Microsoft Entra Id'de uygulama ara sunucusu aracılığıyla uzaktan erişim için şirket içi uygulama ekleme

Genel bakış

Microsoft Entra Id, kullanıcıların Microsoft Entra hesaplarıyla oturum açarak şirket içi uygulamalara erişmesini sağlayan bir uygulama ara sunucusu hizmetine sahiptir. Uygulama ara sunucusu hakkında daha fazla bilgi edinmek için bkz . Uygulama ara sunucusu nedir?. Bu kılavuz, uygulama vekil sunucusuyla kullanmak üzere ortamınızı hazırlar. Ortamınız hazır olduktan sonra, kiracınıza şirket içi uygulama eklemek için Microsoft Entra yönetim merkezini kullanın.

Uygulama ara sunucusuna genel bakış diyagramı.

Bu öğreticide şunları yapacaksınız:

  • Bağlayıcıyı Windows sunucunuza yükleyip doğrulayın ve uygulama ara sunucusuna kaydedin.
  • Microsoft Entra kiracınıza bir şirket içi uygulama ekleyin.
  • Test kullanıcısının bir Microsoft Entra hesabı kullanarak uygulamada oturum açabildiğini doğrulayın.

Önkoşullar

Microsoft Entra Id'ye şirket içi uygulama eklemek için şunları yapmanız gerekir:

  • Microsoft Entra Id P1 veya P2 aboneliği.
  • Uygulama Yöneticisi hesabı.
  • Şirket içi dizine sahip eşitlenmiş kullanıcı kimlikleri kümesi veya doğrudan Microsoft Entra kiracınızda oluşturulan kimlikler. Kimlik eşitleme, Microsoft Entra Id'nin kullanıcılara uygulama ara sunucusu tarafından yayımlanan uygulamalara erişim vermeden önce önceden kimlik doğrulaması yapmasına olanak tanır. Eşitleme ayrıca çoklu oturum açma (SSO) gerçekleştirmek için gerekli kullanıcı tanımlayıcı bilgilerini sağlar.
  • Microsoft Entra'da uygulama yönetimini anlama. Daha fazla bilgi için bkz. Microsoft Entra'da kurumsal uygulamaları görüntüleme.
  • Çoklu oturum açmayı (SSO) anlama. Daha fazla bilgi için bkz. Tek oturum açmayı anlama.

Microsoft Entra özel ağ bağlayıcısını yükleme ve doğrulama

Uygulama ara sunucusu, Microsoft Entra Özel Erişim ile aynı bağlayıcıyı kullanır. Bağlayıcıya Microsoft Entra özel ağ bağlayıcısı adı verilir. Bağlayıcıyı yükleme ve doğrulama hakkında bilgi edinmek için bkz . Bağlayıcıları yapılandırma.

Genel açıklamalar

Microsoft Entra uygulama proxy uç noktaları için Genel Etki Alanı Adı Sistemi (DNS) kayıtları, A kaydını işaret eden zincirlenmiş CNAME kayıtlarıdır. Kayıtların bu şekilde ayarlanması hataya dayanıklılık ve esneklik sağlar. Microsoft Entra özel ağ bağlayıcısı her zaman etki alanı sonekleri *.msappproxy.net veya *.servicebus.windows.netile ana bilgisayar adlarına erişir. Ancak, ad çözümlemesi sırasında CNAME kayıtları farklı ana bilgisayar adları ve sonekleri olan DNS kayıtları içerebilir.

Aradaki fark nedeniyle, kurulumunuza bağlı olarak cihazın (bağlayıcı sunucusu, güvenlik duvarı veya giden ara sunucu) zincirdeki tüm kayıtları çözümleyebildiğinden ve çözümlenen IP adreslerine bağlanmaya izin verdiğinden emin olmanız gerekir. Zincirdeki DNS kayıtları zaman zaman değişebileceğinden, kullanılabilir DNS kayıtlarının sabit bir listesi yoktur.

Bağlayıcıları farklı bölgelere yüklerseniz, her bağlayıcı grubuyla en yakın uygulama ara sunucusu bulut hizmeti bölgesini seçerek trafiği iyileştirmeniz gerekir. Daha fazla bilgi edinmek için bkz . Microsoft Entra uygulama ara sunucusu ile trafik akışını iyileştirme.

Kuruluşunuz İnternet'e bağlanmak için ara sunucu kullanıyorsa, bunları uygulama ara sunucusu için yapılandırmanız gerekir. Daha fazla bilgi için bkz. Mevcut şirket içi ara sunucularla çalışma.

Microsoft Entra Id'ye şirket içi uygulama ekleme

Microsoft Entra Id'ye şirket içi uygulamalar ekleyin.

