Поделиться через

проверка подлинности Windows — ограниченное делегирование Kerberos с идентификатором Microsoft Entra

  • Статья

На основе имен субъектов-служб ограниченное делегирование Kerberos (KCD) обеспечивает ограниченное делегирование между ресурсами. Для этого требуется, чтобы администраторы домена создали делегирования в рамках одного домена. KCD на основе ресурсов можно использовать для предоставления проверки подлинности Kerberos для веб-приложения с пользователями в нескольких доменах в лесу Active Directory.

Прокси приложения Microsoft Entra может предоставлять единый вход (SSO) и удаленный доступ к приложениям на основе KCD, которым требуется билет Kerberos для доступа и ограниченного делегирования Kerberos (KCD).

Чтобы включить единый вход в локальные приложения KCD, использующие интегрированные проверка подлинности Windows (IWA), предоставьте соединителям частной сети разрешение на олицетворения пользователей в Active Directory. Соединитель частной сети использует это разрешение для отправки и получения маркеров от имени пользователей.

Когда следует использовать KCD

Используйте KCD, если требуется предоставить удаленный доступ, защитить с помощью предварительной проверки подлинности и предоставить единый вход локальным приложениям IWA.

Схема архитектуры

Компоненты системы

  • Пользователь: обращается к устаревшему приложению, которое обслуживает прокси приложения.
  • Веб-браузер: компонент, с которым взаимодействует пользователь для получения доступа к внешнему URL-адресу приложения.
  • Идентификатор Microsoft Entra: проверяет подлинность пользователя.
  • Служба прокси приложения: выступает в качестве обратного прокси-сервера для отправки запросов от пользователя в локальное приложение. Он находится в идентификаторе Microsoft Entra. Прокси приложения может применять политики условного доступа.
  • Соединитель частной сети: установлен на локальных серверах Windows для обеспечения подключения к приложению. Возвращает ответ на идентификатор Microsoft Entra. Выполняет согласование KCD с доменными службами Active Directory, обезличивает пользователя с целью получения токена Kerberos для приложения.
  • Active Directory: отправляет маркер Kerberos для приложения в соединитель частной сети.
  • Устаревшие приложения: приложения, получающие запросы пользователей от прокси приложения. Устаревшие приложения возвращают ответ на соединитель частной сети.

Реализация проверка подлинности Windows (KCD) с помощью идентификатора Microsoft Entra

Дополнительные сведения о реализации проверка подлинности Windows (KCD) с помощью идентификатора Microsoft Entra см. в следующих ресурсах.

Следующие шаги

  • Обзор протокола проверки подлинности и синхронизации Microsoft Entra описывает интеграцию с протоколами проверки подлинности и синхронизации. Интеграция проверки подлинности позволяет использовать идентификатор Microsoft Entra и его функции безопасности и управления с небольшими изменениями в приложениях, использующих устаревшие методы проверки подлинности. Интеграция синхронизации позволяет синхронизировать данные пользователей и группировать с идентификатором Microsoft Entra, а затем использовать возможности управления Microsoft Entra. Некоторые шаблоны синхронизации обеспечивают автоматическую подготовку.
  • Общие сведения о едином входе в локальное приложение с помощью Application Proxy описывает, как единый вход позволяет пользователям получать доступ к приложению без проверки подлинности несколько раз. Единый вход происходит в облаке с идентификатором Microsoft Entra и позволяет службе или Подключение or олицетворить пользователя для выполнения задач проверки подлинности из приложения.
  • Единый вход языка разметки утверждений безопасности (SAML) для локальных приложений с помощью прокси приложения Microsoft Entra описывает, как обеспечить удаленный доступ к локальным приложениям, защищенным с помощью проверки подлинности SAML через Application Proxy.