Op headers gebaseerde eenmalige aanmelding (SSO) voor on-premises apps met Microsoft Entra-toepassingsproxy

  • Artikel

Microsoft Entra-toepassingsproxy biedt systeemeigen ondersteuning voor eenmalige aanmelding (SSO) toegang tot toepassingen die headers gebruiken voor verificatie. U configureert headerwaarden die vereist zijn voor uw toepassing in Microsoft Entra ID. De headerwaarden worden via de toepassingsproxy naar de toepassing verzonden. Voordelen van het gebruik van systeemeigen ondersteuning voor verificatie op basis van headers met toepassingsproxy zijn onder andere:

  • Vereenvoudig externe toegang tot uw on-premises apps - Toepassingsproxy vereenvoudigt uw bestaande architectuur voor externe toegang. U vervangt vpn-toegang (Virtual Private Network) tot deze apps. U verwijdert afhankelijkheden van on-premises identiteitsoplossingen voor verificatie. U stroomlijnt de ervaring voor gebruikers en ze merken niets anders wanneer ze bedrijfstoepassingen gebruiken. Gebruikers kunnen vanaf elke locatie op elk apparaat werken.

  • Geen extra software of wijzigingen in uw apps : u gebruikt uw bestaande privénetwerkconnectors. Er is geen extra software vereist.

  • Brede lijst met beschikbare kenmerken en transformaties: alle beschikbare headerwaarden zijn gebaseerd op standaardclaims die worden uitgegeven door Microsoft Entra-id. Alle kenmerken en transformaties die beschikbaar zijn voor het configureren van claims voor SAML-toepassingen (Security Assertion Markup Language) of OpenID Verbinding maken (OIDC) zijn ook beschikbaar als headerwaarden.

Vereisten

Schakel de toepassingsproxy in en installeer een connector die directe netwerktoegang tot uw toepassingen heeft. Zie Een on-premises toepassing toevoegen voor externe toegang via de toepassingsproxy voor meer informatie.

Ondersteunde mogelijkheden

De tabel bevat algemene mogelijkheden die vereist zijn voor verificatietoepassingen op basis van headers.

Vereiste Beschrijving
Federatieve SSO In de vooraf geverifieerde modus worden alle toepassingen beveiligd met Microsoft Entra-verificatie en hebben gebruikers eenmalige aanmelding.
Externe toegang Toepassingsproxy biedt externe toegang tot de app. Gebruikers hebben toegang tot de toepassing vanaf internet in elke webbrowser met behulp van de externe URL (Uniform Resource Locator). De toepassingsproxy is niet bedoeld voor algemene bedrijfstoegang. Zie Microsoft Entra-privétoegang voor algemene bedrijfstoegang.
Op headers gebaseerde integratie De toepassingsproxy verwerkt eenmalige aanmelding met Microsoft Entra-id en geeft vervolgens identiteiten of andere toepassingsgegevens door als HTTP-headers aan de toepassing.
Toepassingsautorisatie Algemene beleidsregels worden opgegeven op basis van toegang tot de toepassing, het groepslidmaatschap van de gebruiker en andere beleidsregels. In Microsoft Entra-id worden beleidsregels geïmplementeerd met behulp van voorwaardelijke toegang. Het autorisatiebeleid voor toepassingen is alleen van toepassing op de eerste verificatieaanvraag.
Verificatie met meer stappen Beleidsregels worden gedefinieerd om toegevoegde verificatie af te dwingen, bijvoorbeeld om toegang te krijgen tot gevoelige resources.
Fijnkorrelige autorisatie Biedt toegangsbeheer op URL-niveau. Toegevoegde beleidsregels kunnen worden afgedwongen op basis van de URL die wordt gebruikt. De interne URL die voor de app is geconfigureerd, definieert het bereik van de app waarop het beleid wordt toegepast. Het beleid dat is geconfigureerd voor het meest verfijnde pad wordt afgedwongen.

Notitie

In dit artikel wordt de verbinding tussen verificatietoepassingen op basis van headers en Microsoft Entra ID beschreven met behulp van de toepassingsproxy en wordt het aanbevolen patroon gebruikt. Als alternatief is er een integratiepatroon dat Gebruikmaakt van PingAccess met Microsoft Entra ID om verificatie op basis van headers in te schakelen. Zie Verificatie op basis van headers voor eenmalige aanmelding met toepassingsproxy en PingAccess voor meer informatie.

Hoe het werkt

Hoe eenmalige aanmelding op basis van headers werkt met toepassingsproxy.