  1. Microsoft Entra yönetim merkezinde en az Bir Uygulama Yöneticisi olarak oturum açın.

  2. Entra ID>Enterprise uygulamalarına göz atın.

  3. Yeni uygulama’yı seçin.

  4. Şirket içi uygulamalar bölümünde sayfanın yarısında görünen Şirket içi uygulama ekle düğmesini seçin. Alternatif olarak, sayfanın üst kısmındaki Kendi uygulamanızı oluştur'u ve ardından Şirket içi uygulamaya güvenli uzaktan erişim için uygulama ara sunucusunu yapılandır'ı seçebilirsiniz.

  5. Kendi şirket içi uygulamanızı ekleyin bölümünde uygulamanız hakkında aşağıdaki bilgileri sağlayın:

    Alan Açıklama
    Adı Uygulamalarım ve Microsoft Entra yönetim merkezinde görünen uygulamanın adı.
    Bakım Modu Bakım modunu etkinleştirmek ve uygulamaya tüm kullanıcılar için erişimi geçici olarak devre dışı bırakmak isteyip istediğinizi seçin.
    İç URL Uygulamaya özel ağınızın içinden erişim URL'si. Arka uç sunucusundaki belirli bir yolun yayımlanmasını sağlayabilirsiniz. Sunucunun geri kalanı yayımlanmaz. Bu şekilde, farklı uygulamalarla aynı sunucuda farklı siteler yayımlayabilir ve her birine kendi adını ve erişim kurallarını verebilirsiniz.

    Bir yol yayımlarsanız uygulamanıza ilişkin tüm gerekli görüntüleri, betikleri ve stil sayfalarını içerdiğinden emin olun. Örneğin, https://yourapp/app konumunda bulunan uygulamanız https://yourapp/media konumundaki görüntüleri kullanıyorsa, yolu https://yourapp/ olarak yayımlamanız gerekir. Bu iç URL'nin kullanıcılarınızın gördüğü giriş sayfası olması gerekmez. Daha fazla bilgi için bkz . Yayımlanan uygulamalar için özel giriş sayfası ayarlama.
    Dış URL Kullanıcıların uygulamaya ağınızın dışından erişmesi için adres. Varsayılan uygulama ara sunucusu etki alanını kullanmak istemiyorsanız, Microsoft Entra uygulama ara sunucusundaki özel etki alanları hakkında bilgi edinin.
    Ön Kimlik Doğrulaması Uygulama proxy'si, kullanıcıları uygulamanıza erişim vermeden önce nasıl doğrular?

    Microsoft Entra Id - Uygulama proxy'si, kullanıcıları dizin ve uygulama izinlerinin kimliğini doğrulayan Microsoft Entra Kimliği ile oturum açmaya yönlendirir. Koşullu Erişim ve çok faktörlü kimlik doğrulaması gibi Microsoft Entra güvenlik özelliklerinden yararlanabilmeniz için bunu varsayılan seçenek olarak tutun. Uygulamayı Bulut için Microsoft Defender Uygulamaları ile izlemek için Microsoft Entra Id gereklidir.

    Geçiş - Kullanıcıların uygulamaya erişmek için Microsoft Entra Kimliği ile kimlik doğrulaması yapmaları gerekmez. Arka uçta kimlik doğrulama gereksinimlerini ayarlamaya devam edebilirsiniz.
    Bağlayıcı Grubu Bağlayıcılar uygulamanıza uzaktan erişimi işler ve bağlayıcı grupları bağlayıcıları ve uygulamaları bölgeye, ağa veya amaca göre düzenlemenize yardımcı olur. Henüz herhangi bir bağlayıcı grubunuz oluşturulmadıysa, uygulamanız Varsayılan'a atanır.

    Uygulamanız bağlanmak için WebSockets kullanıyorsa, gruptaki tüm bağlayıcıların sürüm 1.5.612.0 veya üzeri olması gerekir.

  6. Gerekirse Ek ayarlar'ı yapılandırın. Çoğu uygulama için bu ayarları varsayılan durumlarında tutmanız gerekir.

    Alan Açıklama
    Arka Plan Uygulaması Süre Aşımı Uygulamanızın kimlik doğrulaması ve bağlantısı yavaşsa, bu değeri yalnızca Uzun olarak ayarlayın. Varsayılan olarak, arka uç uygulama zaman aşımı süresi 85 saniyedir. Çok uzun ayarlandığında, arka plan zaman aşımı 180 saniyeye çıkarılır.
    Yalnızca HTTP Tanımlama Bilgisi Kullanma Uygulama ara sunucusu tanımlama bilgilerinin HTTP yanıt üst bilgisinde HTTPOnly bayrağını içermesini sağlamak için seçin. Uzak Masaüstü Hizmetleri kullanıyorsanız, seçeneği seçili hale getirmeyin.
    Kalıcı Tanımlama Bilgisi kullanma Seçeneği seçmeyin. Bu ayarı yalnızca işlemler arasında tanımlama bilgilerini paylaşamayan uygulamalar için kullanın. Tanımlama bilgisi ayarları hakkında daha fazla bilgi için bkz Microsoft Entra ID'de şirket içi uygulamalara erişim için tanımlama bilgisi ayarları.
    Üst Bilgilerdeki URL'leri çevirme Uygulamanız kimlik doğrulama isteğinde özgün ana bilgisayar üst bilgisini gerektirmediği sürece seçeneği seçili tutun.
    Uygulama Gövdesinde URL'leri çevirme HTML bağlantıları diğer şirket içi uygulamalara sabit kodluysa ve özel etki alanları kullanılmıyorsa seçeneği seçilmemiş halde bırakın. Daha fazla bilgi için bkz Uygulama ara sunucusuyla çeviriyi bağlama.

