Używanie aplikacji WAP jako zwrotnego internetowego serwera proxy
Serwer proxy aplikacji internetowej to usługa roli dostępu zdalnego. Ta usługa roli działa jako odwrotny serwer proxy i zapewnia użytkownikom znajdującym się w Internecie dostęp do wewnętrznych firmowych aplikacji webowych lub serwerów Bramy Pulpitu Zdalnego. Serwer proxy aplikacji sieci Web może używać usług AD FS do wstępnego uwierzytelniania użytkowników Internetu i działa jako serwer proxy usług AD FS do publikowania aplikacji zgodnych z oświadczeniami.
Uwaga / Notatka
Aplikacja z obsługą oświadczeń może używać dowolnych informacji o użytkowniku, takim jak członkostwo w grupie, adres e-mail, dział lub firma w ramach autoryzacji użytkownika.
Przed zainstalowaniem serwera proxy aplikacji internetowej należy wdrożyć usługi AD FS jako wymaganie wstępne. Serwer proxy aplikacji internetowej używa usług AD FS na potrzeby usług uwierzytelniania. Jedną z funkcji udostępnianych przez usługi AD FS jest funkcja logowania jednokrotnego, co oznacza, że jeśli użytkownicy wprowadzają swoje poświadczenia w celu uzyskania dostępu do firmowej aplikacji internetowej raz, nie zostaną poproszeni o ponowne wprowadzenie poświadczeń w celu uzyskania kolejnego dostępu do firmowej aplikacji internetowej. Usługi AD FS można również używać do uwierzytelniania użytkowników na serwerze proxy aplikacji internetowej, zanim użytkownicy będą komunikować się z aplikacją.
Umieszczenie serwera proxy aplikacji internetowej w sieci obwodowej między dwoma urządzeniami zapory jest typową konfiguracją. Opublikowane serwery i aplikacje usług AD FS znajdują się w sieci firmowej, a wraz z kontrolerami domeny i innymi serwerami wewnętrznymi są chronione przez drugą zaporę. Ten scenariusz zapewnia bezpieczny dostęp do aplikacji firmowych dla użytkowników znajdujących się w Internecie, a jednocześnie chroni firmową infrastrukturę IT przed zagrożeniami bezpieczeństwa w Internecie.
Opcje uwierzytelniania serwera proxy aplikacji internetowej
Podczas konfigurowania aplikacji na serwerze proxy aplikacji internetowej należy wybrać typ wstępnego uwierzytelniania. Możesz wybrać wstępne uwierzytelnianie AD FS lub uwierzytelnianie przesyłowe. Wstępne uwierzytelnianie w AD FS zapewnia więcej funkcji i korzyści, ale uwierzytelnianie typu pass-through jest zgodne ze wszystkimi aplikacjami internetowymi.
Wstępne uwierzytelnianie usług AD FS
Usługi wstępnego uwierzytelniania AD FS korzystają z AD FS w przypadku aplikacji internetowych, które wykorzystują uwierzytelnianie na podstawie oświadczeń. Gdy użytkownik inicjuje połączenie z firmową aplikacją internetową, pierwszym punktem wejścia, z którym łączy się użytkownik, jest serwer proxy aplikacji internetowej. Proxy aplikacji internetowej uwierzytelnia wstępnie użytkownika na serwerze AD FS. Jeśli uwierzytelnianie zakończy się pomyślnie, serwer proxy aplikacji internetowej nawiązuje połączenie z serwerem internetowym w sieci firmowej, w której jest hostowana aplikacja.
Korzystając z wstępnego uwierzytelniania usług AD FS, upewnij się, że tylko autoryzowani użytkownicy mogą wysyłać pakiety danych do aplikacji internetowej. Uniemożliwia to hakerom korzystanie z wad aplikacji internetowej przed uwierzytelnieniem. Wstępne uwierzytelnianie w usługach AD FS znacznie zmniejsza powierzchnię ataku dla aplikacji internetowej.
Przekazywanie wstępnego uwierzytelniania
Przekazywanie wstępnego uwierzytelniania nie używa usług AD FS do uwierzytelniania ani nie wstępnie uwierzytelnia użytkownika serwer proxy aplikacji internetowych. Zamiast tego użytkownik jest połączony z aplikacją internetową za pośrednictwem serwera proxy aplikacji internetowej. Serwer proxy aplikacji internetowej ponownie kompiluje pakiety danych, ponieważ są dostarczane do aplikacji internetowej, co zapewnia ochronę przed wadami, takimi jak źle sformułowane pakiety. Jednak część danych pakietu jest przekazywana do aplikacji internetowej. Aplikacja internetowa jest odpowiedzialna za uwierzytelnianie użytkowników.
