Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Na podstawie nazw głównych usług, Kerberos Constrained Delegation (KCD) umożliwia ograniczone delegowanie między zasobami. Wymaga ona od administratorów domeny utworzenia delegowania i jest ograniczona do jednej domeny. Za pomocą KCD opartego na zasobach można zapewnić uwierzytelnianie Kerberos dla aplikacji internetowej, która ma użytkowników w wielu domenach w lesie usługi Active Directory.
Serwer proxy aplikacji Microsoft Entra może zapewnić logowanie jednokrotne (SSO) i zdalny dostęp do aplikacji opartych na protokole KCD, które wymagają biletu protokołu Kerberos na potrzeby dostępu i ograniczonego delegowania Protokołu Kerberos (KCD).
Aby włączyć logowanie jednokrotne do lokalnych aplikacji KCD korzystających ze zintegrowanego uwierzytelniania systemu Windows (IWA), nadaj prywatnym łącznikom sieci uprawnienia do personifikacji użytkowników w usłudze Active Directory. Łącznik sieci prywatnej używa tego uprawnienia do wysyłania i odbierania tokenów w imieniu użytkowników.
Kiedy należy używać KCD
Użyj usługi KCD, jeśli istnieje potrzeba zapewnienia dostępu zdalnego, ochrony przed uwierzytelnianiem i zapewnienia logowania jednokrotnego do lokalnych aplikacji IWA.
Składniki systemu
- Użytkownik: Uzyskuje dostęp do starszej aplikacji, która jest obsługiwana przez serwer proxy aplikacji.
- Przeglądarka internetowa: Składnik, z którym użytkownik korzysta w celu uzyskania dostępu do zewnętrznego adresu URL aplikacji.
- Microsoft Entra ID: Uwierzytelnia użytkownika.
- Usługa serwera proxy aplikacji: Działa jako zwrotny serwer proxy w celu wysyłania żądań od użytkownika do aplikacji lokalnej. Znajduje się w Microsoft Entra ID. Serwer proxy aplikacji może wymuszać zasady dostępu warunkowego.
- Łącznik sieci prywatnej: Zainstalowane na serwerach lokalnych systemu Windows w celu zapewnienia łączności z aplikacją. Zwraca odpowiedź na identyfikator Entra firmy Microsoft. Wykonuje negocjacje KCD z usługą Active Directory, personifikując użytkownika w celu uzyskania tokenu Kerberos do aplikacji.
- Active Directory: Wysyła token Protokołu Kerberos dla aplikacji do łącznika sieci prywatnej.
- Starsze aplikacje: Aplikacje odbierające żądania użytkowników z serwera proxy aplikacji. Starsze aplikacje przesyłają odpowiedź do łącznika sieci prywatnej.
Implementowanie uwierzytelniania systemu Windows (KCD) przy użyciu identyfikatora Entra firmy Microsoft
Zapoznaj się z następującymi zasobami, aby dowiedzieć się więcej na temat implementowania uwierzytelniania systemu Windows (KCD) przy użyciu identyfikatora Entra firmy Microsoft.
- Logowanie jednokrotne oparte na protokole Kerberos w usłudze Microsoft Entra ID z serwerem proxy aplikacji opisuje wymagania wstępne i kroki konfiguracji.
- Samouczek — dodawanie aplikacji lokalnej — serwer proxy aplikacji w usłudze Microsoft Entra ID ułatwia przygotowanie środowiska do użycia z serwerem proxy aplikacji.
Dalsze kroki
- Omówienie protokołu uwierzytelniania i synchronizacji firmy Microsoft opisuje integrację z protokołami uwierzytelniania i synchronizacji. Integracje uwierzytelniania umożliwiają korzystanie z identyfikatora Entra firmy Microsoft i jego funkcji zabezpieczeń i zarządzania z niewielkimi zmianami w aplikacjach korzystających ze starszych metod uwierzytelniania. Integracje synchronizacji umożliwiają synchronizowanie danych użytkowników i grup z identyfikatorem Entra firmy Microsoft, a następnie korzystanie z funkcji zarządzania przez firmę Microsoft Entra. Niektóre wzorce synchronizacji umożliwiają automatyczną aprowizację.
- Omówienie logowania jednokrotnego z aplikacją lokalną przy użyciu serwera proxy aplikacji opisuje, jak logowanie jednokrotne umożliwia użytkownikom uzyskiwanie dostępu do aplikacji bez uwierzytelniania wiele razy. Logowanie jednokrotne odbywa się w chmurze względem identyfikatora Entra firmy Microsoft i umożliwia usłudze lub łącznikowi personifikację użytkownika w celu ukończenia wyzwań związanych z uwierzytelnianiem z aplikacji.
- Protokół SAML (Security Assertion Markup Language) do logowania jednokrotnego dla aplikacji lokalnych przy użyciu serwera proxy aplikacji Firmy Microsoft Entra opisuje sposób zapewniania dostępu zdalnego do aplikacji lokalnych zabezpieczonych przy użyciu uwierzytelniania SAML za pośrednictwem serwera proxy aplikacji.