  1. De Beheer past de kenmerktoewijzingen aan die vereist zijn voor de toepassing in het Microsoft Entra-beheercentrum.
  2. Toepassingsproxy zorgt ervoor dat een gebruiker wordt geverifieerd met behulp van Microsoft Entra-id.
  3. De toepassingsproxycloudservice is op de hoogte van de vereiste kenmerken. De service haalt dus de bijbehorende claims op uit het id-token dat tijdens de verificatie is ontvangen. De service vertaalt vervolgens de waarden in de vereiste HTTP-headers als onderdeel van de aanvraag naar de connector.
  4. De aanvraag wordt vervolgens doorgegeven aan de connector, die vervolgens wordt doorgegeven aan de back-endtoepassing.
  5. De toepassing ontvangt de headers en kan deze headers naar behoefte gebruiken.

De toepassing publiceren met toepassingsproxy

  1. Publiceer uw toepassing volgens de instructies die worden beschreven in Toepassingen publiceren met toepassingsproxy.

    • De interne URL-waarde bepaalt het bereik van de toepassing. U configureert de interne URL-waarde in het hoofdpad van de toepassing en alle subpaden onder de hoofdmap ontvangen dezelfde header- en toepassingsconfiguratie.
    • Maak een nieuwe toepassing om een andere headerconfiguratie of gebruikerstoewijzing in te stellen voor een gedetailleerder pad dan de toepassing die u hebt geconfigureerd. Configureer in de nieuwe toepassing de interne URL met het specifieke pad dat u nodig hebt en configureer vervolgens de specifieke headers die nodig zijn voor deze URL. De toepassingsproxy komt altijd overeen met uw configuratie-instellingen tot het meest gedetailleerde pad dat is ingesteld voor een toepassing.

  2. Selecteer Microsoft Entra-id als de methode vóór verificatie.

  3. Wijs een testgebruiker toe door naar Gebruikers en groepen te navigeren en de juiste gebruikers en groepen toe te wijzen.

  4. Open een browser en navigeer naar de externe URL vanuit de proxy-instellingen van de toepassing.

  5. Controleer of u verbinding kunt maken met de toepassing. Hoewel u verbinding kunt maken, hebt u nog geen toegang tot de app omdat de headers niet zijn geconfigureerd.

Eenmalige aanmelding configureren

Voordat u aan de slag gaat met eenmalige aanmelding voor headertoepassingen, moet u een connector voor een privénetwerk installeren. De connector moet toegang hebben tot de doeltoepassingen. Zie Zelfstudie: Microsoft Entra-toepassingsproxy voor meer informatie.

  1. Nadat uw toepassing wordt weergegeven in de lijst met bedrijfstoepassingen, selecteert u deze en selecteert u Eenmalige aanmelding.
  2. Stel de modus voor eenmalige aanmelding in op headerbasis.
  3. In Basisconfiguratie wordt Microsoft Entra-id geselecteerd als de standaardwaarde.
  4. Selecteer het bewerkingspotlood in Kopteksten om headers te configureren die naar de toepassing moeten worden verzonden.
  5. Selecteer Nieuwe koptekst toevoegen. Geef een naam op voor de header en selecteer Kenmerk of Transformatie en selecteer in de vervolgkeuzelijst die uw toepassing nodig heeft.
  6. Selecteer Opslaan.

Uw app testen

De toepassing wordt nu uitgevoerd en beschikbaar. Om de app te testen.

  1. Wis eerder in de cache opgeslagen headers door een nieuw browser- of privébrowservenster te openen.
  2. Navigeer naar de externe URL. U vindt deze instelling die wordt vermeld als externe URL in de proxy-instellingen van de toepassing.
  3. Meld u aan met het testaccount dat u aan de app hebt toegewezen.
  4. Bevestig dat u de toepassing kunt laden en aanmelden met behulp van eenmalige aanmelding.

Overwegingen

  • Toepassingsproxy biedt externe toegang tot apps on-premises of in een privécloud. Toepassingsproxy wordt niet aanbevolen voor verkeer dat afkomstig is uit hetzelfde netwerk als de beoogde toepassing.
  • Toegang tot verificatietoepassingen op basis van headers moet worden beperkt tot alleen verkeer van de connector of een andere toegestane verificatieoplossing op basis van headers. Toegangsbeperking wordt meestal uitgevoerd met behulp van een firewall of IP-beperking op de toepassingsserver.

Volgende stappen