Aracılığıyla paylaş

Microsoft uygulama ara sunucusu kullanılarak uzak kullanıcılar için şirket içi uygulamaları yayımlama

  • Makale

Microsoft Entra uygulama ara sunucusu, şirket içi web uygulamalarına güvenli uzaktan erişim sağlar. Microsoft Entra Id'de çoklu oturum açma işleminden sonra kullanıcılar dış URL veya iç uygulama portalı aracılığıyla hem bulut uygulamalarına hem de şirket içi uygulamalara erişebilir. Örneğin, uygulama ara sunucusu Uzak Masaüstü, SharePoint, Teams, Tableau, Qlik ve iş kolu (LOB) uygulamalarına uzaktan erişim ve çoklu oturum açma sağlayabilir.

Microsoft Entra uygulama ara sunucusu:

  • Kullanımı basit. Kullanıcılar şirket içi uygulamalarınıza, Microsoft 365'e ve Microsoft Entra Id ile tümleştirilmiş diğer SaaS uygulamalarına erişdikleri gibi erişebilir. Uygulama ara sunucusuyla çalışmak için uygulamalarınızı değiştirmeniz veya güncelleştirmeniz gerekmez.

  • Güvenlik. Şirket içi uygulamalar Azure'ın yetkilendirme denetimlerini ve güvenlik analizini kullanabilir. Örneğin, şirket içi uygulamalar Koşullu Erişim ve iki aşamalı doğrulamayı kullanabilir. Uygulama ara sunucusu, güvenlik duvarınız aracılığıyla gelen bağlantıları açmanızı gerektirmez.

  • Uygun maliyetli. Şirket içi çözümler genellikle, arındırılmış bölgeleri (DMZ'ler), uç sunucuları veya diğer karmaşık altyapıları ayarlamanızı ve korumanızı gerektirir. Uygulama proxy'si bulutta çalışır ve bu da kullanımı kolaylaştırır. Uygulama ara sunucusunu kullanmak için ağ altyapısını değiştirmeniz veya şirket içi ortamınıza daha fazla alet yüklemeniz gerekmez.

İpucu

Microsoft Entra Id'niz zaten varsa, şirket içi uygulamalarınıza sorunsuz ve güvenli erişim sağlamak için tek bir kontrol düzlemi olarak kullanabilirsiniz.

Kapsamlı olmasa da, aşağıdaki listede karma bir birlikte kullanım senaryosunda uygulama proxy'si kullanma örnekleri gösterilmektedir:

  • Şirket içi web uygulamalarını DMZ olmadan basitleştirilmiş bir şekilde harici olarak yayımlama
  • Bulutta ve şirket içinde cihazlar, kaynaklar ve uygulamalar arasında çoklu oturum açmayı (SSO) destekleme
  • Buluttaki ve şirket içindeki uygulamalar için çok faktörlü kimlik doğrulamasını destekleme
  • Microsoft Bulut'un güvenliğiyle bulut özelliklerinden hızlı bir şekilde yararlanma
  • Kullanıcı hesabı yönetimini merkezileştirme
  • Kimlik ve güvenlik denetimini merkezileştirme
  • Grup üyeliğine göre uygulamalara kullanıcı erişimini otomatik olarak ekleme veya kaldırma

Bu makalede, Microsoft Entra Id ve uygulama proxy'lerinin uzak kullanıcılara nasıl çoklu oturum açma (SSO) deneyimi sağladığı açıklanmaktadır. Kullanıcılar VPN veya çift konaklı sunucular ve güvenlik duvarı kuralları olmadan şirket içi uygulamalara güvenle bağlanır. Bu makale, uygulama ara sunucusunun bulut özelliklerini ve güvenlik avantajlarını şirket içi web uygulamalarınıza nasıl getirdiğini anlamanıza yardımcı olur. Mümkün olan mimari ve topolojileri de açıklar.

İpucu

Uygulama ara sunucusu hem bulutta çalışan uygulama ara sunucusu hizmetini hem de şirket içi sunucuda çalışan özel ağ bağlayıcısını içerir. Microsoft Entra Id, uygulama ara sunucusu hizmeti ve özel ağ bağlayıcısı birlikte çalışarak kullanıcı oturum açma belirtecini Microsoft Entra Id'den web uygulamasına güvenli bir şekilde geçirir.

