ใช้ WAP เป็นเว็บพร็อกซีย้อนกลับ
Web Application Proxy เป็นบริการบทบาทการเข้าถึงระยะไกล บริการบทบาทนี้จะทําหน้าที่เป็นเว็บพร็อกซีแบบย้อนกลับและให้ผู้ใช้บนอินเทอร์เน็ตที่สามารถเข้าถึงเว็บแอปพลิเคชันภายในขององค์กรหรือเซิร์ฟเวอร์ของเกตเวย์เดสก์ท็อประยะไกลได้ Web Application Proxy สามารถใช้ AD FS เพื่อรับรองความถูกต้องผู้ใช้อินเทอร์เน็ตและทําหน้าที่เป็นพร็อกซี AD FS สําหรับการเผยแพร่แอปพลิเคชันทราบการอ้างสิทธิ์
หมายเหตุ
แอปพลิเคชันทราบการอ้างสิทธิ์สามารถใช้ข้อมูลใด ๆ เกี่ยวกับผู้ใช้เช่นการเป็นสมาชิกกลุ่มที่อยู่อีเมลแผนกหรือ บริษัท เป็นส่วนหนึ่งของการรับรองความถูกต้องของผู้ใช้
ก่อนที่คุณจะติดตั้ง Web Application Proxy คุณต้องปรับใช้ AD FS เป็นข้อกําหนดเบื้องต้น พร็อกซีแอปพลิเคชันเว็บใช้ AD FS สําหรับบริการรับรองความถูกต้อง คุณลักษณะหนึ่งที่ให้มาโดย AD FS คือฟังก์ชันการทํางานของ SSO ซึ่งหมายความว่าหากผู้ใช้ป้อนข้อมูลประจําตัวของพวกเขาเพื่อเข้าถึงเว็บแอปพลิเคชันขององค์กรหนึ่งครั้งพวกเขาจะไม่ถูกขอให้ป้อนข้อมูลประจําตัวอีกครั้งเพื่อเข้าถึงเว็บแอปพลิเคชันขององค์กร คุณยังสามารถใช้ AD FS เพื่อรับรองความถูกต้องผู้ใช้ที่ Web Application Proxy ก่อนที่ผู้ใช้จะสื่อสารกับแอปพลิเคชัน
การวางเซิร์ฟเวอร์ Web Application Proxy ในเครือข่ายเฉพาะเขตระหว่างอุปกรณ์ไฟร์วอลล์สองเครื่องเป็นการกําหนดค่าทั่วไป เซิร์ฟเวอร์ AD FS และแอปพลิเคชันที่เผยแพร่จะอยู่บนเครือข่ายขององค์กร และร่วมกับตัวควบคุมโดเมนและเซิร์ฟเวอร์ภายในอื่น ๆ ได้รับการป้องกันโดยไฟร์วอลล์ที่สอง สถานการณ์นี้มีการเข้าถึงแอปพลิเคชันขององค์กรที่ปลอดภัยสําหรับผู้ใช้ที่อยู่บนอินเทอร์เน็ต และในขณะเดียวกันก็ช่วยปกป้องโครงสร้างพื้นฐานด้าน IT ขององค์กรจากการคุกคามด้านความปลอดภัยบนอินเทอร์เน็ต
ตัวเลือกการรับรองความถูกต้องสําหรับ Web Application Proxy
เมื่อคุณกําหนดค่าแอปพลิเคชันใน Web Application Proxy คุณจําเป็นต้องเลือกชนิดของการรับรองความถูกต้องล่วงหน้า คุณสามารถเลือกการรับรองความถูกต้องล่วงหน้า AD FS หรือการรับรองความถูกต้องล่วงหน้าแบบพาส-ทรู การรับรองความถูกต้องล่วงหน้า AD FS มีคุณลักษณะและประโยชน์เพิ่มเติม แต่การรับรองความถูกต้องล่วงหน้าแบบพาส-ทรูสามารถเข้ากันได้กับเว็บแอปทั้งหมด
การรับรองความถูกต้องล่วงหน้า AD FS
