Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Op basis van namen van service-principals biedt KCD (Beperkte Kerberos-delegering) beperkte delegatie tussen resources. Domeinbeheerders moeten de delegaties maken en zijn beperkt tot één domein. U kunt KCD op basis van resources gebruiken om Kerberos-verificatie te bieden voor een webtoepassing met gebruikers in meerdere domeinen binnen een Active Directory-forest.
Microsoft Entra-toepassingsproxy kan eenmalige aanmelding (SSO) en externe toegang bieden tot op KCD gebaseerde toepassingen waarvoor een Kerberos-ticket is vereist voor toegang en KCD (Beperkte Kerberos-delegering).
Als u eenmalige aanmelding wilt inschakelen voor uw on-premises KCD-toepassingen die gebruikmaken van geïntegreerde Windows-verificatie (IWA), geeft u privénetwerkconnectors toestemming om gebruikers in Active Directory te imiteren. De privénetwerkconnector gebruikt deze machtiging voor het verzenden en ontvangen van tokens namens de gebruikers.
Wanneer moet u KCD gebruiken
Gebruik KCD wanneer er behoefte is aan het bieden van externe toegang, beveilig met pre-verificatie, en zorg voor eenmalige aanmelding (SSO) bij on-premises IWA-toepassingen.
Onderdelen van het systeem
- Gebruiker: Toegang tot een verouderde toepassing die door de toepassingsproxy wordt bediend.
- Webbrowser: Het onderdeel waarmee de gebruiker communiceert om toegang te krijgen tot de externe URL van de toepassing.
- Microsoft Entra-id: Hiermee wordt de gebruiker geverifieerd.
- Toepassingsproxyservice: Fungeert als omgekeerde proxy voor het verzenden van aanvragen van de gebruiker naar de on-premises toepassing. Het bevindt zich in Microsoft Entra ID. Toepassingsproxy kan beleid voor voorwaardelijke toegang afdwingen.
- Connector voor privénetwerk: Geïnstalleerd op on-premises Windows-servers om connectiviteit met de toepassing te bieden. Geeft het antwoord terug aan Microsoft Entra ID. Voert KCD-onderhandeling uit met Active Directory door de gebruiker te imiteren om een Kerberos-token voor de applicatie te verkrijgen.
- Active Directory: Hiermee verzendt u het Kerberos-token voor de toepassing naar de connector voor het privénetwerk.
- Verouderde toepassingen: Toepassingen die gebruikersaanvragen ontvangen van de toepassingsproxy. De verouderde applicaties sturen de respons naar de verbinding van het privénetwerk terug.
Windows-verificatie (KCD) implementeren met Microsoft Entra-id
Bekijk de volgende bronnen voor meer informatie over het implementeren van Windows-verificatie (KCD) met Microsoft Entra ID.
- Eenmalige aanmelding (SSO) op basis van Kerberos in Microsoft Entra ID met Application Proxy beschrijft vereisten en configuratiestappen.
- De zelfstudie : Een on-premises app toevoegen - Toepassingsproxy in Microsoft Entra ID helpt u bij het voorbereiden van uw omgeving voor gebruik met de toepassingsproxy.
Volgende stappen
- Overzicht van microsoft Entra-verificatie en synchronisatieprotocol beschrijft integratie met verificatie- en synchronisatieprotocollen. Met verificatie-integraties kunt u Microsoft Entra ID en de beveiligings- en beheerfuncties ervan gebruiken met weinig of geen wijzigingen in uw toepassingen die gebruikmaken van verouderde verificatiemethoden. Met synchronisatie-integraties kunt u gebruikers- en groepsgegevens synchroniseren met Microsoft Entra-id en vervolgens microsoft Entra-beheermogelijkheden gebruiken. Sommige synchronisatiepatronen maken geautomatiseerde inrichting mogelijk.
- Informatie over eenmalige aanmelding met een on-premises app met behulp van application proxy beschrijft hoe SSO uw gebruikers toegang geeft tot een toepassing zonder meerdere keren te verifiëren. SSO vindt plaats in de cloud tegen Microsoft Entra ID en stelt de service of connector in staat om namens de gebruiker op te treden om authenticatie-uitdagingen van de toepassing te voltooien.
- Eenmalige aanmelding van Security Assertion Markup Language (SAML) voor on-premises apps met microsoft Entra-toepassingsproxy beschrijft hoe u externe toegang kunt bieden tot on-premises toepassingen die zijn beveiligd met SAML-verificatie via toepassingsproxy.