Uygulama proxy'si ile çalışır:

  • Kimlik doğrulaması için Tümleşik Windows kimlik doğrulaması kullanan web uygulamaları
  • Form tabanlı veya üst bilgi tabanlı erişim kullanan web uygulamaları
  • Farklı cihazlardaki zengin uygulamalara göstermek istediğiniz Web API'leri
  • Uzak Masaüstü Ağ Geçidi arkasında barındırılan uygulamalar
  • Microsoft Kimlik Doğrulama Kitaplığı (MSAL) ile tümleştirilmiş zengin istemci uygulamaları

Uygulama ara sunucusu çoklu oturum açmayı destekler. Desteklenen yöntemler hakkında daha fazla bilgi için bkz . Çoklu oturum açma yöntemi seçme.

Geçmişte uzaktan erişim

Daha önce, uzak kullanıcıların erişimini kolaylaştırırken iç kaynakları saldırganlardan korumaya yönelik kontrol düzleminizin tümü DMZ veya çevre ağındaydı. Ancak dış istemciler tarafından şirket kaynaklarına erişmek için kullanılan DMZ'de dağıtılan VPN ve ters proxy çözümleri bulut dünyasına uygun değildir. Genellikle aşağıdaki dezavantajlardan muzdariptir:

  • Donanım maliyetleri
  • Güvenliği koruma (düzeltme eki uygulama, bağlantı noktalarını izleme vb.)
  • Uçta kullanıcıların kimliğini doğrulama
  • Çevre ağındaki web sunucularında kullanıcıların kimliğini doğrulama
  • VPN istemci yazılımının dağıtımı ve yapılandırması ile uzak kullanıcılar için VPN erişimini koruma. Ayrıca, DMZ'de etki alanına katılmış sunucuların bakımını yapmak, dış saldırılara karşı savunmasız olabilir.

Günümüzün bulut öncelikli dünyasında Microsoft Entra ID, ağınıza kimlerin ve nelerin dahil olduğunu denetlemek için en uygun yöntemdir. Microsoft Entra uygulama ara sunucusu, SaaS uygulamaları ve kimlik sağlayıcıları gibi modern kimlik doğrulaması ve bulut tabanlı teknolojilerle tümleşir. Bu tümleştirme, kullanıcıların uygulamalara her yerden erişmesini sağlar. Uygulama ara sunucusu günümüzün dijital çalışma alanı için daha uygun olduğu gibi, VPN ve ters ara sunucu çözümlerinden daha güvenlidir ve uygulanması daha kolaydır. Uzak kullanıcılar, şirket içi uygulamalarınıza Microsoft'a ve Microsoft Entra Id ile tümleştirilmiş diğer SaaS uygulamalarına erişdikleri gibi erişebilir. Uygulama ara sunucusuyla çalışmak için uygulamalarınızı değiştirmeniz veya güncelleştirmeniz gerekmez. Ayrıca uygulama ara sunucusu, güvenlik duvarınız üzerinden gelen bağlantıları açmanızı gerektirmez. Uygulama ara sunucusu ile bunu ayarlamanız ve unutmanız yeterlidir.

Uzaktan erişimin geleceği

Günümüzün dijital çalışma alanında kullanıcılar her yerde birden fazla cihaz ve uygulamayla çalışır. Tek sabit kullanıcı kimliğidir. Bu nedenle bugün güvenli bir ağın ilk adımı, güvenlik denetim düzleminiz olarak Microsoft Entra kimlik yönetimi özelliklerini kullanmaktır. Denetim düzleminiz olarak kimlik kullanan bir model genellikle aşağıdaki bileşenlerden oluşur:

  • Kullanıcıları ve kullanıcıyla ilgili bilgileri izlemek için bir kimlik sağlayıcısı.
  • Şirket kaynaklarına erişimi olan cihazların listesini tutmak için cihaz dizini. Bu dizin, ilgili cihaz bilgilerini (örneğin, cihaz türü, bütünlük vb.) içerir.
  • Bir kullanıcı ve cihazın güvenlik yöneticileri tarafından belirlenen ilkeye uygun olup olmadığını belirlemek için ilke değerlendirme hizmeti.
  • Kuruluş kaynaklarına erişim verme veya erişimi reddetme olanağı.

