Microsoft Entra Id'de uygulama ara sunucusu aracılığıyla uzaktan erişim için şirket içi uygulama ekleme

  • Makale

Microsoft Entra Id, kullanıcıların Microsoft Entra hesaplarıyla oturum açarak şirket içi uygulamalara erişmesini sağlayan bir uygulama ara sunucusu hizmetine sahiptir. Uygulama ara sunucusu hakkında daha fazla bilgi edinmek için bkz . Uygulama ara sunucusu nedir?. Bu öğretici, ortamınızı uygulama ara sunucusuyla kullanmak üzere hazırlar. Ortamınız hazır olduğunda, kiracınıza şirket içi uygulama eklemek için Microsoft Entra yönetim merkezini kullanın.

Uygulama ara sunucusuna Genel Bakış Diyagramı

Bu öğreticide şunları yaptınız:

  • Bağlayıcıyı Windows sunucunuza yükleyip doğrulayın ve uygulama ara sunucusuna kaydeder.
  • Microsoft Entra kiracınıza bir şirket içi uygulama ekleyin.
  • Test kullanıcısının bir Microsoft Entra hesabı kullanarak uygulamada oturum açabildiğini doğrulayın.

Önkoşullar

Microsoft Entra Id'ye şirket içi uygulama eklemek için şunları yapmanız gerekir:

  • Microsoft Entra Id P1 veya P2 aboneliği.
  • Uygulama yöneticisi hesabı.
  • Şirket içi dizine sahip eşitlenmiş kullanıcı kimlikleri kümesi. İsterseniz bunları doğrudan Microsoft Entra kiracılarınızda da oluşturabilirsiniz. Kimlik eşitleme, Microsoft Entra Id'nin kullanıcılara uygulama ara sunucusu tarafından yayımlanan uygulamalara erişim vermeden önce önceden kimlik doğrulaması yapmasına olanak tanır. Eşitleme ayrıca çoklu oturum açma (SSO) gerçekleştirmek için gerekli kullanıcı tanımlayıcı bilgilerini sağlar.
  • Microsoft Entra'da uygulama yönetimi hakkında bilgi için bkz . Microsoft Entra'da kurumsal uygulamaları görüntüleme.
  • Çoklu oturum açma (SSO) hakkında bilgi için bkz . Çoklu oturum açmayı anlama.

Microsoft Entra özel ağ bağlayıcısını yükleme ve doğrulama

Uygulama ara sunucusu, Microsoft Entra Özel Erişim ile aynı bağlayıcıyı kullanır. Bağlayıcıya Microsoft Entra özel ağ bağlayıcısı adı verilir. Bağlayıcıyı yükleme ve doğrulama hakkında bilgi edinmek için bkz . Bağlayıcıları yapılandırma.

Genel açıklamalar

Microsoft Entra uygulama ara sunucu uç noktaları için genel DNS kayıtları, A kaydına işaret eden zincirlenmiş CNAME kayıtlarıdır. Kayıtların bu şekilde ayarlanması hataya dayanıklılık ve esneklik sağlar. Microsoft Entra özel ağ bağlayıcısı her zaman etki alanı sonekleri *.msappproxy.net veya *.servicebus.windows.netile ana bilgisayar adlarına erişir. Ancak, ad çözümlemesi sırasında CNAME kayıtları farklı ana bilgisayar adları ve sonekleri olan DNS kayıtları içerebilir. Aradaki fark nedeniyle cihazın (kurulumunuza bağlı olarak - bağlayıcı sunucusu, güvenlik duvarı, giden ara sunucu) zincirdeki tüm kayıtları çözümleyediğinden ve çözümlenen IP adreslerine bağlanmaya izin verdiğinden emin olmanız gerekir. Zincirdeki DNS kayıtları zaman zaman değiştirilebileceği için size herhangi bir liste DNS kaydı sağlayamıyoruz.

Bağlayıcıları farklı bölgelere yüklerseniz, her bağlayıcı grubuyla en yakın uygulama ara sunucusu bulut hizmeti bölgesini seçerek trafiği iyileştirmeniz gerekir. Daha fazla bilgi edinmek için bkz . Microsoft Entra uygulama ara sunucusu ile trafik akışını iyileştirme.

Kuruluşunuz İnternet'e bağlanmak için ara sunucu kullanıyorsa, bunları uygulama ara sunucusu için yapılandırmanız gerekir. Daha fazla bilgi için bkz . Mevcut şirket içi ara sunucularla çalışma.

Microsoft Entra Id'ye şirket içi uygulama ekleme

Microsoft Entra Id'ye şirket içi uygulamalar ekleyin.

  1. Microsoft Entra yönetim merkezinde en az Uygulama Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.

  3. Yeni uygulama’yı seçin.

  4. Şirket içi uygulamalar bölümünde sayfanın yarısında görünen Şirket içi uygulama ekle düğmesini seçin. Alternatif olarak, sayfanın üst kısmındaki Kendi uygulamanızı oluştur'u ve ardından Şirket içi uygulamaya güvenli uzaktan erişim için uygulama ara sunucusunu yapılandır'ı seçebilirsiniz.

