединитель частной сети.
- Устаревшие приложения: приложения, получающие запросы пользователей от прокси приложения. Устаревшие приложения возвращают ответ на соединитель частной сети.
Реализация проверка подлинности Windows (KCD) с помощью идентификатора Microsoft Entra
Дополнительные сведения о реализации проверка подлинности Windows (KCD) с помощью идентификатора Microsoft Entra см. в следующих ресурсах.
- Единый вход на основе Kerberos в идентификаторе Microsoft Entra ID с помощью Application Proxy описывает предварительные требования и действия по настройке.
- Руководство . Добавление локального приложения — прокси приложения в идентификатор Microsoft Entra позволяет подготовить среду для использования с прокси приложениями.
Следующие шаги
- Обзор протокола проверки подлинности и синхронизации Microsoft Entra описывает интеграцию с протоколами проверки подлинности и синхронизации. Интеграция проверки подлинности позволяет использовать идентификатор Microsoft Entra и его функции безопасности и управления с небольшими изменениями в приложениях, использующих устаревшие методы проверки подлинности. Интеграция синхронизации позволяет синхронизировать данные пользователей и группировать с идентификатором Microsoft Entra, а затем использовать возможности управления Microsoft Entra. Некоторые шаблоны синхронизации обеспечивают автоматическую подготовку.
- Общие сведения о едином входе в локальное приложение с помощью Application Proxy описывает, как единый вход позволяет пользователям получать доступ к приложению без проверки подлинности несколько раз. Единый вход происходит в облаке с идентификатором Microsoft Entra и позволяет службе или Подключение or олицетворить пользователя для выполнения задач проверки подлинности из приложения.
- Единый вход языка разметки утверждений безопасности (SAML) для локальных приложений с помощью прокси приложения Microsoft Entra описывает, как обеспечить удаленный доступ к локальным приложениям, защищенным с помощью проверки подлинности SAML через Application Proxy.