Uygulama ara sunucusu ile Microsoft Entra Id, şirket içinde ve bulutta yayımlanan web uygulamalarına erişmesi gereken kullanıcıları izler. Bu uygulamalar için merkezi bir yönetim noktası sağlar. Gerekli olmasa da, Microsoft Entra Koşullu Erişim'i de etkinleştirmeniz önerilir. Kullanıcıların kimlik doğrulaması ve erişim elde etme koşulları tanımlayarak, uygulamalarınıza doğru kişilerin erişmesini daha da sağlarsınız.

Not

Microsoft Entra uygulama ara sunucusunun, iç kaynaklara erişmesi gereken dolaşım (veya uzak) kullanıcılar için VPN veya ters proxy değişimi olarak tasarlandığını anlamak önemlidir. Şirket ağındaki iç kullanıcılara yönelik değildir. Uygulama ara sunucusunu gereksiz yere kullanan iç kullanıcılar beklenmeyen ve istenmeyen performans sorunlarına neden olabilir.

Microsoft Entra Id ve tüm uygulamalarınız

Uygulama ara sunucusunun çalışma şekline genel bakış

Diyagramda, Şirket içi uygulamalarda çoklu oturum açma sağlamak için Microsoft Entra Kimliği ve uygulama ara sunucusunun birlikte nasıl çalıştığı gösterilmektedir.

Microsoft Entra uygulama ara sunucusunun diyagramı.

  1. Bir kullanıcı, uygulamaya bir uç nokta üzerinden erişildikten sonra Microsoft Entra oturum açma sayfasına yönlendirilir.
  2. Microsoft Entra Id, başarılı bir oturum açma işleminin ardından kullanıcının istemci cihazına bir belirteç gönderir.
  3. İstemci, belirteci uygulama ara sunucusu hizmetine gönderir. Hizmet, belirteçten kullanıcı asıl adını (UPN) ve güvenlik asıl adını (SPN) alır. Uygulama ara sunucusu daha sonra isteği bağlayıcıya gönderir.
  4. Bağlayıcı, kullanıcı adına gereken çoklu oturum açma (SSO) kimlik doğrulamasını gerçekleştirir.
  5. Bağlayıcı, isteği şirket içi uygulamaya gönderir.
  6. Yanıt, bağlayıcı ve uygulama ara sunucusu hizmeti aracılığıyla kullanıcıya gönderilir.

Not

Çoğu Microsoft Entra karma aracısında olduğu gibi özel ağ bağlayıcısı da güvenlik duvarınız üzerinden gelen bağlantıları açmanızı gerektirmez. 3. adımdaki kullanıcı trafiği uygulama ara sunucusu hizmetinde sonlanır. İletişimin geri kalanından, özel ağınızda bulunan özel ağ bağlayıcısı sorumludur.

Bileşen Veri Akışı Açıklaması
Uç nokta Uç nokta bir URL veya son kullanıcı portalıdır. Kullanıcılar, dış URL'ye erişerek ağınızın dışındaki uygulamalara erişebilir. Ağınızdaki kullanıcılar uygulamaya bir URL veya son kullanıcı portalı üzerinden erişebilir. Kullanıcılar bu uç noktalardan birine gittiği zaman Microsoft Entra Kimliği'nde kimlik doğrulaması yapar ve bağlayıcı aracılığıyla şirket içi uygulamaya yönlendirilir.
Microsoft Entra Kimlik Microsoft Entra Id, bulutta depolanan kiracı dizinini kullanarak kimlik doğrulamasını gerçekleştirir.
Uygulama ara sunucusu hizmeti Bu uygulama ara sunucusu hizmeti, Microsoft Entra Id'nin bir parçası olarak bulutta çalışır. Oturum açma belirtecini kullanıcıdan özel ağ bağlayıcısına geçirir. Uygulama ara sunucusu, istekteki erişilebilir üst bilgileri iletir ve üst bilgileri protokolüne göre istemci IP adresine ayarlar. Ara sunucuya gelen istekte zaten bu üst bilgi varsa, istemci IP adresi üst bilginin değeri olan virgülle ayrılmış listenin sonuna eklenir.
Özel ağ bağlayıcısı Bağlayıcı, ağınızdaki bir Windows Server üzerinde çalışan basit bir aracıdır. Bağlayıcı, buluttaki uygulama ara sunucusu hizmeti ile şirket içi uygulama arasındaki iletişimi yönetir. Bağlayıcı yalnızca giden bağlantıları kullandığından, İnternet'e yönelik ağlarda gelen bağlantı noktalarını açmanız gerekmez. Bağlayıcılar durum bilgisi yoktur ve gerektiğinde buluttan bilgi çeker. Yük dengeleme ve kimlik doğrulaması gibi bağlayıcılar hakkında daha fazla bilgi için bkz . Microsoft Entra özel ağ bağlayıcılarını anlama.
Active Directory (AD) Active Directory, etki alanı hesapları için kimlik doğrulaması gerçekleştirmek üzere şirket içinde çalışır. Çoklu oturum açma yapılandırıldığında bağlayıcı, ek kimlik doğrulaması yapmak için AD ile iletişim kurar.
Şirket içi uygulama Son olarak, kullanıcı şirket içi bir uygulamaya erişebilir.