การรับรองความถูกต้องล่วงหน้า AD FS ใช้ AD FS สําหรับแอปพลิเคชันเว็บที่ใช้การรับรองความถูกต้องตามการอ้างสิทธิ์ เมื่อผู้ใช้เริ่มต้นการเชื่อมต่อกับเว็บแอปพลิเคชันขององค์กร จุดแรกที่ผู้ใช้เชื่อมต่อด้วยคือ Web Application Proxy Web Application Proxy จะรับรองความถูกต้องผู้ใช้ในเซิร์ฟเวอร์ AD FS ถ้าการรับรองความถูกต้องเสร็จสมบูรณ์ Web Application Proxy จะสร้างการเชื่อมต่อกับเว็บเซิร์ฟเวอร์ในเครือข่ายขององค์กรที่โฮสต์แอปพลิเคชัน
เมื่อใช้การรับรองความถูกต้องล่วงหน้า AD FS คุณจะมั่นใจได้ว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถส่งแพคเก็ตข้อมูลไปยังเว็บแอปพลิเคชันได้ การดําเนินการนี้จะป้องกันไม่ให้แฮ็กเกอร์ใช้ประโยชน์จากข้อบกพร่องของเว็บแอปก่อนการรับรองความถูกต้อง การรับรองความถูกต้องล่วงหน้า AD FS ช่วยลดพื้นที่การโจมตีสําหรับเว็บแอปได้อย่างมาก
การรับรองความถูกต้องล่วงหน้าแบบพาส-ทรู
การรับรองความถูกต้องล่วงหน้าผ่านไม่ได้ใช้ AD FS สําหรับการรับรองความถูกต้อง หรือทั้ง Web Application Proxy จะรับรองความถูกต้องผู้ใช้ไว้ล่วงหน้า แต่ผู้ใช้จะเชื่อมต่อกับเว็บแอปพลิเคชันผ่านทาง Web Application Proxy พร็อกซีแอปพลิเคชันเว็บสร้างแพ็กเก็ตข้อมูลใหม่เมื่อมีการส่งไปยังเว็บแอปซึ่งให้การป้องกันจากข้อบกพร่องเช่นแพคเก็ตที่จัดรูปแบบอย่างไม่ถูกต้อง อย่างไรก็ตาม ส่วนข้อมูลของแพ็กเก็ตจะส่งผ่านไปยังเว็บแอป เว็บแอปมีหน้าที่รับผิดชอบการรับรองความถูกต้องของผู้ใช้
สิทธิประโยชน์การรับรองความถูกต้องล่วงหน้าของ AD FS
การรับรองความถูกต้องล่วงหน้า AD FS มีประโยชน์ดังต่อไปนี้ในการรับรองความถูกต้องล่วงหน้าแบบพาส-ทรู:
- SSO. ช่วยให้ผู้ใช้ที่ได้รับการรับรองความถูกต้องล่วงหน้าโดย AD FS สามารถใส่ข้อมูลประจําตัวได้เพียงครั้งเดียว ถ้าในเวลาต่อมาผู้ใช้เข้าถึงแอปพลิเคชันอื่น ๆ ที่ใช้ AD FS สําหรับการรับรองความถูกต้อง พวกเขาจะไม่ได้รับพร้อมท์อีกครั้งสําหรับข้อมูลประจําตัวของพวกเขา
- การรับรองความถูกต้องแบบหลายปัจจัย (MFA) MFA ช่วยให้คุณสามารถกําหนดค่าข้อมูลประจําตัวหลายชนิดเพื่อเสริมความปลอดภัย ตัวอย่างเช่น คุณสามารถกําหนดค่าระบบเพื่อให้ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่านของตนร่วมกับสมาร์ทการ์ด
