Delen via

Windows-verificatie - Beperkte Kerberos-delegering met Microsoft Entra-id

  • Artikel

Op basis van namen van service-principals biedt KCD (Beperkte Kerberos-delegering) beperkte delegatie tussen resources. Hiervoor is vereist dat domeinbeheerders de delegaties maken en het is beperkt tot één domein. U kunt KCD op basis van resources gebruiken om Kerberos-verificatie te bieden voor een webtoepassing met gebruikers in meerdere domeinen binnen een Active Directory-forest.

Microsoft Entra-toepassingsproxy kan eenmalige aanmelding (SSO) en externe toegang bieden tot op KCD gebaseerde toepassingen waarvoor een Kerberos-ticket is vereist voor toegang en KCD (Beperkte Kerberos-delegering).

Als u eenmalige aanmelding wilt inschakelen voor uw on-premises KCD-toepassingen die gebruikmaken van geïntegreerde Windows-verificatie (IWA), geeft u privénetwerkconnectors toestemming om gebruikers in Active Directory te imiteren. De privénetwerkconnector gebruikt deze machtiging voor het verzenden en ontvangen van tokens namens de gebruikers.

Wanneer moet u KCD gebruiken

Gebruik KCD wanneer externe toegang moet worden geboden, beveilig met verificatie vooraf en geef eenmalige aanmelding aan on-premises IWA-toepassingen.

Schema van de architectuur

Onderdelen van het systeem

  • Gebruiker: Hiermee opent u een verouderde toepassing die toepassingsproxy dient.
  • Webbrowser: het onderdeel waarmee de gebruiker communiceert om toegang te krijgen tot de externe URL van de toepassing.
  • Microsoft Entra-id: verifieert de gebruiker.
  • toepassingsproxy service: Fungeert als omgekeerde proxy voor het verzenden van aanvragen van de gebruiker naar de on-premises toepassing. Het bevindt zich in Microsoft Entra ID. toepassingsproxy kan beleid voor voorwaardelijke toegang afdwingen.
  • Privénetwerkconnector: geïnstalleerd op on-premises Windows-servers om connectiviteit met de toepassing te bieden. Retourneert het antwoord op de Microsoft Entra-id. Voert KCD-onderhandeling uit met Active Directory, waarbij de gebruiker wordt nagebootst om een Kerberos-token voor de toepassing op te halen.
  • Active Directory: verzendt het Kerberos-token voor de toepassing naar de connector voor het privénetwerk.
  • Verouderde toepassingen: toepassingen die gebruikersaanvragen ontvangen van de toepassingsproxy. De verouderde toepassingen retourneren het antwoord op de connector voor het privénetwerk.

Windows-verificatie (KCD) implementeren met Microsoft Entra-id

Bekijk de volgende bronnen voor meer informatie over het implementeren van Windows-verificatie (KCD) met Microsoft Entra ID.

Volgende stappen

  • Overzicht van microsoft Entra-verificatie en synchronisatieprotocol beschrijft integratie met verificatie- en synchronisatieprotocollen. Met verificatie-integraties kunt u Microsoft Entra ID en de beveiligings- en beheerfuncties ervan gebruiken met weinig of geen wijzigingen in uw toepassingen die gebruikmaken van verouderde verificatiemethoden. Met synchronisatie-integraties kunt u gebruikers- en groepsgegevens synchroniseren met Microsoft Entra-id en vervolgens microsoft Entra-beheermogelijkheden gebruiken. Sommige synchronisatiepatronen maken geautomatiseerde inrichting mogelijk.
  • Ontdek eenmalige aanmelding met een on-premises app met behulp van toepassingsproxy beschrijft hoe uw gebruikers met eenmalige aanmelding toegang hebben tot een toepassing zonder dat ze meerdere keren hoeven te verifiëren. Eenmalige aanmelding vindt plaats in de cloud op basis van Microsoft Entra ID en stelt de service of Verbinding maken or in staat om de gebruiker te imiteren om verificatieproblemen van de toepassing te voltooien.
  • Eenmalige aanmelding van Security Assertion Markup Language (SAML) voor on-premises apps met microsoft Entra-toepassingsproxy beschrijft hoe u externe toegang kunt bieden tot on-premises toepassingen die zijn beveiligd met SAML-verificatie via toepassingsproxy.