Use WAP como um proxy web reverso

  • 10 minutos

O Proxy de Aplicativo Web é um serviço de função Acesso Remoto. Esse serviço de função funciona como proxy da Web reverso e fornece aos usuários localizados na Internet o acesso a aplicativos Web corporativos internos ou servidores de Gateway de Área de Trabalho Remota. O proxy de aplicativo Web pode usar o AD FS para autenticar os usuários da Internet e atua como proxy AD FS para publicar aplicativos baseados em declarações.

Observação

Um aplicativo com reconhecimento de declarações pode usar qualquer informação sobre um usuário, como associação a um grupo, endereço de email, departamento ou empresa, como parte da autorização do usuário.

Antes de instalar o Proxy de Aplicativo Web, você deve implantar o AD FS como um pré-requisito. O proxy de aplicativo Web usa o AD FS para serviços de autenticação. Um recurso fornecido pelo AD FS é a funcionalidade de SSO, o que significa que, se os usuários inserirem suas credenciais para acessar um aplicativo Web corporativo uma vez, eles não serão solicitados a inserir suas credenciais novamente para acesso subsequente ao aplicativo Web corporativo. Você também pode usar o AD FS para autenticar usuários no Proxy de Aplicativo Web antes que os usuários se comuniquem com o aplicativo.

Colocar o servidor Proxy de Aplicativo Web na rede de perímetro entre dois dispositivos de firewall é uma configuração típica. O servidor do AD FS e os aplicativos publicados estão localizados na rede corporativa e, juntamente com controladores de domínio e outros servidores internos, são protegidos pelo segundo firewall. Esse cenário fornece acesso seguro a aplicativos corporativos para usuários localizados na Internet e, ao mesmo tempo, protege a infraestrutura de TI corporativa contra ameaças à segurança na Internet.

Um diagrama que exibe uma arquitetura WAP típica.

Opções de autenticação para o Proxy de Aplicativo Web

Ao configurar um aplicativo no Proxy de Aplicativo Web, você precisa selecionar o tipo de pré-autenticação. Você pode escolher entre a pré-autenticação do AD FS ou a pré-autenticação de passagem. A pré-autenticação do AD FS oferece mais recursos e benefícios, mas a pré-autenticação de passagem é compatível com todos os aplicativos da Web.

Pré-autenticação do AD FS

A pré-autenticação do AD FS usa o AD FS para aplicativos Web que usam autenticação baseada em declarações. Quando um usuário inicia uma conexão com o aplicativo Web corporativo, o primeiro ponto de entrada ao qual o usuário se conecta é o Proxy de Aplicativo Web. O Proxy de Aplicativo Web pré-autentica o usuário no servidor do AD FS. Se a autenticação for bem-sucedida, o Proxy de Aplicativo Web estabelecerá uma conexão com o servidor Web na rede corporativa em que o aplicativo está hospedado.

Usando a pré-autenticação do AD FS, você garante que somente usuários autorizados possam enviar pacotes de dados para o aplicativo Web. Isso impede que os hackers aproveitem as falhas do aplicativo Web antes da autenticação. A pré-autenticação do AD FS reduz significativamente a superfície de ataque de um aplicativo Web.

Pré-autenticação de passagem

A pré-autenticação de passagem não usa o AD FS para autenticação, nem o Web Application Proxy pré-autentica o usuário. Em vez disso, o usuário está conectado ao aplicativo Web por meio do Proxy de Aplicativo Web. O proxy de aplicativo Web recria os pacotes de dados à medida que são entregues ao aplicativo Web, que fornece proteção contra falhas como pacotes malformados. No entanto, a parte de dados do pacote passa para o aplicativo Web. O aplicativo Web é responsável por autenticar usuários.

Benefícios de pré-autenticação do AD FS

A pré-autenticação do AD FS fornece os seguintes benefícios em relação à pré-autenticação direta:

  • Autenticação Única (SSO) Permite que os usuários pré-autenticados pelo AD FS insiram suas credenciais apenas uma vez. Se os usuários acessarem posteriormente outros aplicativos que usam o AD FS para autenticação, eles não serão solicitados novamente para obter suas credenciais.
  • MFA (autenticação multifator). A MFA permite que você configure vários tipos de credenciais para fortalecer a segurança. Por exemplo, você pode configurar o sistema para que os usuários insiram seu nome de usuário e senha junto com um cartão inteligente.
  • Controle de acesso multifatorial. Controles de acesso multifator usados em organizações que desejam fortalecer sua segurança ao publicar aplicativos Web implementando regras de declaração de autorização. As regras são configuradas para que emitam uma permissão ou uma declaração de negação, que determina se um usuário ou um grupo tem permissão ou acesso negado a um aplicativo Web que está usando a pré-autenticação do AD FS.

Publicar aplicativos com o Proxy de Aplicativo Web

Depois que o serviço de função proxy de aplicativo Web for instalado, você o configurará usando o Assistente de Configuração de Proxy de Aplicativo Web do console de Gerenciamento de Acesso Remoto. Quando o Assistente de Configuração do Proxy de Aplicativo Web for concluído, ele criará o console do Proxy de Aplicativo Web, que você pode usar para gerenciamento e configuração adicionais do Proxy de Aplicativo Web.

O Assistente de Configuração de Proxy de Aplicativo Web requer que você insira as seguintes informações durante o processo de configuração inicial:

  • Nome do AD FS. Para localizar esse nome, abra o console de Gerenciamento do AD FS e, em Editar Propriedades do Serviço de Federação, localize o valor na caixa de nome do Serviço de Federação.
  • Credenciais da conta de administrador local do AD FS.
  • Certificado de proxy do AD FS. Esse é um certificado que o Proxy de Aplicativo Web usará para a funcionalidade de proxy do AD FS.

Dica

O certificado de proxy do AD FS deve conter o nome do AD FS no campo de assunto do certificado porque o Assistente de Configuração do Proxy de Aplicativo Web exige isso. Além disso, o campo de nomes alternativos do assunto do certificado deve incluir o nome do AD FS.

Após concluir o Assistente de Configuração do Proxy de Aplicativo Web, você pode publicar seu aplicativo Web usando o console do Proxy de Aplicativo Web ou os cmdlets do Windows PowerShell. Os cmdlets do Windows PowerShell para gerenciar aplicativos publicados são:

  • Add-WebApplicationProxyApplication
  • Get-WebApplicationProxyApplication
  • Set-WebApplicationProxyApplication

Ao publicar seu aplicativo Web, você deve fornecer as seguintes informações:

  • O tipo de pré-autenticação, por exemplo, pass-through.
  • O pedido para publicar.
  • A URL externa do aplicativo, por exemplo, https://lon-svr1.adatum.com.
  • Um certificado cujo nome do assunto cobre o URL externo, por exemplo, lon-svr1.adatum.com.
  • A URL do servidor de back-end, que é inserida automaticamente quando você insere a URL externa.