Uygulama ara sunucusu, Microsoft Entra yönetim merkezinde yapılandırdığınız bir Microsoft Entra hizmetidir. Azure Bulut'ta kuruluşunuzdaki bir iç uygulama sunucusu URL'sine bağlanan bir dış genel HTTP/HTTPS URL uç noktası yayımlamanıza olanak tanır. Bu şirket içi web uygulamaları, çoklu oturum açmayı desteklemek için Microsoft Entra ID ile tümleştirilebilir. Kullanıcılar daha sonra şirket içi web uygulamalarına Microsoft 365 ve diğer SaaS uygulamalarına erişebilecekleri şekilde erişebilir.

Bu özelliğin bileşenleri bulutta çalışan uygulama ara sunucusu hizmetini, şirket içi sunucuda çalışan basit bir aracı olan özel ağ bağlayıcısını ve kimlik sağlayıcısı olan Microsoft Entra Kimliğini içerir. Üç bileşen de birlikte çalışarak kullanıcıya şirket içi web uygulamalarına erişmek için çoklu oturum açma deneyimi sağlar.

Kullanıcı kimlik doğrulamasından sonra dış kullanıcılar, masaüstü veya iOS/MAC cihazlarından bir görüntüleme URL'si veya Uygulamalarım kullanarak şirket içi web uygulamalarına erişebilir. Örneğin, uygulama ara sunucusu Uzak Masaüstü, SharePoint siteleri, Tableau, Qlik, Web üzerinde Outlook ve iş kolu (LOB) uygulamalarına uzaktan erişim ve çoklu oturum açma sağlayabilir.

Microsoft Entra uygulama ara sunucusu mimarisi

Kimlik Doğrulaması

Bir uygulamayı çoklu oturum açma için yapılandırmanın çeşitli yolları vardır ve seçtiğiniz yöntem, uygulamanızın kullandığı kimlik doğrulamasına bağlıdır. Uygulama ara sunucusu aşağıdaki uygulama türlerini destekler:

  • Web uygulamaları
  • Farklı cihazlardaki zengin uygulamalara göstermek istediğiniz Web API'leri
  • Uzak Masaüstü Ağ Geçidi arkasında barındırılan uygulamalar
  • Microsoft Kimlik Doğrulama Kitaplığı (MSAL) ile tümleştirilmiş zengin istemci uygulamaları

Uygulama proxy'si aşağıdaki yerel kimlik doğrulama protokollerini kullanan uygulamalarla çalışır:

Uygulama ara sunucusu, üçüncü taraf tümleştirmesi veya belirli yapılandırma senaryolarında aşağıdaki kimlik doğrulama protokollerini de destekler:

  • Üst bilgi tabanlı kimlik doğrulaması. Bu oturum açma yöntemi PingAccess adlı bir üçüncü taraf kimlik doğrulama hizmeti kullanır ve uygulama kimlik doğrulaması için üst bilgileri kullandığında kullanılır. Bu senaryoda kimlik doğrulaması PingAccess tarafından işlenir.
  • Formlar veya parola tabanlı kimlik doğrulaması. Bu kimlik doğrulama yöntemiyle, kullanıcılar uygulamaya ilk erişişinde bir kullanıcı adı ve parolayla uygulamada oturum açar. İlk oturum açma işleminden sonra, Microsoft Entra Id uygulamaya kullanıcı adını ve parolayı sağlar. Bu senaryoda, kimlik doğrulaması Microsoft Entra Id tarafından işlenir.
  • SAML kimlik doğrulaması. SAML tabanlı çoklu oturum açma, SAML 2.0 veya WS-Federasyon protokollerini kullanan uygulamalar için desteklenir. SAML çoklu oturum açma özelliğiyle Microsoft Entra, kullanıcının Microsoft Entra hesabını kullanarak uygulamada kimlik doğrulaması yapar.

