Единый вход на основе заголовков для локальных приложений с помощью прокси приложения Microsoft Entra

  • Статья

Прокси приложения Microsoft Entra изначально поддерживает единый вход (SSO) для приложений, использующих заголовки для проверки подлинности. Значения заголовков, необходимые приложению, настраивается в идентификаторе Microsoft Entra. Значения заголовков отправляются приложению через прокси приложения. Преимущества использования собственной поддержки проверки подлинности на основе заголовков с прокси приложения:

  • Упрощение удаленного доступа к локальным приложениям . Прокси приложения упрощает существующую архитектуру удаленного доступа. Вы заменяете доступ к этим приложениям виртуальной частной сети (VPN). Вы удаляете зависимости от локальных решений удостоверений для проверки подлинности. Вы оптимизируете интерфейс для пользователей, и они не замечают ничего другого при использовании корпоративных приложений. Пользователи могут работать в любом месте на любом устройстве.

  • Нет дополнительных программ или изменений в приложениях . Вы используете существующие соединители частной сети. Дополнительное программное обеспечение не требуется.

  • Широкий список атрибутов и преобразований. Все значения заголовков доступны на основе стандартных утверждений, выданных идентификатором Microsoft Entra. Все атрибуты и преобразования, доступные для настройки утверждений для языка разметки утверждений безопасности (SAML) или openID Подключение (OIDC), также доступны в качестве значений заголовков.

Необходимые компоненты

Включите прокси приложения и установите соединитель, имеющий прямой сетевой доступ к приложениям. Дополнительные сведения см. в статье "Добавление локального приложения для удаленного доступа через прокси приложения".

Поддерживаемые возможности

В таблице перечислены распространенные возможности, необходимые для приложений проверки подлинности на основе заголовков.

Требование Описание
Федеративный единый вход В режиме предварительной проверки подлинности все приложения защищены с помощью проверки подлинности Microsoft Entra, а пользователи имеют единый вход.
Удаленный доступ. Прокси приложения предоставляет удаленный доступ к приложению. Пользователи получают доступ к приложению из Интернета в любом веб-браузере с помощью внешнего указателя универсальных ресурсов (URL-адрес). Прокси приложения не предназначен для общего корпоративного доступа. Общие корпоративные доступы см. в Частный доступ Microsoft Entra.
Интеграция на основе заголовков Прокси приложения обрабатывает интеграцию единого входа с идентификатором Microsoft Entra ID, а затем передает удостоверения или другие данные приложения в качестве заголовков HTTP в приложение.
Авторизация приложений Общие политики задаются на основе доступа к приложению, членства в группе пользователя и других политик. В идентификаторе Microsoft Entra политики реализуются с помощью условного доступа. Политики авторизации приложений применяются только к первоначальному запросу проверки подлинности.
Проверка подлинности повышенного уровня Политики определяются для принудительной принудительной проверки подлинности, например для получения доступа к конфиденциальным ресурсам.
Детализированная проверка подлинности Предоставляет контроль доступа на уровне URL-адреса. Добавленные политики можно применять на основе URL-адреса, к которому осуществляется доступ. Внутренний URL-адрес, настроенный для приложения, определяет область приложения, к которому применяется политика. Политика, настроенная для наиболее детализированного пути, применяется принудительно.

Примечание.

В этой статье описывается подключение между приложениями проверки подлинности на основе заголовков и идентификатором Microsoft Entra с помощью прокси приложения и рекомендуется использовать шаблон. В качестве альтернативы существует шаблон интеграции, использующий PingAccess с идентификатором Microsoft Entra для включения проверки подлинности на основе заголовков. Дополнительные сведения см. в разделе "Проверка подлинности на основе заголовков" для единого входа с помощью прокси приложения и PingAccess.

Принцип работы

Как работает единый вход на основе заголовков с прокси-сервером приложения.

  1. Администратор настраивает сопоставления атрибутов, необходимые приложению в Центре администрирования Microsoft Entra.
  2. Прокси приложения гарантирует, что пользователь проходит проверку подлинности с помощью идентификатора Microsoft Entra.
  3. Облачная служба прокси приложения учитывает требуемые атрибуты. Она извлекает соответствующие утверждения из маркера идентификации, полученного во время проверки подлинности. Затем служба преобразует значения в необходимые HTTP-заголовки в качестве части запроса к соединителю.
  4. После этого запрос передается в соединитель, а тот, в свою очередь, передается в серверное приложение.
  5. Приложение получает заголовки и может использовать эти заголовки по мере необходимости.

Публикация приложения с помощью прокси приложения

  1. Опубликуйте приложение в соответствии с инструкциями, описанными в разделе "Публикация приложений с помощью прокси приложения".

    • Внутреннее значение URL-адреса определяет область приложения. Вы настраиваете внутреннее значение URL-адреса в корневом пути приложения, а все вложенные пути под корнем получают одну и ту же конфигурацию заголовка и приложения.
    • Создайте новое приложение, чтобы задать другую конфигурацию заголовка или назначение пользователя для определения более детального пути, чем настроенное вами приложение. В новом приложении настройте внутренний URL-адрес с конкретным требуемым путем, а затем настройте определенные заголовки, требуемые для этого URL-адреса. Прокси приложения всегда соответствует параметрам конфигурации с самым подробным набором путей для приложения.

  2. Выберите идентификатор Microsoft Entra в качестве метода предварительной проверки подлинности.

  3. Назначьте тестового пользователя. Для этого перейдите к разделу Пользователи и группы и назначьте соответствующих пользователей и группы.

  4. Откройте браузер и перейдите по внешнему URL-адресу из параметров прокси приложения.

  5. Убедитесь, что вы можете подключиться к приложению. Хотя вы можете подключиться, вы не сможете получить доступ к приложению, так как заголовки не настроены.

Настройка единого входа

Прежде чем приступить к работе с единым входом для приложений на основе заголовков, установите соединитель частной сети. Соединитель должен иметь доступ к целевым приложениям. Дополнительные сведения см. в руководстве по прокси приложениям Microsoft Entra.

  1. Когда приложение появится в списке корпоративных приложений, выберите его, а затем выберите Единый вход.
  2. Установите режим единого входа на основе заголовков.
  3. В базовой конфигурации идентификатор Microsoft Entra id выбран в качестве значения по умолчанию.
  4. Выберите карандаш редактирования, в заголовках, чтобы настроить заголовки для отправки в приложение.
  5. Выберите Добавить новый заголовок. Укажите имя заголовка и выберите атрибут или преобразование и выберите в раскрывающемся списке, в котором требуется ваше приложение.
  6. Выберите Сохранить.

Тестирование приложения

Теперь приложение запущено и доступно. Чтобы проверить приложение:

  1. Очищайте ранее кэшированные заголовки, открыв новый браузер или частное окно браузера.
  2. Перейдите по внешнему URL-адресу. Этот параметр указан как внешний URL-адрес в параметрах прокси приложения.
  3. Войдите с помощью тестовой учетной записи, назначенной приложению.
  4. Убедитесь, что вы можете загрузить и войти в приложение с помощью единого входа.

Рекомендации

  • Прокси приложения предоставляет удаленный доступ к приложениям локально или в частном облаке. Прокси приложения не рекомендуется использовать для трафика, исходя из той же сети, что и предполагаемое приложение.
  • Доступ к приложениям аутентификации на основе заголовков должен быть ограничен только трафиком из соединителя или другого разрешенного решения для аутентификации на основе заголовков. Ограничение доступа обычно выполняется с помощью брандмауэра или IP-адреса на сервере приложений.

Следующие шаги