Usar WAP como um proxy da Web reverso

  • {númeroDeMinutos} minutos

O Proxy de Aplicativo Web é um serviço de função de Acesso Remoto. Essa função atua como um proxy web reverso e fornece aos utilizadores localizados na internet acesso a aplicações web corporativas internas ou a um Gateway de Área de Trabalho Remota. O Proxy de Aplicativo Web pode usar o AD FS para pré-autenticar usuários da Internet e atua como um proxy do AD FS para publicar aplicativos com reconhecimento de declarações.

Observação

Um aplicativo com reconhecimento de declarações pode usar qualquer informação sobre um usuário, como associação a grupos, endereço de e-mail, departamento ou empresa, como parte da autorização do usuário.

Antes de instalar o Proxy de Aplicativo Web, você deve implantar o AD FS como pré-requisito. O proxy de Aplicativo Web usa o AD FS para serviços de autenticação. Um recurso fornecido pelo AD FS é a funcionalidade SSO, o que significa que, se os usuários inserirem suas credenciais para acessar um aplicativo Web corporativo uma vez, eles não serão solicitados a inserir suas credenciais novamente para acesso subsequente ao aplicativo Web corporativo. Você também pode usar o AD FS para autenticar usuários no Proxy de Aplicativo Web antes que os usuários se comuniquem com o aplicativo.

Colocar o servidor Web Application Proxy na rede de perímetro entre dois dispositivos de firewall é uma configuração típica. O servidor AD FS e os aplicativos publicados estão localizados na rede corporativa e, juntamente com controladores de domínio e outros servidores internos, são protegidos pelo segundo firewall. Esse cenário fornece acesso seguro a aplicativos corporativos para usuários localizados na Internet e, ao mesmo tempo, protege a infraestrutura de TI corporativa contra ameaças à segurança na Internet.

Um diagrama que exibe uma arquitetura WAP típica.

Opções de autenticação para proxy de aplicativo Web

Ao configurar um aplicativo no Proxy de Aplicativo Web, você precisa selecionar o tipo de pré-autenticação. Você pode escolher a pré-autenticação por AD FS ou então a pré-autenticação por passagem. A pré-autenticação do AD FS fornece mais recursos e benefícios, mas a pré-autenticação de passagem é compatível com todos os aplicativos Web.

Pré-autenticação do AD FS

A pré-autenticação do AD FS usa o AD FS para aplicativos Web que usam autenticação baseada em declarações. Quando um usuário inicia uma conexão com o aplicativo Web corporativo, o primeiro ponto de entrada ao qual o usuário se conecta é o Proxy de Aplicativo Web. O Proxy de Aplicativo Web pré-autentica o usuário no servidor AD FS. Se a autenticação for bem-sucedida, o Proxy de Aplicativo Web estabelecerá uma conexão com o servidor Web na rede corporativa onde o aplicativo está hospedado.

Ao usar a pré-autenticação do AD FS, você garante que apenas usuários autorizados possam enviar pacotes de dados para o aplicativo Web. Isso evita que os hackers se aproveitem das falhas do aplicativo da Web antes da autenticação. A pré-autenticação do AD FS reduz significativamente a superfície de ataque de um aplicativo Web.

Pré-autenticação de passagem

A pré-autenticação de passagem não usa o AD FS para autenticação, nem o Proxy de Aplicativo Web pré-autentica o usuário. Em vez disso, o usuário é conectado ao aplicativo Web por meio do Proxy de Aplicativo Web. O proxy de aplicativo Web recria os pacotes de dados à medida que são entregues ao aplicativo Web, o que fornece proteção contra falhas, como pacotes malformados. No entanto, a parte de dados do pacote passa para o aplicativo Web. O aplicativo Web é responsável por autenticar os usuários.

Benefícios da pré-autenticação do AD FS

A pré-autenticação do AD FS oferece os seguintes benefícios em relação à pré-autenticação direta:

  • SSO. Permite que os usuários pré-autenticados pelo AD FS insiram suas credenciais apenas uma vez. Se os usuários acessarem posteriormente outros aplicativos que usam o AD FS para autenticação, eles não serão solicitados novamente para suas credenciais.
  • Autenticação multifator (MFA). O MFA permite configurar vários tipos de credenciais para fortalecer a segurança. Por exemplo, você pode configurar o sistema para que os usuários insiram seu nome de usuário e senha junto com um cartão inteligente.
  • Controle de acesso multifator. Controles de acesso multifator usados em organizações que desejam fortalecer sua segurança ao publicar aplicativos Web implementando regras de declaração de autorização. As regras são configuradas para que emitam uma declaração de permissão ou negação, que determina se um usuário ou um grupo tem acesso permitido ou negado a um aplicativo Web que está usando a pré-autenticação do AD FS.

Publicar aplicativos com o Proxy de Aplicativo Web

Depois que o serviço de função Proxy de Aplicativo Web for instalado, você o configurará usando o Assistente de Configuração de Proxy de Aplicativo Web no console de Gerenciamento de Acesso Remoto. Quando o Assistente de Configuração de Proxy de Aplicativo Web for concluído, ele criará o console de Proxy de Aplicativo Web, que você poderá usar para gerenciamento e configuração adicionais do Proxy de Aplicativo Web.

O Assistente de Configuração de Proxy de Aplicativo Web requer que você insira as seguintes informações durante o processo de configuração inicial:

  • Nome do AD FS. Para localizar esse nome, abra o console de Gerenciamento do AD FS e, em Editar Propriedades do Serviço de Federação, localize o valor na caixa Nome do Serviço de Federação.
  • Credenciais da conta de administrador local para AD FS.
  • Certificado de Proxy do AD FS. Este é um certificado que o Proxy de Aplicativo Web usará para a funcionalidade de proxy do AD FS.

Sugestão

O certificado de proxy do AD FS deve conter o nome do AD FS no campo assunto do certificado, pois o Assistente para Configuração de Proxy de Aplicativo Web o exige. Além disso, o campo de nomes alternativos de sujeito do certificado deve incluir o nome do AD FS.

Depois de concluir o Assistente de Configuração de Proxy de Aplicações Web, pode publicar a sua aplicação Web usando o console de Proxy de Aplicações Web ou Cmdlets do Windows PowerShell. Os cmdlets do Windows PowerShell para gerenciar aplicativos publicados são:

  • Add-WebApplicationProxyApplication
  • Get-WebApplicationProxyApplication
  • Set-WebApplicationProxyApplication

Ao publicar seu aplicativo Web, você deve fornecer as seguintes informações:

  • O tipo de pré-autenticação, por exemplo, passagem direta.
  • O pedido de publicação.
  • A URL externa do aplicativo, por exemplo, https://lon-svr1.adatum.com.
  • Um certificado cujo nome de assunto cobre a URL externa, por exemplo, lon-svr1.adatum.com.
  • A URL do servidor back-end, que é inserida automaticamente quando você insere a URL externa.