Desteklenen yöntemler hakkında daha fazla bilgi için bkz . Çoklu oturum açma yöntemi seçme.

Güvenlik avantajları

Uygulama ara sunucusu ve Microsoft Entra tarafından sunulan uzaktan erişim çözümü, müşterilerin yararlanabileceği çeşitli güvenlik avantajlarını destekler:

  • Kimliği doğrulanmış erişim. Uygulama ara sunucusu, ağınıza yalnızca kimliği doğrulanmış bağlantıların isabet etmesini sağlamak için ön kimlik doğrulaması ile uygulama yayımlamak için uygundur. Ön kimlik doğrulaması ile yayımlanan uygulamalar için geçerli bir belirteç olmadan uygulama ara sunucusu hizmetinden şirket içi ortamınıza trafik geçmesine izin verilmez. Ön kimlik doğrulaması, doğası gereği, yalnızca kimliği doğrulanmış kimlikler arka uç uygulamasına erişebildiği için çok sayıda hedeflenen saldırıyı engeller.

  • Koşullu Erişim. Ağınıza bağlantılar kurulmadan önce daha zengin ilke denetimleri uygulanabilir. Koşullu Erişim ile, arka uç uygulamanıza çarpmasına izin veren trafik üzerinde kısıtlamalar tanımlayabilirsiniz. Konum, kimlik doğrulamasının gücü ve kullanıcı riski profili temelinde oturum açma işlemlerini kısıtlayan ilkeler oluşturursunuz. Koşullu Erişim geliştikçe, Bulut için Microsoft Defender Uygulamalarıyla tümleştirme gibi ek güvenlik sağlamak için daha fazla denetim eklenmektedir. Bulut için Defender Uygulamaları tümleştirmesi, Koşullu Erişim ilkelerine göre oturumları gerçek zamanlı olarak izlemek ve denetlemek için Koşullu Erişim'i kullanarak gerçek zamanlı izleme için şirket içi bir uygulama yapılandırmanıza olanak tanır.

  • Trafik sonlandırma. Arka uç uygulamasına gelen tüm trafik, oturum arka uç sunucusuyla yeniden oluşturulurken buluttaki uygulama ara sunucusu hizmetinde sonlandırılır. Bu bağlantı stratejisi, arka uç sunucularınızın doğrudan HTTP trafiğine maruz kalmadığı anlamına gelir. Güvenlik duvarınız saldırı altında olmadığından hedeflenen DoS (hizmet reddi) saldırılarına karşı daha iyi korunurlar.

  • Tüm erişim giden erişimdir. Özel ağ bağlayıcıları yalnızca 80 ve 443 bağlantı noktaları üzerinden buluttaki uygulama ara sunucusu hizmetine giden bağlantıları kullanır. Gelen bağlantı olmadığında, DMZ'de gelen bağlantılar veya bileşenler için güvenlik duvarı bağlantı noktalarını açmanız gerekmez. Tüm bağlantılar giden ve güvenli bir kanal üzerinden gerçekleştirilen bağlantılardır.

  • Güvenlik Analizi ve Makine Öğrenmesi (ML) tabanlı zeka. Microsoft Entra Id'nin bir parçası olduğundan, uygulama ara sunucusu Microsoft Entra Kimlik Koruması kullanabilir (Premium P2 lisansı gerektirir). Microsoft Entra Kimlik Koruması, makine öğrenmesi güvenlik zekasını Microsoft'un veri akışlarıyla birleştirirGüvenliği aşılmış hesapları proaktif olarak belirlemek için Dijital Suçlar Birimi ve Microsoft Güvenlik Yanıt Merkezi. Kimlik Koruması, yüksek riskli oturum açma işlemlerine karşı gerçek zamanlı koruma sunar. Bir oturumun risk profilini artırmak için virüslü cihazlardan, anonim ağlardan veya atipik ve olası konumlardan erişim gibi faktörleri dikkate alır. Bu risk profili gerçek zamanlı koruma için kullanılır. Bu raporların ve olayların birçoğu SIEM sistemlerinizle tümleştirme için bir API aracılığıyla zaten kullanılabilir.