  5. Kendi şirket içi uygulamanızı ekleyin bölümünde uygulamanız hakkında aşağıdaki bilgileri sağlayın:

    Alan Veri Akışı Açıklaması
    Adı Uygulamalarım ve Microsoft Entra yönetim merkezinde görünen uygulamanın adı.
    Bakım Modu Bakım modunu etkinleştirmek ve uygulamaya tüm kullanıcılar için erişimi geçici olarak devre dışı bırakmak isteyip istediğinizi seçin.
    İç URL Uygulamaya özel ağınızın içinden erişim URL'si. Arka uç sunucusundaki belirli bir yolun yayımlanmasını sağlayabilirsiniz. Sunucunun geri kalanı yayımlanmaz. Bu şekilde, farklı uygulamalarla aynı sunucuda farklı siteler yayımlayabilir ve her birine kendi adını ve erişim kurallarını verebilirsiniz.

    Bir yol yayımlarsanız uygulamanıza ilişkin tüm gerekli görüntüleri, betikleri ve stil sayfalarını içerdiğinden emin olun. Örneğin, uygulamanız konumundaysa https://yourapp/app ve konumunda https://yourapp/mediabulunan görüntüleri kullanıyorsa, yol olarak yayımlamanız https://yourapp/ gerekir. Bu iç URL'nin kullanıcılarınızın gördüğü giriş sayfası olması gerekmez. Daha fazla bilgi için bkz . Yayımlanan uygulamalar için özel giriş sayfası ayarlama.
    Dış URL Kullanıcıların uygulamaya ağınızın dışından erişmesi için adres. Varsayılan uygulama ara sunucusu etki alanını kullanmak istemiyorsanız, Microsoft Entra uygulama ara sunucusundaki özel etki alanları hakkında bilgi edinin.
    Ön Kimlik Doğrulaması Uygulama proxy'si, kullanıcıları uygulamanıza erişim vermeden önce nasıl doğrular?

    Microsoft Entra Id - Uygulama proxy'si, kullanıcıları dizin ve uygulama izinlerinin kimliğini doğrulayan Microsoft Entra Kimliği ile oturum açmaya yönlendirir. Koşullu Erişim ve çok faktörlü kimlik doğrulaması gibi Microsoft Entra güvenlik özelliklerinden yararlanabilmeniz için bu seçeneği varsayılan olarak tutmanızı öneririz. Uygulamayı Bulut için Microsoft Defender Uygulamaları ile izlemek için Microsoft Entra Id gereklidir.

    Geçiş - Kullanıcıların uygulamaya erişmek için Microsoft Entra kimliğinde kimlik doğrulaması yapmalarına gerek yoktur. Arka uçta kimlik doğrulama gereksinimlerini ayarlamaya devam edebilirsiniz.
    Bağlan or Grubu Bağlan orlar uygulamanıza uzaktan erişimi işler ve bağlayıcı grupları bağlayıcıları ve uygulamaları bölgeye, ağa veya amaca göre düzenlemenize yardımcı olur. Henüz herhangi bir bağlayıcı grubunuz oluşturulmadıysa, uygulamanız Varsayılan'a atanır.

    Uygulamanız bağlanmak için WebSockets kullanıyorsa, gruptaki tüm bağlayıcıların sürüm 1.5.612.0 veya üzeri olması gerekir.

  6. Gerekirse Ek ayarlar'ı yapılandırın. Çoğu uygulama için bu ayarları varsayılan durumlarında tutmanız gerekir.

    Alan Açıklama
    Arka Uç Uygulaması Zaman Aşımı Bu değeri Yalnızca uygulamanızın kimlik doğrulaması ve bağlantısı yavaşsa Uzun olarak ayarlayın. Varsayılan olarak, arka uç uygulama zaman aşımı 85 saniye uzunluğundadır. Çok uzun ayarlandığında arka uç zaman aşımı 180 saniyeye çıkarılır.
    Yalnızca HTTP Tanımlama Bilgisi Kullanma Uygulama ara sunucusu tanımlama bilgilerinin HTTP yanıt üst bilgisinde HTTPOnly bayrağını içermesini sağlamak için seçin. Uzak Masaüstü Hizmetleri'ni kullanıyorsanız seçeneğin seçili durumdan çıkarılmaması gerekir.
    Kalıcı Tanımlama Bilgisi kullanma Seçeneğin seçili durumdan çıkarılmaması. Bu ayarı yalnızca işlemler arasında tanımlama bilgilerini paylaşabilen uygulamalar için kullanın. Tanımlama bilgisi ayarları hakkında daha fazla bilgi için bkz . Microsoft Entra ID'de şirket içi uygulamalara erişmek için tanımlama bilgisi ayarları.
    Üst Bilgilerdeki URL'leri çevirme Uygulamanız kimlik doğrulama isteğinde özgün ana bilgisayar üst bilgisini gerektirmediği sürece seçeneği seçili tutun.
    Uygulama Gövdesinde URL'leri çevirme HTML bağlantıları diğer şirket içi uygulamalara sabit kodlanmadığı ve özel etki alanları kullanmadığı sürece seçeneğin seçili kalmasını sağlayın. Daha fazla bilgi için bkz . Uygulama ara sunucusu ile çeviriyi bağlama.