Korzyści z przeduwierzytelniania usług AD FS
Wstępne uwierzytelnianie za pomocą AD FS zapewnia następujące korzyści w porównaniu z wstępnym uwierzytelnianiem typu pass-through:
- Jednokrotne logowanie (SSO). Umożliwia użytkownikom, którzy są wstępnie uwierzytelnieni przez AD FS, wprowadzenie swoich poświadczeń tylko raz. Jeśli użytkownicy będą następnie uzyskiwać dostęp do innych aplikacji korzystających z usług AD FS do uwierzytelniania, nie będą monitowani ponownie o podanie poświadczeń.
- Uwierzytelnianie wieloskładnikowe (MFA). Uwierzytelnianie wieloskładnikowe umożliwia skonfigurowanie wielu typów poświadczeń w celu wzmocnienia zabezpieczeń. Można na przykład skonfigurować system tak, aby użytkownicy wprowadzali swoją nazwę użytkownika i hasło wraz z kartą inteligentną.
- Wieloskładnikowa kontrola dostępu. Wieloskładnikowe mechanizmy kontroli dostępu używane w organizacjach, które chcą zwiększyć bezpieczeństwo podczas publikowania aplikacji internetowych przez zaimplementowanie reguł oświadczeń autoryzacji. Reguły są konfigurowane tak, aby wystawiały zezwolenie lub odmowę, które określają, czy użytkownikowi lub grupie jest dozwolony lub zabroniony dostęp do aplikacji internetowej korzystającej ze wstępnego uwierzytelniania usług AD FS.
Publikowanie aplikacji za pomocą serwera proxy aplikacji internetowej
Po zainstalowaniu usługi roli serwera proxy aplikacji internetowej należy ją skonfigurować za pomocą Kreatora konfiguracji serwera proxy aplikacji internetowej z poziomu konsoli zarządzania dostępem zdalnym. Po zakończeniu pracy Kreatora konfiguracji serwera proxy aplikacji internetowej zostanie utworzona konsola serwera proxy aplikacji internetowej, której można użyć do dalszego zarządzania i konfiguracji serwera proxy aplikacji internetowej.
Kreator konfiguracji serwera proxy aplikacji internetowej wymaga wprowadzenia następujących informacji podczas początkowego procesu konfiguracji:
- Nazwa usług AD FS. Aby zlokalizować tę nazwę, otwórz konsolę zarządzania usługAMI AD FS i w obszarze Edytuj właściwości usługi federacyjnej znajdź wartość w polu Nazwa usługi federacyjnej.
- Poświadczenia konta administratora lokalnego dla usług AD FS.
- Certyfikat proxy AD FS. Ten certyfikat będzie używany przez serwer proxy aplikacji internetowej dla funkcji serwera proxy AD FS.
Wskazówka
Certyfikat serwera proxy usług AD FS musi zawierać nazwę usług AD FS w polu podmiotu certyfikatu, ponieważ kreator Konfiguracji Serwera Proxy Aplikacji Web wymaga tego. Ponadto pole alternatywnych nazw podmiotu certyfikatu powinno zawierać nazwę usług AD FS.
Po ukończeniu pracy Kreatora konfiguracji Web Application Proxy, możesz opublikować aplikację internetową przy użyciu konsoli Web Application Proxy lub poleceń cmdlet programu Windows PowerShell. Polecenia cmdlet programu Windows PowerShell do zarządzania opublikowanymi aplikacjami to:
Add-WebApplicationProxyApplicationGet-WebApplicationProxyApplicationSet-WebApplicationProxyApplication
Podczas publikowania aplikacji internetowej należy podać następujące informacje:
- Typ wstępnego uwierzytelniania, na przykład przekazywanie.
- Wniosek o publikację.
- Zewnętrzny adres URL aplikacji, na przykład
https://lon-svr1.adatum.com. - Certyfikat, którego nazwa podmiotu obejmuje zewnętrzny adres URL, na przykład
lon-svr1.adatum.com. - Adres URL serwera zaplecza, który jest wprowadzany automatycznie po wprowadzeniu zewnętrznego adresu URL.