Op headers gebaseerde verificatie voor eenmalige aanmelding met de toepassingsproxy en PingAccess

Azure Active Directory (Azure AD) toepassingsproxy werkt samen met PingAccess, zodat uw Azure AD-klanten toegang hebben tot meer van uw toepassingen. PingAccess biedt een andere optie dan geïntegreerde eenmalige aanmelding op basis van headers.

Wat is PingAccess voor Azure AD?

Met PingAccess voor Azure AD kunt u gebruikers toegang geven tot en eenmalige aanmelding (SSO) voor toepassingen die headers gebruiken voor verificatie. Application Proxy behandelt deze toepassingen hetzelfde als andere, waarbij Azure AD wordt gebruikt om de toegang te verifiëren en vervolgens het verkeer door te geven via de connectorservice. PingAccess bevindt zich voor de toepassingen en vertaalt het toegangstoken van Azure AD in een header. De toepassing ontvangt vervolgens de verificatie in de indeling die kan worden gelezen.

De gebruikers merken hier niets van wanneer ze zich aanmelden om uw bedrijfstoepassingen te gebruiken. Ze kunnen nog steeds vanaf elke locatie op elk apparaat werken. De toepassingsproxy-connectors leiden extern verkeer naar alle apps zonder rekening te houden met hun verificatietype, zodat ze nog steeds automatisch taken verdelen.

Hoe kan ik toegang?

Omdat dit scenario afkomstig is van een partnerschap tussen Azure Active Directory en PingAccess, hebt u licenties nodig voor beide services. Azure Active Directory Premium abonnementen bevatten echter een eenvoudige PingAccess-licentie die maximaal 20 toepassingen omvat. Als u meer dan 20 op headers gebaseerde toepassingen wilt publiceren, kunt u een extra licentie aanschaffen bij PingAccess.

Zie Azure Active Directory-edities voor meer informatie.

Uw toepassing publiceren in Azure

Dit artikel is bedoeld voor personen om voor het eerst een toepassing met dit scenario te publiceren. Naast het detailleren van de publicatiestappen, wordt u begeleid bij het aan de slag gaan met zowel toepassingsproxy als PingAccess. Als u beide services al hebt geconfigureerd, maar een vernieuwing wilt in de publicatiestappen, gaat u verder met de sectie Uw toepassing toevoegen aan Azure AD met toepassingsproxy sectie.

Notitie

Aangezien dit scenario een partnerschap tussen Azure AD en PingAccess is, zijn enkele van de instructies aanwezig op de Ping Identity-site.

Een toepassingsproxy-connector installeren

Als u toepassingsproxy al hebt ingeschakeld en een connector hebt geïnstalleerd, kunt u deze sectie overslaan en naar Uw toepassing toevoegen aan Azure AD met toepassingsproxy.

De toepassingsproxy-connector is een Windows Server-service waarmee het verkeer van uw externe werknemers naar uw gepubliceerde toepassingen wordt doorgestuurd. Zie Zelfstudie: Een on-premises toepassing toevoegen voor externe toegang via toepassingsproxy in Azure Active Directory voor meer gedetailleerde installatie-instructies.

  1. Meld u als toepassingsbeheerder aan bij de Azure Active Directory-portal. De pagina Azure Active Directory beheercentrum wordt weergegeven.

  2. Selecteer Azure Active Directory>ApplicationproxyDownload-connectorservice>. De pagina Toepassingsproxy Connector downloaden wordt weergegeven.

    Application proxy connector download

  3. Volg de installatie-instructies.

Als u de connector downloadt, wordt toepassingsproxy automatisch ingeschakeld voor uw directory, maar als dat niet het geval is, kunt u Inschakelen toepassingsproxy selecteren.

Uw toepassing toevoegen aan Azure AD met toepassingsproxy

Er zijn twee acties die u moet uitvoeren in de Azure Portal. Eerst moet u uw toepassing publiceren met toepassingsproxy. Vervolgens moet u informatie verzamelen over de toepassing die u tijdens de PingAccess-stappen kunt gebruiken.

