Aplikacje z symbolami wieloznacznymi na serwerze proxy aplikacji Microsoft Entra

W usłudze Microsoft Entra ID skonfigurowanie dużej liczby aplikacji lokalnych może szybko stać się niezarządzane i wprowadza niepotrzebne zagrożenia dla błędów konfiguracji, jeśli wiele z nich wymaga tych samych ustawień. Za pomocą serwera proxy aplikacji Entra firmy Microsoft możesz rozwiązać ten problem przy użyciu publikowania aplikacji wieloznacznych w celu publikowania wielu aplikacji i zarządzania nimi jednocześnie. Jest to rozwiązanie, które umożliwia:

  • Uproszczenie obciążeń administracyjnych
  • Zmniejszanie liczby potencjalnych błędów konfiguracji
  • Umożliwianie użytkownikom bezpiecznego uzyskiwania dostępu do większej liczby zasobów

Ten artykuł zawiera informacje potrzebne do skonfigurowania publikowania aplikacji wieloznacznych w środowisku.

Tworzenie aplikacji z symbolami wieloznacznymi

Jeśli masz grupę aplikacji z tą samą konfiguracją, możesz utworzyć wieloznaczny symbol (*). Potencjalnymi kandydatami do aplikacji z symbolami wieloznacznymi są aplikacje, które udostępniają następujące ustawienia:

  • Grupa użytkowników, którzy mają do nich dostęp
  • Metoda logowania jednokrotnego
  • Protokół dostępu (http, https)

Aplikacje można publikować za pomocą symboli wieloznacznych, jeśli zarówno wewnętrzne, jak i zewnętrzne adresy URL mają następujący format:

http(s)://*.<Domeny>

Na przykład: http(s)://*.adventure-works.com.

Chociaż wewnętrzne i zewnętrzne adresy URL mogą używać różnych domen, najlepszym rozwiązaniem jest to samo. Podczas publikowania aplikacji zostanie wyświetlony błąd, jeśli jeden z adresów URL nie ma symbolu wieloznakowego.

Tworzenie aplikacji z symbolami wieloznacznymi jest oparte na tym samym przepływie publikowania aplikacji, który jest dostępny dla wszystkich innych aplikacji. Jedyną różnicą jest dołączenie symbolu wieloznakowego do adresów URL i potencjalnie konfiguracji logowania jednokrotnego.

Wymagania wstępne

Aby rozpocząć pracę, upewnij się, że zostały spełnione te wymagania.

Niestandardowe domeny

Chociaż domeny niestandardowe są opcjonalne dla wszystkich innych aplikacji, są one wymaganiem wstępnym dla aplikacji wieloznacznych. Tworzenie domen niestandardowych wymaga:

  1. Utwórz zweryfikowaną domenę na platformie Azure.
  2. Przekaż certyfikat TLS/SSL w formacie PFX do serwera proxy aplikacji.

Należy rozważyć użycie certyfikatu z symbolami wieloznacznymi w celu dopasowania do aplikacji, którą planujesz utworzyć.

Ze względów bezpieczeństwa jest to trudne wymaganie i nie będziemy obsługiwać symboli wieloznacznych dla aplikacji, które nie mogą używać domeny niestandardowej dla zewnętrznego adresu URL.

Aktualizacje DNS

W przypadku korzystania z domen niestandardowych należy utworzyć wpis DNS z rekordem CNAME dla zewnętrznego adresu URL (na przykład *.adventure-works.com) wskazujący zewnętrzny adres URL punktu końcowego serwera proxy aplikacji. W przypadku aplikacji z symbolami wieloznacznymi rekord CNAME musi wskazywać odpowiedni zewnętrzny adres URL:

<yourAADTenantId>.tenant.runtime.msappproxy.net

Aby potwierdzić poprawną konfigurację rekordu CNAME, możesz użyć polecenia nslookup w jednym z docelowych punktów końcowych, na przykład expenses.adventure-works.com. Odpowiedź powinna zawierać już wymieniony alias (<yourAADTenantId>.tenant.runtime.msappproxy.net).

Używanie grup łączników przypisanych do regionu usługi w chmurze serwera proxy aplikacji innego niż domyślny region

Jeśli masz łączniki zainstalowane w regionach innych niż domyślny region dzierżawy, korzystne jest zmianę regionu, w którym grupa łączników jest zoptymalizowana pod kątem poprawy wydajności uzyskiwania dostępu do tych aplikacji. Aby dowiedzieć się więcej, zobacz Optymalizowanie grup łączników w celu korzystania z najbliższej usługi w chmurze serwera proxy aplikacji.