  • Hizmet olarak uzaktan erişim. Uzaktan erişimi etkinleştirmek için şirket içi sunucuların bakımını yapma ve düzeltme eki uygulama konusunda endişelenmeniz gerekmez. Uygulama ara sunucusu, Microsoft'un sahip olduğu bir internet ölçek hizmetidir, bu nedenle her zaman en son güvenlik düzeltme eklerini ve yükseltmeleri alırsınız. Eşleşmeyen yazılımlar yine de çok sayıda saldırıyı ifade eder. İç Güvenlik Bakanlığı'na göre hedeflenen saldırıların yüzde 85'i önlenebilir. Bu hizmet modeliyle artık uç sunucularınızı yönetmenin ağır yükünü taşımanız ve gerektiğinde yama uygulamak için çabalamanız gerekmez.

  • Intune tümleştirmesi. Intune ile kurumsal trafik, kişisel trafikten ayrı olarak yönlendirilir. Uygulama ara sunucusu, şirket trafiğinin kimliğinin doğrulanmasını sağlar. Uygulama ara sunucusu ve Intune Managed Browser özelliği, uzak kullanıcıların iOS ve Android cihazlardan iç web sitelerine güvenli bir şekilde erişmesini sağlamak için birlikte de kullanılabilir.

Buluta yol haritası

Uygulama ara sunucusu uygulamanın bir diğer önemli avantajı da Microsoft Entra Id'yi şirket içi ortamınıza genişletmektir. Aslında uygulama ara sunucusu uygulamak, kuruluşunuzu ve uygulamalarınızı buluta taşımanın önemli bir adımıdır. Buluta geçerek ve şirket içi kimlik doğrulamasından uzaklaşarak şirket içi ayak izinizi azaltır ve Microsoft Entra kimlik yönetimi özelliklerini kontrol düzleminiz olarak kullanırsınız. Mevcut uygulamalarda en az güncelleştirme veya hiç güncelleştirme olmadığında çoklu oturum açma, çok faktörlü kimlik doğrulaması ve merkezi yönetim gibi bulut özelliklerine erişebilirsiniz. Gerekli bileşenleri uygulama ara sunucusuna yüklemek, uzaktan erişim çerçevesi oluşturmaya yönelik basit bir işlemdir. Buluta geçerek, yüksek kullanılabilirlik ve olağanüstü durum kurtarma gibi en son Microsoft Entra özelliklerine, güncelleştirmelerine ve işlevlerine erişebilirsiniz.

Uygulamalarınızı Microsoft Entra ID'ye geçirme hakkında daha fazla bilgi edinmek için bkz . Uygulamalarınızı Microsoft Entra Id'ye Geçirme.

Mimari

Diyagramda genel olarak Microsoft Entra kimlik doğrulama hizmetleri ve uygulama ara sunucusunun kullanıcılara şirket içi uygulamalarda çoklu oturum açma sağlamak için birlikte nasıl çalıştığı gösterilmektedir.

Microsoft Entra uygulama ara sunucusu kimlik doğrulama akışı

  1. Kullanıcı uygulamaya bir uç nokta üzerinden erişdikten sonra, kullanıcı Microsoft Entra oturum açma sayfasına yönlendirilir. Koşullu Erişim ilkelerini yapılandırdıysanız, kuruluşunuzun güvenlik gereksinimlerine uyduğunuzdan emin olmak için şu anda belirli koşullar denetlenmektedir.
  2. Başarılı bir oturum açma işleminin ardından Microsoft Entra Id kullanıcının istemci cihazına bir belirteç gönderir.
  3. İstemci, belirteci uygulama ara sunucusu hizmetine gönderir. Bu hizmet, belirteçten kullanıcı asıl adını (UPN) ve güvenlik asıl adını (SPN) alır.
  4. Uygulama ara sunucusu, özel ağ bağlayıcısı tarafından alınan isteği iletir.
  5. Bağlayıcı, kullanıcı adına gereken tüm ek kimlik doğrulamalarını gerçekleştirir (Kimlik doğrulama yöntemine bağlı olarak isteğe bağlı), uygulama sunucusunun iç uç noktasını ister ve isteği şirket içi uygulamaya gönderir.
  6. Uygulama sunucusundan gelen yanıt, bağlayıcı aracılığıyla uygulama ara sunucusu hizmetine gönderilir.
  7. Yanıt, uygulama ara sunucusu hizmetinden kullanıcıya gönderilir.