    Bu uygulamayı Bulut için Microsoft Defender Uygulamalar ile izlemeyi planlıyorsanız seçin. Daha fazla bilgi için bkz. Bulut için Microsoft Defender Uygulamaları ve Microsoft Entra Id ile gerçek zamanlı uygulama erişim izlemeyi yapılandırma.
    Arka Uç TLS/SSL Sertifikasını Doğrulama Uygulama için arka uç TLS/SSL sertifika doğrulamasını etkinleştirmek için seçin.

  7. Ekle'yi seçin.

Uygulamayı test etme

Uygulamanın doğru şekilde eklendiğini test etmeye hazırsınız. Aşağıdaki adımlarda uygulamaya bir kullanıcı hesabı ekler ve oturum açmayı denersiniz.

Test için kullanıcı ekleme

Uygulamaya kullanıcı eklemeden önce, kullanıcı hesabının şirket ağı içinden uygulamaya erişim izinleri olduğunu doğrulayın.

Test kullanıcısı eklemek için:

  1. Kurumsal uygulamalar'ı ve ardından test etmek istediğiniz uygulamayı seçin.
  2. Başlarken'i ve ardından Test için kullanıcı ata'yı seçin.
  3. Kullanıcılar ve gruplar'ın altında Kullanıcı ekle'yi seçin.
  4. Atama ekle'nin altında Kullanıcılar ve gruplar'ı seçin. Kullanıcı ve gruplar bölümü görüntülenir.
  5. Eklemek istediğiniz hesabı seçin.
  6. Seç'i ve ardından Ata'yı seçin.

Oturum açmayı test edin

Uygulamada kimlik doğrulamasını test etmek için:

  1. Test etmek istediğiniz uygulamadan uygulama ara sunucusunu seçin.
  2. Sayfanın üst kısmında Uygulamayı Test Et'i seçerek uygulamada bir test çalıştırın ve yapılandırma sorunlarını denetleyin.
  3. Uygulamada oturum açmayı test etmek için önce uygulamayı başlattığınızdan emin olun, ardından algılanan sorunların çözüm kılavuzunu gözden geçirmek için tanılama raporunu indirin.

Sorun giderme için bkz . Uygulama ara sunucusu sorunlarını ve hata iletilerini giderme.

Kaynakları temizleme

İşiniz bittiğinde bu öğreticide oluşturduğunuz kaynaklardan herhangi birini silmeyi unutmayın.

Sorun giderme

Yaygın sorunlar ve bunların nasıl giderilir hakkında bilgi edinin.

Uygulamayı Oluşturma/URL'leri Ayarlama

Uygulamanın nasıl düzeltileceğini öğrenmek için hata ayrıntılarını gözden geçirin. Hata iletilerinin çoğu önerilen bir düzeltme içerir. Yaygın hataları önlemek için şunları doğrulayın:

  • Uygulama ara sunucusu uygulaması oluşturma iznine sahip bir yöneticisiniz
  • İç URL benzersizdir
  • Dış URL benzersiz
  • URL'ler http veya https ile başlar ve "/" ile biter
  • URL bir IP adresi değil etki alanı adı olmalıdır

Uygulamayı oluştururken sağ üst köşede hata iletisi görüntülenmelidir. Hata iletilerini görmek için bildirim simgesini de seçebilirsiniz.

Özel etki alanları için sertifikaları karşıya yükleme

Özel Etki Alanları, dış URL'lerinizin etki alanını belirtmenize olanak sağlar. Özel etki alanlarını kullanmak için bu etki alanının sertifikasını karşıya yüklemeniz gerekir. Özel etki alanlarını ve sertifikaları kullanma hakkında bilgi için bkz . Microsoft Entra uygulama ara sunucusunda özel etki alanlarıyla çalışma.

Sertifikanızı karşıya yüklerken sorunlarla karşılaşıyorsanız, sertifikayla ilgili sorun hakkında ek bilgi için portalda hata iletilerini arayın. Yaygın sertifika sorunları şunlardır:

  • Süresi dolmuş sertifika
  • Sertifika otomatik olarak imzalandı
  • Sertifikada özel anahtar eksik

Sertifikayı karşıya yüklemeye çalışırken sağ üst köşede hata iletisi görüntülenir. Hata iletilerini görmek için bildirim simgesini de seçebilirsiniz.

Sonraki adımlar