Использование WAP в качестве обратного веб-прокси

  • 10 мин

Прокси-служба веб-приложения — это служба роли удаленного доступа. Эта служба роли работает в качестве обратного веб-прокси и предоставляет пользователям в Интернете доступ к внутренним корпоративным веб-приложениям или серверам шлюза удаленных рабочих столов. Прокси-служба веб-приложения может использовать AD FS для предварительной проверки подлинности пользователей в Интернете и действует как прокси AD FS для публикации приложений, поддерживающих утверждения.

Примечание.

Приложение, поддерживающее утверждения, может использовать любые сведения о пользователе, такие как членство в группе, адрес электронной почты, отдел или компания в рамках авторизации пользователей.

Перед установкой прокси-службы веб-приложения необходимо развернуть AD FS в качестве необходимого компонента. Прокси-служба веб-приложения использует AD FS для служб проверки подлинности. Одной из функций, предоставляемых AD FS, является функция единого входа. Это означает, что если пользователи вводят свои учетные данные для доступа к корпоративному веб-приложению один раз, им не придется вводить учетные данные для последующего доступа к этому приложению. Кроме того, можно использовать AD FS для проверки подлинности пользователей в прокси-службе веб-приложения перед тем, как они смогут взаимодействовать с приложением.

Размещение прокси-сервера веб-приложения в сети периметра между двумя устройствами брандмауэра — это типичная конфигурация. Сервер AD FS и опубликованные приложения находятся в корпоративной сети, и вместе с контроллерами домена и другими внутренними серверами защищены вторым брандмауэром. Этот сценарий обеспечивает безопасный доступ к корпоративным приложениям для пользователей в Интернете и в то же время защищает корпоративную ИТ-инфраструктуру от угроз безопасности в Интернете.

A diagram that displays a typical WAP architecture.

Способы проверки подлинности для прокси-службы веб-приложения

При настройке приложения в прокси-службе веб-приложения необходимо выбрать тип предварительной проверки подлинности. Можно выбрать предварительную проверку подлинности AD FS или сквозную предварительную проверку подлинности. Предварительная проверка подлинности AD FS предоставляет больше возможностей и преимуществ, но сквозная предварительная проверка подлинности совместима со всеми веб-приложениями.

Предварительная проверка подлинности AD FS

Предварительная проверка подлинности AD FS использует AD FS для веб-приложений с проверкой подлинности на основе утверждений. Когда пользователь инициирует подключение к корпоративному веб-приложению, первая точка входа, к которой подключается пользователь, — это прокси-служба веб-приложения. Прокси-служба веб-приложения выполняет предварительную проверку подлинности пользователя на сервере AD FS. Если проверка подлинности прошла успешно, прокси-служба веб-приложения устанавливает подключение к веб-серверу в корпоративной сети, в которой размещено приложение.

Используя предварительную проверку подлинности AD FS, вы гарантируете, что только полномочные пользователи смогут отправлять пакеты данных в веб-приложение. Это предотвращает использование уязвимостей веб-приложений перед проверкой подлинности. Предварительная проверка подлинности AD FS значительно сокращает поверхность атаки веб-приложения.

Сквозная предварительная проверка подлинности

Сквозная предварительная проверка подлинности не использует AD FS для проверки подлинности, и прокси-служба веб-приложения также не выполняет предварительную проверку подлинности. Вместо этого пользователь подключается к веб-приложению через прокси-службу веб-приложения. Прокси-служба веб-приложения перестраивает пакеты данных по мере их доставки в веб-приложение, что обеспечивает защиту от таких ошибок, как неправильно сформированные пакеты. Однако часть данных пакета передается в веб-приложение. Веб-приложение отвечает за проверку подлинности пользователей.

Преимущества предварительной проверки подлинности AD FS

Предварительная проверка подлинности AD FS обеспечивает следующие преимущества по сравнению со сквозной предварительной проверкой подлинности:

  • Единый вход. Позволяет пользователям, прошедшим предварительную проверку подлинности с помощью AD FS, вводить свои учетные данные только один раз. Если пользователи впоследствии обращаются к другим приложениям, использующим AD FS для проверки подлинности, им не придется снова вводить учетные данные.
  • Многофакторная проверка подлинности (MFA). MFA позволяет настроить несколько типов учетных данных для усиления безопасности. Например, можно настроить систему таким образом, чтобы пользователи вводили имя пользователя и пароль вместе со смарт-картой.
  • Многофакторное управление доступом. Многофакторное управление доступом используется в организациях, которым требуется усилить безопасность при публикации веб-приложений путем реализации правил утверждений авторизации. Правила настраиваются таким образом, чтобы выдавать утверждение с разрешением или отказом, которое определяет, разрешен или запрещен пользователю доступ к веб-приложению, которое использует предварительную проверку подлинности AD FS.

Публикация приложений с помощью прокси-службы веб-приложения

После установки службы роли прокси-службы веб-приложения она настраивается с помощью мастера настройки прокси-службы веб-приложения в консоли управления удаленным доступом. После завершения работы мастера настройки прокси-службы веб-приложения создается консоль прокси-службы веб-приложения, которую можно использовать для дальнейшего управления и настройки прокси-службы веб-приложения.

Мастер настройки прокси-службы веб-приложения требует ввести следующую информацию в процессе начальной настройки:

  • Имя AD FS. Чтобы найти это имя, откройте консоль управления AD FS и в разделе "Изменить свойства службы федерации" найдите значение в поля имени службы федерации.
  • Учетные данные учетной записи локального администратора для AD FS.
  • Сертификат прокси AD FS. Это сертификат, который будет использоваться прокси-службой веб-приложения для функций прокси AD FS.

Совет

Сертификат прокси AD FS должен содержать имя AD FS в поле субъекта сертификата, так как этого требует мастер настройки прокси-службы веб-приложения. Кроме того, в поле альтернативных имен субъекта сертификата должно быть указано имя AD FS.

После завершения работы мастера настройки прокси-службы веб-приложения можно опубликовать веб-приложение с помощью консоли прокси-службы веб-приложения или командлетов Windows PowerShell. Командлеты Windows PowerShell для управления опубликованными приложениями:

  • Add-WebApplicationProxyApplication
  • Get-WebApplicationProxyApplication
  • Set-WebApplicationProxyApplication

При публикации веб-приложения необходимо предоставить следующие сведения:

  • Тип предварительной проверки подлинности, например сквозная.
  • Приложение для публикации.
  • Внешний URL-адрес приложения, например https://lon-svr1.adatum.com.
  • Сертификат, имя субъекта которого включает внешний URL-адрес, например lon-svr1.adatum.com.
  • URL-адрес внутреннего сервера, который вводится автоматически при вводе внешнего URL-адреса.