Подстановочные знаки приложений в прокси приложения Microsoft Entra
В идентификаторе Microsoft Entra настройка большого количества локальных приложений может быстро стать неуправляемой и представляет ненужные риски для ошибок конфигурации, если многие из них требуют одинаковых параметров. С помощью прокси приложения Microsoft Entra вы можете устранить эту проблему с помощью публикации подстановочных знаков приложения для публикации и управления многими приложениями одновременно. Это решение дает следующие возможности.
- Уменьшение дополнительных временных затрат на администрирование.
- Уменьшение числа потенциальных ошибок конфигурации.
- Предоставление пользователям безопасного доступа к дополнительным ресурсам.
В этой статье представлены сведения, необходимые для настройки публикации приложений с подстановочным знаком в вашей среде.
Создание приложения с подстановочным знаком
Можно создать приложение с подстановочным знаком (*), если имеется группа приложений с одинаковой конфигурацией. Потенциальными кандидатами для приложения с подстановочным знаком являются приложения, совместно использующие следующее:
- группа пользователей, имеющая доступ к этим приложениям;
- метод единого входа;
- протокол доступа (HTTP, HTTPS).
Можно публиковать приложения с помощью подстановочных знаков, если внутренние и внешние URL-адреса представлены в следующем формате:
http(s)://*.<domain>
Например: http(s)://*.adventure-works.com
.
Хотя внутренние и внешние URL-адреса могут содержать разные домены, рекомендуется, чтобы они совпадали. При публикации приложения появится сообщение об ошибке, если один из URL-адресов не содержит подстановочный знак.
При создании приложения с подстановочным знаком используется тот же процесс публикации приложения, что и для всех других приложений. Единственное отличие заключается в добавлении подстановочного знака в URL-адреса и, возможно, настройке единого входа.
Необходимые компоненты
Для начала убедитесь, что вы выполнили эти требования.
Личные домены
Хотя личные домены не являются обязательными для других приложений, они являются необходимым условием для создания приложений с подстановочным знаком. Для создания личных доменов необходимо:
- Создать проверенный домен в Azure.
- Передать TLS- или SSL-сертификат в формате PFX на прокси приложения.
Рассмотрите возможность использования сертификата с подстановочным знаком для сопоставления с приложением, которое вы собираетесь создать.
По соображениям безопасности это требование является обязательным, и подстановочные знаки не будут поддерживаться для приложений, которые не могут использовать личный домен во внешнем URL-адресе.
Обновления DNS
При использовании личных доменов необходимо создать запись DNS с записью CNAME для внешнего URL-адреса (например, *.adventure-works.com
), указывающую на внешний URL-адрес конечной точки прокси приложения. Для приложений с подстановочными знаками запись CNAME должна указывать на соответствующий внешний URL-адрес:
<yourAADTenantId>.tenant.runtime.msappproxy.net
Чтобы убедиться, что запись CNAME правильно настроена, можно использовать nslookup на одной из целевых конечных точек, например expenses.adventure-works.com
. Полученный ответ должен содержать упомянутый выше псевдоним (<yourAADTenantId>.tenant.runtime.msappproxy.net
).
Использование групп соединителей, назначенных региону облачной службы прокси приложения, отличному от региона по умолчанию
Если у вас есть соединители, установленные в регионах, отличных от региона клиента по умолчанию, полезно изменить регион, который оптимизирован для повышения производительности этих приложений. Дополнительные сведения см. в статье "Оптимизация групп соединителей для использования ближайшей облачной службы прокси приложения".
Если группа соединителей, назначенная для приложения с подстановочными знаками, использует регион, отличный от региона по умолчанию, необходимо обновить запись CNAME, чтобы она указывала на конкретный региональный внешний URL-адрес. Для определения соответствующего URL-адреса используйте следующую таблицу:
Регион, назначенный соединителю | Внешний URL-адрес |
---|---|
Азия | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
Австралия | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
Европа | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
Северная Америка | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Рекомендации
Ниже приведены некоторые рекомендации, которые следует учитывать при работе с приложениями с подстановочными знаками.
Допустимые форматы
Для приложений с подстановочным знаком внутренний URL-адрес должен указан в формате http(s)://*.<domain>
.
При настройке внешнего URL-адреса необходимо использовать следующий формат: https://*.<custom domain>
.
Другие позиции подстановочного знака, несколько подстановочных знаков или другие строки регулярных выражений не поддерживаются и порождают ошибки.
Исключение приложений из приложения с подстановочным знаком
Приложение можно исключить из приложения с подстановочным знаком:
- опубликовав исключаемое приложение как обычное приложение;
- включив подстановочный знак только для определенных приложений с помощью параметров DNS.
Публикация приложения в качестве обычного приложения является предпочтительным способом исключения из приложения с подстановочным знаком. Публиковать исключенные приложения следует перед публикацией приложений с подстановочным знаком, чтобы обеспечить их исключение с самого начала. Чем определеннее приложение, тем выше его приоритет: приложение, опубликованное как budgets.finance.adventure-works.com
, имеет приоритет над приложением *.finance.adventure-works.com
, которое, в свою очередь, имеет приоритет над приложением *.adventure-works.com
.
