Удаленный доступ к локальным приложениям через прокси приложения Microsoft Entra
Прокси приложения Microsoft Entra обеспечивает безопасный удаленный доступ к локальным веб-приложениям. После единого входа в Идентификатор Microsoft Entra пользователи могут получить доступ как к облачным, так и к локальным приложениям через внешний URL-адрес или внутренний портал приложений. Среди прочего, Application Proxy поддерживает удаленный доступ и единый вход для приложений "Удаленный рабочий стол", SharePoint, Teams, Tableau, Qlik и бизнес-приложений (LOB).
Прокси приложения Microsoft Entra:
Простота в использовании. Пользователи могут получить доступ к локальным приложениям так же, как они получают доступ к Microsoft 365 и другим приложениям SaaS, интегрированным с идентификатором Microsoft Entra. Вам не нужно изменять или обновлять приложения для работы с Application Proxy.
Безопасность. Локальные приложения могут использовать элементы управления авторизацией и аналитику безопасности Azure. Например, локальные приложения могут использовать условный доступ и двухфакторную проверку подлинности. Application Proxy не требует открывать входящие подключения через брандмауэр.
Экономичность. Для локальных решений вам, как правило, нужно устанавливать и поддерживать сети периметра, пограничные серверы или другие сложные инфраструктуры. Application Proxy выполняется в облаке, что упрощает работу с ней. Чтобы использовать Application Proxy, не нужно изменять сетевую инфраструктуру или устанавливать дополнительные устройства в локальной среде.
Что такое Application Proxy?
Прокси приложения — это функция идентификатора Microsoft Entra, который позволяет пользователям получать доступ к локальным веб-приложениям из удаленного клиента. Application Proxy включает в себя службу Application Proxy, которая работает в облаке, и соединитель Application Proxy, который выполняется на локальном сервере. Идентификатор Microsoft Entra, служба прокси приложения и соединитель Прокси приложения работают вместе, чтобы безопасно передать маркер входа пользователя из идентификатора Microsoft Entra в веб-приложение.
Application Proxy поддерживает:
- веб-приложения, использующие Встроенную проверку подлинности Windows;
- веб-приложения, использующие доступ на основе форм или заголовков;
- веб-API, предоставляемые для полнофункциональных приложений на различных устройствах;
- приложения, размещаемые за шлюзом удаленных рабочих столов.
- полнофункциональные клиентские приложения, интегрированные с библиотекой проверки подлинности Майкрософт (MSAL).
Application Proxy поддерживает единый вход. Дополнительные сведения о поддерживаемых методах см. в статье о выборе метода единого входа.
Application Proxy рекомендуется для предоставления удаленным пользователям доступа к внутренним ресурсам. Application Proxy заменяет виртуальную частную сеть (VPN) или обратный прокси-сервер. Он не предназначен для внутренних пользователей корпоративной сети. Данные пользователи, которые без необходимости используют прокси приложения, могут вызвать неожиданные и нежелательные проблемы с производительностью.
Схема работы Application Proxy
На следующей схеме показано, как идентификатор Microsoft Entra и Application Proxy работают вместе, чтобы обеспечить единый вход в локальные приложения.
- После доступа пользователя к приложению через конечную точку пользователь направляется на страницу входа Microsoft Entra.
- После успешного входа идентификатор Microsoft Entra отправляет маркер на клиентское устройство пользователя.
- Этот клиент отправляет маркер в службу Application Proxy, которая извлекает из него имя участника-пользователя (UPN) и имя субъекта безопасности (SPN). Затем Application Proxy направляет запрос к соединителю Application Proxy.
- Если вы настроили единый вход, то соединитель выполняет требуемую дополнительную аутентификацию от имени пользователя.
- Соединитель отправляет запрос локальному приложению.
- Ответ отправляется пользователю через службу и соединитель Application Proxy.
Примечание.
Как и большинство гибридных агентов Microsoft Entra, прокси приложения Подключение or не требует открытия входящих подключений через брандмауэр. Трафик пользователя на шаге 3 завершается в службе прокси приложения (в идентификаторе Microsoft Entra). За остальную часть обмена данными отвечает соединитель Application Proxy (локальный).
| Компонент | Description |
|---|---|
| Конечная точка | Конечной точкой называется URL-адрес или пользовательский портал. Пользователи за пределами вашей сети могут получить доступ к приложениям, используя внешний URL-адрес. Пользователи в вашей сети могут получить доступ к приложениям, используя URL-адрес или пользовательский портал. Когда пользователи переходят к одной из этих конечных точек, они проходят проверку подлинности в идентификаторе Microsoft Entra, а затем направляются через соединитель в локальное приложение. |
| ИД Microsoft Entra | Идентификатор Microsoft Entra выполняет проверку подлинности с помощью каталога клиента, хранящегося в облаке. |
| Служба Application Proxy | Эта служба прокси приложения выполняется в облаке в рамках идентификатора Microsoft Entra. Она передает маркер единого входа от пользователя к соединителю Application Proxy. Application Proxy перенаправляет любой доступный заголовок запроса сохраняет IP-адрес клиента в новый заголовок в соответствии с используемым протоколом. Если нужный заголовок уже присутствует в запросе, поступившем на прокси-сервер, IP-адрес клиента добавляется в конец значения этого заголовка, которое представляет собой список с разделителями запятыми. |
| Соединитель Application Proxy | Соединителем называется упрощенный агент, который выполняется на сервере Windows Server в локальной сети. Соединитель управляет связью между службой Application Proxy в облаке и локальным приложением. Этот соединитель использует только исходящие подключения, а значит вам не нужно открывать входящие порты или помещать компоненты в сеть периметра. Соединители не имеют состояния и при необходимости извлекают сведения из облака. Дополнительные сведения о соединителях, таких как балансировка нагрузки и проверка подлинности, см. в статье "Общие сведения о соединителях прокси приложения Microsoft Entra". |
| Active Directory (AD) | Active Directory работает локально и выполняет аутентификацию доменных учетных записей. Если настроен единый вход, соединитель взаимодействует со службой Active Directory для выполнения дополнительной аутентификации. |
| Локальное приложение | Когда весь этот процесс завершится, пользователь получает доступ к локальному приложению. |
Следующие шаги
Чтобы начать использование Application Proxy, см. учебник Добавление локального приложения для удаленного доступа через Application Proxy.
Обратная связь
Отправить и просмотреть отзыв по