- การควบคุมการเข้าถึงแบบหลายแฟกเตอร์ ตัวควบคุมการเข้าถึงแบบหลายแฟกเตอร์ที่ใช้ในองค์กรที่ต้องการเสริมความปลอดภัยให้แข็งแกร่งขึ้นเมื่อเผยแพร่เว็บแอปพลิเคชันโดยการใช้กฎการอ้างสิทธิ์การรับรองความถูกต้อง มีการกําหนดค่ากฎเพื่อให้ออกใบอนุญาตหรือการปฏิเสธการอ้างสิทธิ์ซึ่งกําหนดว่าผู้ใช้หรือกลุ่มได้รับอนุญาตหรือปฏิเสธการเข้าถึงเว็บแอปพลิเคชันที่กําลังใช้การรับรองความถูกต้องล่วงหน้า AD FS
เผยแพร่แอปพลิเคชันด้วย Web Application Proxy
หลังจากติดตั้งบริการบทบาท Web Application Proxy แล้ว คุณสามารถกําหนดค่าได้โดยใช้ ตัวช่วยสร้างการกําหนดค่า Web Application Proxy จากคอนโซลการจัดการการเข้าถึงระยะไกล เมื่อตัวช่วยสร้างการกําหนดค่า Web Application Proxy เสร็จสมบูรณ์ จะสร้างคอนโซล Web Application Proxy ซึ่งคุณสามารถใช้สําหรับการจัดการและการกําหนดค่า Web Application Proxy เพิ่มเติมได้
ตัวช่วยสร้างการกําหนดค่า Web Application Proxy ต้องการให้คุณใส่ข้อมูลต่อไปนี้ในระหว่างกระบวนการกําหนดค่าเริ่มต้น:
- ชื่อ AD FS หากต้องการค้นหาชื่อนี้ ให้เปิดคอนโซลการจัดการ AD FS และภายใต้แก้ไขคุณสมบัติบริการของสหพันธ์ ค้นหาค่าในกล่องชื่อบริการของสหพันธ์
- ข้อมูลประจําตัวของบัญชีผู้ดูแลระบบภายในสําหรับ AD FS
- ใบรับรองพร็อกซี AD FS นี่คือใบรับรองที่ Web Application Proxy จะใช้สําหรับฟังก์ชันการทํางานของพร็อกซี AD FS
เคล็ดลับ
ใบรับรองพร็อกซี AD FS ต้องมีชื่อ AD FS ในเขตข้อมูลหัวเรื่องของใบรับรองเนื่องจากตัวช่วยสร้างการกําหนดค่า Web Application Proxy จําเป็นต้องใช้ชื่อนี้ นอกจากนี้ เขตข้อมูลชื่อสํารองของชื่อเรื่องของใบรับรองควรมีชื่อ AD FS ด้วย
หลังจากดําเนินการตัวช่วยสร้างการกําหนดค่า Web Application Proxy เสร็จแล้ว คุณสามารถเผยแพร่เว็บแอปของคุณโดยใช้คอนโซล Web Application Proxy หรือ cmdlet ของ Windows PowerShell cmdlet ของ Windows PowerShell สําหรับการจัดการแอปที่เผยแพร่คือ:
Add-WebApplicationProxyApplicationGet-WebApplicationProxyApplicationSet-WebApplicationProxyApplication
เมื่อคุณเผยแพร่เว็บแอปของคุณ คุณต้องให้ข้อมูลต่อไปนี้:
- ชนิดของการรับรองความถูกต้องล่วงหน้า ตัวอย่างเช่น พาส-ทรู
- แอปพลิเคชันที่จะเผยแพร่
- URL ภายนอกของแอปพลิเคชัน ตัวอย่างเช่น
https://lon-svr1.adatum.com - ใบรับรองที่มีชื่อหัวเรื่องครอบคลุม URL ภายนอก ตัวอย่างเช่น
lon-svr1.adatum.com - URL ของเซิร์ฟเวอร์ backend ซึ่งจะถูกป้อนโดยอัตโนมัติเมื่อคุณป้อน URL ภายนอก