Можно также ограничить применение подстановочного знака только определенными приложениями с помощью параметров управления DNS. Рекомендуется создать запись CNAME, которая содержит подстановочный знак и соответствует формату настроенного внешнего URL-адреса. Однако вместо этого можно указать определенные URL-адреса приложений для подстановочных знаков. Например, вместо *.adventure-works.com
можно указать hr.adventure-works.com
, а вместо expenses.adventure-works.com
и travel.adventure-works.com individually
— 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net
.
При использовании этого подхода необходима еще одна запись CNAME для значения AppId.domain
, например 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com
, которое указывает на то же расположение. Идентификатор приложения можно найти на странице свойств приложения подстановочного знака.
Задание URL-адреса домашней страницы панели MyApps
Приложение с подстановочным знаком представлено всего одним элементом на панели MyApps. По умолчанию этот элемент скрыт. Чтобы отобразить его и позволить пользователям переходить на конкретную страницу, выполните следующее.
- Следуйте указаниям по настройке URL-адреса домашней страницы.
- На странице свойств приложения для параметра Show Application (Показать приложение) задайте значение true.
Ограниченное делегирование Kerberos
Для приложений, использующих ограниченное делегирование kerberos (KCD) в качестве метода единого входа, имя субъекта-службы, указанное для метода единого входа, требует подстановочного знака. Например, может именем субъекта-службы может быть HTTP/*.adventure-works.com
. Вам по-прежнему нужно настроить отдельные имена субъектов-служб на внутренних серверах (например, HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com
).
Сценарий 1. Общее приложение с подстановочным знаком
В этом сценарии требуется опубликовать три разных приложения.
expenses.adventure-works.com
hr.adventure-works.com
travel.adventure-works.com
Все три приложения:
- используются всеми пользователями;
- используют Встроенную проверку подлинности Windows;
- имеют одинаковые свойства.
Вы можете опубликовать подстановочное приложение, выполнив действия, описанные в разделе "Публикация приложений" с помощью прокси приложения Microsoft Entra. В этом сценарии предполагается:
- наличие клиента со следующим Идентификатором:
aaaabbbb-0000-cccc-1111-dddd2222eeee
; - наличие настроенного проверенного домена
adventure-works.com
; - создание записи CNAME, которая указывает
*.adventure-works.com
на00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net
.
После выполнения описанных действий создайте приложение прокси приложения в клиенте. В этом примере подстановочный знак используется в следующих полях.
Внутренний URL-адрес.
Внешний URL-адрес:
Внутреннее имя субъекта-службы приложения
Опубликовав приложение с подстановочным знаком, вы сможете получить доступ к трем приложениям, переходя по привычным URL-адресам (например, travel.adventure-works.com
).
Конфигурация реализует следующую структуру.
Color | Description |
---|---|
Синий | Приложения, явно опубликованные и видимые в Центре администрирования Microsoft Entra. |
Серый | Приложения, к которые можно получить доступ через родительское приложение. |
Сценарий 2. Общее приложение с подстановочным знаком с исключением
В этом сценарии помимо трех общих приложений имеется еще одно приложение finance.adventure-works.com
, которое должно быть доступно только финансовому отделу. При текущей структуре приложений финансовое приложение было бы доступно всем сотрудникам через приложение с подстановочным знаком. Чтобы изменить это, исключите его из приложения с подстановочным знаком, настроив финансовое приложение как отдельное приложение с более строгими разрешениями.
Убедитесь, что запись CNAME существует, указывающая finance.adventure-works.com
на конкретную конечную точку приложения, указанную на странице прокси приложения. В данном случае выберите finance.adventure-works.com
указывает на https://finance-awcycles.msappproxy.net/
.
После выполнения описанных действий в этом сценарии необходимо выполнить следующую настройку.
Во внутреннем URL-адресе укажите finance вместо подстановочного знака.
Во внешнем URL-адресе укажите finance вместо подстановочного знака.
Во внутреннем имени субъекта-службы приложения вместо подстановочного знака укажите finance.
Эта конфигурация реализует следующий сценарий.
URL-адрес finance.adventure-works.com
является конкретным. URL-адрес *.adventure-works.com
не является конкретным. Более конкретный URL-адрес имеет приоритет. Пользователи, переходящие по адресу finance.adventure-works.com
, используют функции, указанные в финансовом приложении. В этом случае доступ к finance.adventure-works.com
имеют только сотрудники финансового отдела.
Если вы опубликовали несколько приложений для финансового отдела и используете проверенный домен finance.adventure-works.com
, то можно опубликовать другое приложение с подстановочным знаком *.finance.adventure-works.com
. Так как оно определено точнее, чем общее приложение *.adventure-works.com
, оно имеет более высокий приоритет в случае, когда пользователь обращается к приложению в домене finance.
Следующие шаги
- Дополнительные сведения о пользовательских доменах см. в статье "Работа с пользовательскими доменами" в прокси приложениях Microsoft Entra.
- Дополнительные сведения о приложениях публикации см. в статье "Публикация приложений с помощью прокси приложения Microsoft Entra"