Использование WAP в качестве обратного веб-прокси
Прокси-служба веб-приложения — это служба роли удаленного доступа. Эта служба роли работает в качестве обратного веб-прокси и предоставляет пользователям в Интернете доступ к внутренним корпоративным веб-приложениям или серверам шлюза удаленных рабочих столов. Прокси-служба веб-приложения может использовать AD FS для предварительной проверки подлинности пользователей в Интернете и действует как прокси AD FS для публикации приложений, поддерживающих утверждения.
Примечание.
Приложение, поддерживающее утверждения, может использовать любые сведения о пользователе, такие как членство в группе, адрес электронной почты, отдел или компания в рамках авторизации пользователей.
Перед установкой прокси-службы веб-приложения необходимо развернуть AD FS в качестве необходимого компонента. Прокси-служба веб-приложения использует AD FS для служб проверки подлинности. Одной из функций, предоставляемых AD FS, является функция единого входа. Это означает, что если пользователи вводят свои учетные данные для доступа к корпоративному веб-приложению один раз, им не придется вводить учетные данные для последующего доступа к этому приложению. Кроме того, можно использовать AD FS для проверки подлинности пользователей в прокси-службе веб-приложения перед тем, как они смогут взаимодействовать с приложением.
Размещение прокси-сервера веб-приложения в сети периметра между двумя устройствами брандмауэра — это типичная конфигурация. Сервер AD FS и опубликованные приложения находятся в корпоративной сети, и вместе с контроллерами домена и другими внутренними серверами защищены вторым брандмауэром. Этот сценарий обеспечивает безопасный доступ к корпоративным приложениям для пользователей в Интернете и в то же время защищает корпоративную ИТ-инфраструктуру от угроз безопасности в Интернете.
Способы проверки подлинности для прокси-службы веб-приложения
При настройке приложения в прокси-службе веб-приложения необходимо выбрать тип предварительной проверки подлинности. Можно выбрать предварительную проверку подлинности AD FS или сквозную предварительную проверку подлинности. Предварительная проверка подлинности AD FS предоставляет больше возможностей и преимуществ, но сквозная предварительная проверка подлинности совместима со всеми веб-приложениями.
Предварительная проверка подлинности AD FS
Предварительная проверка подлинности AD FS использует AD FS для веб-приложений с проверкой подлинности на основе утверждений. Когда пользователь инициирует подключение к корпоративному веб-приложению, первая точка входа, к которой подключается пользователь, — это прокси-служба веб-приложения. Прокси-служба веб-приложения выполняет предварительную проверку подлинности пользователя на сервере AD FS. Если проверка подлинности прошла успешно, прокси-служба веб-приложения устанавливает подключение к веб-серверу в корпоративной сети, в которой размещено приложение.
Используя предварительную проверку подлинности AD FS, вы гарантируете, что только полномочные пользователи смогут отправлять пакеты данных в веб-приложение. Это предотвращает использование уязвимостей веб-приложений перед проверкой подлинности. Предварительная проверка подлинности AD FS значительно сокращает поверхность атаки веб-приложения.
Сквозная предварительная проверка подлинности
Сквозная предварительная проверка подлинности не использует AD FS для проверки подлинности, и прокси-служба веб-приложения также не выполняет предварительную проверку подлинности. Вместо этого пользователь подключается к веб-приложению через прокси-службу веб-приложения. Прокси-служба веб-приложения перестраивает пакеты данных по мере их доставки в веб-приложение, что обеспечивает защиту от таких ошибок, как неправильно сформированные пакеты. Однако часть данных пакета передается в веб-приложение. Веб-приложение отвечает за проверку подлинности пользователей.
Преимущества предварительной проверки подлинности AD FS
Предварительная проверка подлинности AD FS обеспечивает следующие преимущества по сравнению со сквозной предварительной проверкой подлинности:
- Единый вход. Позволяет пользователям, прошедшим предварительную проверку подлинности с помощью AD FS, вводить свои учетные данные только один раз. Если пользователи впоследствии обращаются к другим приложениям, использующим AD FS для проверки подлинности, им не придется снова вводить учетные данные.
- Многофакторная проверка подлинности (MFA). MFA позволяет настроить несколько типов учетных данных для усиления безопасности. Например, можно настроить систему таким образом, чтобы пользователи вводили имя пользователя и пароль вместе со смарт-картой.
- Многофакторное управление доступом. Многофакторное управление доступом используется в организациях, которым требуется усилить безопасность при публикации веб-приложений путем реализации правил утверждений авторизации. Правила настраиваются таким образом, чтобы выдавать утверждение с разрешением или отказом, которое определяет, разрешен или запрещен пользователю доступ к веб-приложению, которое использует предварительную проверку подлинности AD FS.
Публикация приложений с помощью прокси-службы веб-приложения
После установки службы роли прокси-службы веб-приложения она настраивается с помощью мастера настройки прокси-службы веб-приложения в консоли управления удаленным доступом. После завершения работы мастера настройки прокси-службы веб-приложения создается консоль прокси-службы веб-приложения, которую можно использовать для дальнейшего управления и настройки прокси-службы веб-приложения.
Мастер настройки прокси-службы веб-приложения требует ввести следующую информацию в процессе начальной настройки:
- Имя AD FS. Чтобы найти это имя, откройте консоль управления AD FS и в разделе "Изменить свойства службы федерации" найдите значение в поля имени службы федерации.
- Учетные данные учетной записи локального администратора для AD FS.
- Сертификат прокси AD FS. Это сертификат, который будет использоваться прокси-службой веб-приложения для функций прокси AD FS.
Совет
Сертификат прокси AD FS должен содержать имя AD FS в поле субъекта сертификата, так как этого требует мастер настройки прокси-службы веб-приложения. Кроме того, в поле альтернативных имен субъекта сертификата должно быть указано имя AD FS.
После завершения работы мастера настройки прокси-службы веб-приложения можно опубликовать веб-приложение с помощью консоли прокси-службы веб-приложения или командлетов Windows PowerShell. Командлеты Windows PowerShell для управления опубликованными приложениями:
Add-WebApplicationProxyApplication
Get-WebApplicationProxyApplication
Set-WebApplicationProxyApplication
При публикации веб-приложения необходимо предоставить следующие сведения:
- Тип предварительной проверки подлинности, например сквозная.
- Приложение для публикации.
- Внешний URL-адрес приложения, например
https://lon-svr1.adatum.com
. - Сертификат, имя субъекта которого включает внешний URL-адрес, например
lon-svr1.adatum.com
. - URL-адрес внутреннего сервера, который вводится автоматически при вводе внешнего URL-адреса.