Uw toepassing publiceren

U moet eerst uw toepassing publiceren. Deze actie omvat:

  • Uw on-premises toepassing toevoegen aan Azure AD
  • Een gebruiker toewijzen voor het testen van de toepassing en het kiezen van eenmalige aanmelding op basis van headers
  • De omleidings-URL van de toepassing instellen
  • Machtigingen verlenen voor gebruikers en andere toepassingen om uw on-premises toepassing te gebruiken

Uw eigen on-premises toepassing publiceren:

  1. Als u zich niet in de laatste sectie hebt aangemeld, meldt u zich als toepassingsbeheerder aan bij de Azure Active Directory-portal.

  2. Selecteer BedrijfstoepassingenNew>applicationAdd>een on-premises toepassing. De pagina Uw eigen on-premises toepassing toevoegen wordt weergegeven.

    Add your own on-premises application

  3. Vul de vereiste velden in met informatie over uw nieuwe toepassing. Gebruik de onderstaande richtlijnen voor de instellingen.

    Notitie

    Zie Een on-premises app toevoegen aan Azure AD voor een gedetailleerder overzicht van deze stap.

    1. Interne URL: Normaal gesproken geeft u de URL op waarmee u naar de aanmeldingspagina van de app gaat wanneer u zich in het bedrijfsnetwerk bevindt. Voor dit scenario moet de connector de PingAccess-proxy behandelen als de voorpagina van de toepassing. Gebruik deze indeling: https://<host name of your PingAccess server>:<port>. De poort is standaard 3000, maar u kunt deze configureren in PingAccess.

      Waarschuwing

      Voor dit type eenmalige aanmelding moet de interne URL worden gebruikt https en kan deze niet worden gebruikt http. Er is ook een beperking bij het configureren van een toepassing dat geen twee apps dezelfde interne URL moeten hebben, omdat hierdoor appproxy onderscheid kan houden tussen toepassingen.

    2. Methode voor verificatie vooraf: kies Azure Active Directory.

    3. URL vertalen in headers: Kies Nee.

    Notitie

    Als dit uw eerste toepassing is, gebruikt u poort 3000 om te starten en terug te keren om deze instelling bij te werken als u uw PingAccess-configuratie wijzigt. Voor volgende toepassingen moet de poort overeenkomen met de listener die u hebt geconfigureerd in PingAccess. Meer informatie over listeners in PingAccess.

  4. Selecteer Toevoegen. De overzichtspagina voor de nieuwe toepassing wordt weergegeven.

Wijs nu een gebruiker toe voor het testen van toepassingen en kies eenmalige aanmelding op basis van headers:

  1. Selecteer in de zijbalk van de toepassing Users and groupsAdd>userUsers and groups (<Number> Selected).> Er wordt een lijst met gebruikers en groepen weergegeven waaruit u kunt kiezen.

    Shows the list of users and groups

  2. Selecteer een gebruiker voor het testen van toepassingen en selecteer Selecteren. Zorg ervoor dat dit testaccount toegang heeft tot de on-premises toepassing.

  3. Selecteer Toewijzen.

  4. Selecteer in de zijbalk van de toepassing eenmalige> aanmelding op basis vanHeader.

    Tip

    Als dit de eerste keer is dat u eenmalige aanmelding op basis van headers gebruikt, moet u PingAccess installeren. Als u wilt controleren of uw Azure-abonnement automatisch is gekoppeld aan uw PingAccess-installatie, gebruikt u de koppeling op deze pagina voor eenmalige aanmelding om PingAccess te downloaden. U kunt de downloadsite nu openen of later terugkeren naar deze pagina.

    Shows header-based sign-on screen and PingAccess

  5. Selecteer Opslaan.

Controleer vervolgens of de omleidings-URL is ingesteld op uw externe URL:

  1. Selecteer> Azure Active Directory in de zijbalk van het Azure Active Directory beheercentrumApp-registraties. Er wordt een lijst met toepassingen weergegeven.
  2. Selecteer uw toepassing.
  3. Selecteer de koppeling naast omleidings-URI's, met het aantal omleidings-URI's dat is ingesteld voor web- en openbare clients. De naam> van de< toepassing - Verificatiepagina wordt weergegeven.
  4. Controleer of de externe URL die u eerder aan uw toepassing hebt toegewezen, zich in de lijst omleidings-URI's bevindt. Als dit niet het probleem is, voegt u nu de externe URL toe, gebruikt u een omleidings-URI-type web en selecteert u Opslaan.

