Windows-autentisering – Kerberos-begränsad delegering med Microsoft Entra-ID
Baserat på namn på tjänstens huvudnamn tillhandahåller Kerberos-begränsad delegering (KCD) begränsad delegering mellan resurser. Det kräver att domänadministratörer skapar delegeringarna och är begränsad till en enda domän. Du kan använda resursbaserad KCD för att tillhandahålla Kerberos-autentisering för ett webbprogram som har användare i flera domäner i en Active Directory-skog.
Microsoft Entra-programproxy kan ge enkel inloggning (SSO) och fjärråtkomst till KCD-baserade program som kräver en Kerberos-biljett för åtkomst och Kerberos-begränsad delegering (KCD).
Om du vill aktivera enkel inloggning för dina lokala KCD-program som använder integrerad Windows-autentisering (IWA) ger du privata nätverksanslutningar behörighet att personifiera användare i Active Directory. Den privata nätverksanslutningen använder den här behörigheten för att skicka och ta emot token för användarnas räkning.
När du ska använda KCD
Använd KCD när det finns ett behov av att tillhandahålla fjärråtkomst, skydda med förautentisering och tillhandahålla enkel inloggning till lokala IWA-program.
Komponenter i systemet
- Användare: Använder äldre program som Programproxy fungerar.
- Webbläsare: Komponenten som användaren interagerar med för att få åtkomst till programmets externa URL.
- Microsoft Entra-ID: Autentiserar användaren.
- Programproxy tjänst: Fungerar som omvänd proxy för att skicka begäranden från användaren till det lokala programmet. Den finns i Microsoft Entra-ID. Programproxy kan tillämpa principer för villkorsstyrd åtkomst.
- Privat nätverksanslutning: Installeras på lokala Windows-servrar för att tillhandahålla anslutning till programmet. Returnerar svaret till Microsoft Entra-ID. Utför KCD-förhandling med Active Directory och personifierar användaren för att hämta en Kerberos-token till programmet.
- Active Directory: Skickar Kerberos-token för programmet till den privata nätverksanslutningen.
- Äldre program: Program som tar emot användarbegäranden från Programproxy. De äldre programmen returnerar svaret till den privata nätverksanslutningen.
Implementera Windows-autentisering (KCD) med Microsoft Entra-ID
Utforska följande resurser för att lära dig mer om att implementera Windows-autentisering (KCD) med Microsoft Entra-ID.
- Kerberos-baserad enkel inloggning (SSO) i Microsoft Entra-ID med Programproxy beskriver förutsättningar och konfigurationssteg.
- Självstudien – Lägg till en lokal app – Programproxy i Microsoft Entra ID hjälper dig att förbereda din miljö för användning med Programproxy.
Nästa steg
- Översikt över Microsoft Entra-autentisering och synkroniseringsprotokoll beskriver integrering med autentiserings- och synkroniseringsprotokoll. Med autentiseringsintegreringar kan du använda Microsoft Entra-ID och dess säkerhets- och hanteringsfunktioner med små eller inga ändringar i dina program som använder äldre autentiseringsmetoder. Med synkroniseringsintegreringar kan du synkronisera användar- och gruppdata till Microsoft Entra-ID och sedan använda Microsoft Entra-hanteringsfunktioner. Vissa synkroniseringsmönster möjliggör automatisk etablering.
- Förstå enkel inloggning med en lokal app med hjälp av Programproxy beskriver hur enkel inloggning gör att användarna kan komma åt ett program utan att autentisera flera gånger. Enkel inloggning sker i molnet mot Microsoft Entra-ID och gör att tjänsten eller Anslut eller kan personifiera användaren för att slutföra autentiseringsutmaningar från programmet.
- Enkel inloggning med SAML (Security Assertion Markup Language) för lokala appar med Microsoft Entra-programproxy beskriver hur du kan ge fjärråtkomst till lokala program som skyddas med SAML-autentisering via Programproxy.