    Bu uygulamayı Bulut için Microsoft Defender Uygulamalar ile izlemeyi planlıyorsanız seçin. Daha fazla bilgi için Microsoft Defender for Cloud Apps ve Microsoft Entra ID ile gerçek zamanlı uygulama erişim izlemeyi yapılandırma bölümüne bkz.
    Arka Uç TLS Sertifikasını Doğrulama Uygulama için arka uç Aktarım Katmanı Güvenliği (TLS) sertifika doğrulamasını etkinleştirmek için seçin.

  7. Ekle'yi seçin.

Uygulamayı test etme

Uygulamanın doğru eklenip eklenmediğini test etmeye hazırsınız. Aşağıdaki adımlarda uygulamaya bir kullanıcı hesabı ekler ve oturum açmayı denersiniz.

Test için kullanıcı ekleme

Uygulamaya kullanıcı eklemeden önce, kullanıcı hesabının şirket ağı içinden uygulamaya erişim izinleri olduğunu doğrulayın.

Test kullanıcısı eklemek için:

  1. Kurumsal uygulamalar'ı ve ardından test etmek istediğiniz uygulamayı seçin.
  2. Başlarken'i seçin ve ardından Bir kullanıcıyı test için atayın.
  3. Kullanıcılar ve gruplar'ın altında Kullanıcı ekle'yi seçin.
  4. Atama ekle'nin altında Kullanıcılar ve gruplar'ı seçin. Kullanıcılar ve gruplar bölümü görüntülenir.
  5. Eklemek istediğiniz hesabı seçin.
  6. Seç ve ardından Ata'yı seçin.

Oturum açmayı test edin

Uygulamada kimlik doğrulamasını test etmek için:

  1. Test etmek istediğiniz uygulamadan Uygulama Ara Sunucusu'na tıklayın.
  2. Sayfanın üst kısmında Uygulamayı Test Et'i seçerek uygulamada bir test çalıştırın ve yapılandırma sorunlarını denetleyin.
  3. İlk olarak, uygulamada oturum açmayı test etmek için uygulamayı başlatın. Ardından, algılanan sorunların çözüm kılavuzunu gözden geçirmek için tanılama raporunu indirin.

Sorun giderme için bkz . Uygulama ara sunucusu sorunlarını ve hata iletilerini giderme.

Kaynakları temizleme

İşiniz bittiğinde bu öğreticide oluşturduğunuz tüm kaynakları silin.

Sorun giderme

Yaygın sorunlar ve bunların nasıl giderilir hakkında bilgi edinin.

Uygulamayı oluşturma/URL'leri ayarlama

Uygulamanın nasıl düzeltileceğini öğrenmek için hata ayrıntılarını gözden geçirin. Hata iletilerinin çoğu önerilen bir düzeltme içerir. Yaygın hataları önlemek için şunları doğrulayın:

  • Uygulama ara sunucusu uygulaması oluşturma iznine sahip bir yöneticisiniz
  • İç URL benzersizdir
  • Dış URL benzersiz
  • URL'ler http veya https ile başlar ve "/" ile biter
  • URL bir IP adresi değil etki alanı adı olmalıdır

Uygulamayı oluştururken sağ üst köşede hata iletisi görüntülenmelidir. Hata iletilerini görmek için bildirim simgesini de seçebilirsiniz.

Özel etki alanları için sertifikaları yükleyin

Özel etki alanları, dış URL'lerinizin etki alanını belirtmenize olanak sağlar. Özel etki alanlarını kullanmak için, bu etki alanının sertifikasını yüklemek gerekir. Özel etki alanlarını ve sertifikaları kullanma hakkında bilgi için bkz. Microsoft Entra uygulama aracısında özel etki alanlarıyla çalışma.

Sertifikanızı karşıya yüklerken sorunlarla karşılaşıyorsanız, sertifikayla ilgili sorun hakkında ek bilgi için portalda hata iletilerini arayın. Yaygın sertifika sorunları şunlardır:

  • Süresi dolmuş sertifika
  • Sertifika otomatik olarak imzalandı
  • Sertifikada özel anahtar eksik

Sertifikayı karşıya yüklemeye çalışırken sağ üst köşede hata iletisi görüntülenir. Hata iletilerini görmek için bildirim simgesini de seçebilirsiniz.

İlgili içerik

  • Last updated on