Naast de externe URL moet een autoriserend eindpunt van Azure Active Directory op de externe URL worden toegevoegd aan de lijst met omleidings-URI's.

https://*.msappproxy.net/pa/oidc/cb https://*.msappproxy.net/

Ten slotte stelt u uw on-premises toepassing zo in dat gebruikers leestoegang hebben en andere toepassingen lees-/schrijftoegang hebben:

  1. Selecteer in de zijbalk van App-registraties voor uw toepassing API-machtigingenAdd>een permissionMicrosoft>APIMicrosoft>Graph. De pagina Api-machtigingen aanvragen voor Microsoft Graph wordt weergegeven, die de API's voor Windows Azure Active Directory bevat.

    Shows the Request API permissions page

  2. Selecteer DelegatedpermissionsUserUser.Read>>.

  3. Selecteer ToepassingsmachtigingenApplicationApplication.ReadWrite.All>>.

  4. Selecteer Machtigingen toevoegen.

  5. Selecteer op de pagina API-machtigingende optie Beheerderstoestemming verlenen voor <de naam> van uw directory.

Informatie verzamelen voor de PingAccess-stappen

U moet deze drie gegevens (alle GUID's) verzamelen om uw toepassing in te stellen met PingAccess:

Naam van het Azure AD-veld Naam van het veld PingAccess Gegevensindeling
(Client-)id van de app Client ID GUID
(Tenant-)id van de map Uitgevende instelling GUID
PingAccess key Clientgeheim Willekeurige tekenreeks

Ga als volgt te werk om deze informatie te verzamelen:

  1. Selecteer> Azure Active Directory in de zijbalk van het Azure Active Directory beheercentrumApp-registraties. Er wordt een lijst met toepassingen weergegeven.

  2. Selecteer uw toepassing. De App-registraties pagina voor uw toepassing wordt weergegeven.

    Registration overview for an application

  3. Selecteer naast de waarde van de toepassings-id (client) het pictogram Kopiëren naar klembord en kopieer en sla deze op. U geeft deze waarde later op als client-id van PingAccess.

  4. Selecteer vervolgens de waarde van de map-id (tenant), selecteer ook Kopiëren naar klembord en kopieer en sla deze op. U geeft deze waarde later op als uitgever van PingAccess.

  5. Selecteer certificaten engeheimenNew-clientgeheim> in de zijbalk van de App-registraties voor uw toepassing. De pagina Een clientgeheim toevoegen wordt weergegeven.

    Shows the Add a client secret page

  6. Typ in BeschrijvingPingAccess key.

  7. Kies onder Verloopt hoe u de PingAccess-sleutel instelt: in 1 jaar, in 2 jaar of nooit.

  8. Selecteer Toevoegen. De PingAccess-sleutel wordt weergegeven in de tabel met clientgeheimen, met een willekeurige tekenreeks die automatisch wordt ingevuld in het veld VALUE .

  9. Selecteer naast het veld VALUE van de PingAccess-sleutel het pictogram Kopiëren naar klembord en kopieer en sla deze op. U geeft deze waarde later op als clientgeheim van PingAccess.

Werk het veld bij acceptMappedClaims :

  1. Meld u als toepassingsbeheerder aan bij de Azure Active Directory-portal.
  2. Selecteer Azure Active Directory>App-registraties. Er wordt een lijst met toepassingen weergegeven.
  3. Selecteer uw toepassing.
  4. Selecteer Manifest in de zijbalk van de pagina App-registraties voor uw toepassing. De JSON-manifestcode voor de registratie van uw toepassing wordt weergegeven.
  5. Zoek het acceptMappedClaims veld en wijzig de waarde in True.
  6. Selecteer Opslaan.