Jeśli grupa łączników przypisana do aplikacji z symbolami wieloznacznymi używa innego regionu niż region domyślny, należy zaktualizować rekord CNAME, aby wskazać regionalny zewnętrzny adres URL. Skorzystaj z poniższej tabeli, aby określić odpowiedni adres URL:

Połączenie or Przypisany region Zewnętrzny adres URL
Azja <yourAADTenantId>.asia.tenant.runtime.msappproxy.net
Australia <yourAADTenantId>.aus.tenant.runtime.msappproxy.net
Europa <yourAADTenantId>.eur.tenant.runtime.msappproxy.net
Ameryka Północna <yourAADTenantId>.nam.tenant.runtime.msappproxy.net

Kwestie wymagające rozważenia

Poniżej przedstawiono kilka zagadnień, które należy wziąć pod uwagę w przypadku aplikacji z symbolami wieloznacznymi.

Zaakceptowane formaty

W przypadku aplikacji z symbolami wieloznacznymi adres URL wewnętrzny musi być sformatowany jako http(s)://*.<domain>.

For internal URL, use the format http(s)://*.<domain>

Podczas konfigurowania zewnętrznego adresu URL należy użyć następującego formatu: https://*.<custom domain>

For external URL, use the format https://*.<custom domain>

Inne pozycje symboli wieloznacznych, wiele symboli wieloznacznych lub innych ciągów wyrażeń regularnych nie są obsługiwane i powodują błędy.

Wykluczanie aplikacji z symbolu wieloznakowego

Aplikację można wykluczyć z aplikacji wieloznacznych według

  • Publikowanie aplikacji wyjątku jako zwykłej aplikacji
  • Włączanie symbolu wieloznakowego tylko dla określonych aplikacji za pośrednictwem ustawień DNS

Publikowanie aplikacji jako zwykłej aplikacji jest preferowaną metodą wykluczania aplikacji z symbolu wieloznakowego. Należy opublikować wykluczone aplikacje przed aplikacjami wieloznacznymi, aby upewnić się, że wyjątki są wymuszane od początku. Najbardziej konkretna aplikacja zawsze będzie mieć pierwszeństwo — aplikacja opublikowana zgodnie budgets.finance.adventure-works.com z pierwszeństwem nad aplikacją *.finance.adventure-works.com, która z kolei ma pierwszeństwo przed aplikacją *.adventure-works.com.

Symbol wieloznaczny można również ograniczyć do pracy tylko dla określonych aplikacji za pośrednictwem zarządzania systemem DNS. Najlepszym rozwiązaniem jest utworzenie wpisu CNAME zawierającego symbol wieloznaczny i zgodny z formatem skonfigurowanego zewnętrznego adresu URL. Można jednak wskazać konkretne adresy URL aplikacji na symbole wieloznaczne. Na przykład zamiast *.adventure-works.com, wskaż hr.adventure-works.comexpenses.adventure-works.com , i travel.adventure-works.com individually na 000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.net.

Jeśli używasz tej opcji, potrzebujesz również innego wpisu CNAME dla wartości AppId.domain, na przykład 00000000-1a11-22b2-c333-444d4d4dd444.adventure-works.com, wskazując również tę samą lokalizację. Identyfikator AppId można znaleźć na stronie właściwości aplikacji z symbolami wieloznacznymi:

Find the application ID on the app's property page

Ustawianie adresu URL strony głównej dla panelu MyApps

Aplikacja z symbolami wieloznacznymi jest reprezentowana za pomocą tylko jednego kafelka w panelu MyApps. Domyślnie ten kafelek jest ukryty. Aby wyświetlić kafelek i umożliwić użytkownikom dostęp do określonej strony:

  1. Postępuj zgodnie z wytycznymi dotyczącymi ustawiania adresu URL strony głównej.
  2. Ustaw wartość Pokaż aplikację na wartość true na stronie właściwości aplikacji.

Ograniczone delegowanie protokołu Kerberos

W przypadku aplikacji korzystających z ograniczonego delegowania kerberos (KCD) jako metody logowania jednokrotnego nazwa SPN wymieniona dla metody logowania jednokrotnego wymaga symbolu wieloznakowego. Na przykład nazwa SPN może być: HTTP/*.adventure-works.com. Nadal musisz mieć poszczególne nazwy SPN skonfigurowane na serwerach zaplecza (na przykład HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).