Gebruik van optionele claims (optioneel)

Met optionele claims kunt u standaard-maar-niet-opgenomen claims toevoegen die elke gebruiker en tenant heeft. U kunt optionele claims voor uw toepassing configureren door het toepassingsmanifest te wijzigen. Zie het artikel Understanding the Azure AD-toepassingsmanifest voor meer informatie

Voorbeeld van het opnemen van e-mailadressen in de access_token die PingAccess gaat gebruiken:

    "optionalClaims": {
        "idToken": [],
        "accessToken": [
            {
                "name": "email",
                "source": null,
                "essential": false,
                "additionalProperties": []
            }
        ],
        "saml2Token": []
    },

Gebruik van beleid voor claimtoewijzing (optioneel)

Claimtoewijzingsbeleid (preview) voor kenmerken die niet bestaan in AzureAD. Met claimtoewijzing kunt u oude on-premises apps migreren naar de cloud door extra aangepaste claims toe te voegen die worden ondersteund door uw ADFS- of gebruikersobjecten

Als u uw toepassing een aangepaste claim wilt laten gebruiken en extra velden wilt opnemen, moet u ook een aangepast claimtoewijzingsbeleid hebben gemaakt en deze aan de toepassing hebben toegewezen.

Notitie

Als u een aangepaste claim wilt gebruiken, moet u ook een aangepast beleid hebben gedefinieerd en toegewezen aan de toepassing. Dit beleid moet alle vereiste aangepaste kenmerken bevatten.

U kunt beleidsdefinitie en -toewijzing uitvoeren via PowerShell of Microsoft Graph. Als u ze in PowerShell uitvoert, moet u deze mogelijk eerst gebruiken New-AzureADPolicy en vervolgens toewijzen aan de toepassing met Add-AzureADServicePrincipalPolicy. Zie Toewijzing van claimtoewijzingsbeleid voor meer informatie.

Voorbeeld:

$pol = New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"employeeid","JwtClaimType":"employeeid"}]}}') -DisplayName "AdditionalClaims" -Type "ClaimsMappingPolicy"

Add-AzureADServicePrincipalPolicy -Id "<<The object Id of the Enterprise Application you published in the previous step, which requires this claim>>" -RefObjectId $pol.Id

PingAccess inschakelen voor het gebruik van aangepaste claims

Het inschakelen van PingAccess voor het gebruik van aangepaste claims is optioneel, maar vereist als u verwacht dat de toepassing aanvullende claims verbruikt.

Wanneer u PingAccess in de volgende stap configureert, moet voor de websessie die u maakt (Instellingen-Access-Web>> Sessions) het verzoekprofiel is uitgeschakeld en gebruikerskenmerken vernieuwen is ingesteld op Nee

PingAccess downloaden en uw toepassing configureren

Nu u alle Azure Active Directory installatiestappen hebt voltooid, kunt u verdergaan met het configureren van PingAccess.

De gedetailleerde stappen voor het PingAccess-gedeelte van dit scenario worden voortgezet in de documentatie over Ping Identity. Volg de instructies in PingAccess configureren voor Azure AD om toepassingen te beveiligen die zijn gepubliceerd met behulp van Microsoft Azure AD toepassingsproxy op de Ping Identity-website en download de nieuwste versie van PingAccess.

Met deze stappen kunt u PingAccess installeren en een PingAccess-account instellen (als u er nog geen hebt). Als u vervolgens een OIDC-verbinding (Azure AD OpenID Verbinding maken) wilt maken, stelt u een tokenprovider in met de directory-id-waarde (tenant) die u hebt gekopieerd uit de Azure AD-portal. Vervolgens gebruikt u de toepassings-id enPingAccess key -waarden om een websessie op PingAccess te maken. Daarna kunt u identiteitstoewijzing instellen en een virtuele host, site en toepassing maken.

Uw toepassing testen

Wanneer u al deze stappen hebt voltooid, moet uw toepassing actief zijn. Als u deze wilt testen, opent u een browser en navigeert u naar de externe URL die u hebt gemaakt toen u de toepassing in Azure hebt gepubliceerd. Meld u aan met het testaccount dat u aan de toepassing hebt toegewezen.

Volgende stappen