Scenariusz 1. Ogólna aplikacja z symbolami wieloznacznymi

W tym scenariuszu masz trzy różne aplikacje, które chcesz opublikować:

  • expenses.adventure-works.com
  • hr.adventure-works.com
  • travel.adventure-works.com

Wszystkie trzy aplikacje:

  • Są używane przez wszystkich użytkowników
  • Korzystanie ze zintegrowanego uwierzytelniania systemu Windows
  • Mają te same właściwości

Aplikację z symbolami wieloznacznymi można opublikować, wykonując kroki opisane w temacie Publikowanie aplikacji przy użyciu serwera proxy aplikacji Firmy Microsoft Entra. W tym scenariuszu przyjęto założenie:

  • Dzierżawa o następującym identyfikatorze: 000aa000-11b1-2ccc-d333-4444eee4444e
  • Skonfigurowano zweryfikowaną domenę o nazwie adventure-works.com .
  • Utworzono wpis CNAME wskazujący 000aa000-11b1-2ccc-d333-4444eee4444e.tenant.runtime.msappproxy.net*.adventure-works.com element .

Zgodnie z udokumentowanymi krokami utworzysz nową aplikację serwera proxy aplikacji w dzierżawie. W tym przykładzie symbol wieloznaczny znajduje się w następujących polach:

  • Wewnętrzny adres URL:

    Example: Wildcard in internal URL

  • Zewnętrzny adres URL:

    Example: Wildcard in external URL

  • Nazwa SPN aplikacji wewnętrznej:

    Example: Wildcard in SPN configuration

Publikując aplikację z symbolami wieloznacznymi, możesz teraz uzyskać dostęp do trzech aplikacji, przechodząc do adresów URL, do których używasz (na przykład travel.adventure-works.com).

Konfiguracja implementuje następującą strukturę:

Shows the structure implemented by the example configuration

Color opis
Niebieskie Aplikacje jawnie opublikowane i widoczne w centrum administracyjnym firmy Microsoft Entra.
Szary Aplikacje, do których można uzyskać dostęp za pośrednictwem aplikacji nadrzędnej.

Scenariusz 2. Ogólna aplikacja z symbolami wieloznacznymi z wyjątkiem

W tym scenariuszu oprócz trzech ogólnych aplikacji masz inną aplikację, finance.adventure-works.comktóra powinna być dostępna tylko przez dział finansowy. W przypadku bieżącej struktury aplikacji aplikacja finansowa będzie dostępna za pośrednictwem aplikacji wieloznacznych i wszystkich pracowników. Aby to zmienić, należy wykluczyć aplikację z symbolu wieloznakowego, konfigurując usługę Finance jako oddzielną aplikację z bardziej restrykcyjnymi uprawnieniami.

Upewnij się, że istnieje rekord CNAME wskazujący finance.adventure-works.com punkt końcowy specyficzny dla aplikacji określony na stronie serwera proxy aplikacji dla aplikacji. W tym scenariuszu finance.adventure-works.com wskazuje wartość https://finance-awcycles.msappproxy.net/.

Zgodnie z udokumentowanymi krokami ten scenariusz wymaga następujących ustawień:

  • W wewnętrznym adresie URL ustawiasz finanse zamiast symbolu wieloznacznych.

    Example: Set finance instead of a wildcard in internal URL

  • W zewnętrznym adresie URL ustawiasz finanse zamiast symbolu wieloznakowego.

    Example: Set finance instead of a wildcard in external URL

  • Wewnętrzna nazwa SPN aplikacji ustawiana jako finanse zamiast symbolu wieloznaczny.

    Example: Set finance instead of a wildcard in SPN configuration

Ta konfiguracja implementuje następujący scenariusz:

Shows the configuration implemented by the sample scenario

Adres URL finance.adventure-works.com jest specyficzny. Adres URL *.adventure-works.com nie jest określony. Bardziej szczegółowy adres URL ma pierwszeństwo. Użytkownicy przechodzący do finance.adventure-works.com środowiska określonego w aplikacji Zasoby finansowe. W takim przypadku tylko pracownicy finansowi mogą uzyskać dostęp do finance.adventure-works.comusługi .

Jeśli masz wiele aplikacji opublikowanych dla finansów i masz finance.adventure-works.com jako zweryfikowaną domenę, możesz opublikować inną aplikację *.finance.adventure-works.comz symbolami wieloznacznymi . Ponieważ jest to bardziej szczegółowe niż ogólne *.adventure-works.com, ma pierwszeństwo, jeśli użytkownik uzyskuje dostęp do aplikacji w domenie finansów.

Następne kroki