Microsoft Entra uygulama ara sunucusu, bulut tabanlı uygulama ara sunucusu hizmetinden ve şirket içi bağlayıcıdan oluşur. Bağlayıcı, uygulama ara sunucusu hizmetinden gelen istekleri dinler ve iç uygulamalara yönelik bağlantıları işler. Tüm iletişimlerin TLS üzerinden gerçekleştiğini ve her zaman uygulama ara sunucusu hizmetine yönelik bağlayıcıdan kaynaklandığını unutmayın. Yani, iletişimler yalnızca gidendir. Bağlayıcı, tüm çağrılarda uygulama ara sunucusu hizmetinde kimlik doğrulaması yapmak için bir istemci sertifikası kullanır. Bağlantı güvenliği için tek özel durum, istemci sertifikasının oluşturulduğu ilk kurulum adımıdır. Daha fazla ayrıntı için arka planda uygulama ara sunucusuna bakın.

Microsoft Entra özel ağ bağlayıcısı

Uygulama proxy'si Microsoft Entra özel ağ bağlayıcısını kullanır. Aynı bağlayıcı Microsoft Entra Özel Erişim tarafından kullanılır. Bağlayıcılar hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra özel ağ bağlayıcısı.

Diğer kullanım örnekleri

Bu noktaya kadar, tüm bulut ve şirket içi uygulamalarınızda çoklu oturum açmayı etkinleştirirken şirket içi uygulamaları harici olarak yayımlamak için uygulama ara sunucusunu kullanmaya odaklandık. Ancak, uygulama ara sunucusu için bahsetmeye değer başka kullanım örnekleri de vardır. Bu ölçümler şunlardır:

  • REST API'lerini güvenli bir şekilde yayımlayın. Şirket içinde çalışan veya buluttaki sanal makinelerde barındırılan iş mantığınız veya API'leriniz varsa, uygulama ara sunucusu API erişimi için genel bir uç nokta sağlar. API uç noktası erişimi, gelen bağlantı noktalarına gerek kalmadan kimlik doğrulama ve yetkilendirmeyi denetlemenize olanak tanır. Intune kullanan masaüstü bilgisayarlar, iOS, MAC ve Android cihazlar için çok faktörlü kimlik doğrulaması ve cihaz tabanlı Koşullu Erişim gibi Microsoft Entra ID P1 veya P2 özellikleri aracılığıyla ek güvenlik sağlar. Daha fazla bilgi edinmek için bkz . Yerel istemci uygulamalarının ara sunucu uygulamalarıyla etkileşim kurmasını etkinleştirme ve Microsoft Entra Id ve API Management ile OAuth 2.0 kullanarak BIR API'yi koruma.
  • Uzak Masaüstü Hizmetleri(RDS). Standart RDS dağıtımları için açık gelen bağlantılar gerekir. Ancak, uygulama ara sunucusu ile RDS dağıtımının bağlayıcı hizmetini çalıştıran sunucudan kalıcı bir giden bağlantısı vardır. Bu şekilde, Uzak Masaüstü Hizmetleri aracılığıyla şirket içi uygulamaları yayımlayarak kullanıcılara daha fazla uygulama sunabilirsiniz. Ayrıca sınırlı sayıda iki aşamalı doğrulama ve RDS'ye Koşullu Erişim denetimleri ile dağıtımın saldırı yüzeyini azaltabilirsiniz.
  • WebSockets kullanarak bağlanan uygulamaları yayımlayın. Qlik Sense desteği Genel Önizleme aşamasındadır ve gelecekte diğer uygulamalara genişletilecektir.
  • Yerel istemci uygulamalarının ara sunucu uygulamalarıyla etkileşim kurmasını sağlama. Web uygulamalarını yayımlamak için Microsoft Entra uygulama proxy'sini kullanabilirsiniz, ancak Microsoft Kimlik Doğrulama Kitaplığı (MSAL) ile yapılandırılmış yerel istemci uygulamalarını yayımlamak için de kullanılabilir. Yerel istemci uygulamaları web uygulamalarından farklıdır çünkü bunlar bir cihazda yüklüdür ve web uygulamalarına tarayıcı üzerinden erişilir.

Sonuç

Çalışma şeklimiz ve kullandığımız araçlar hızla değişiyor. Daha fazla çalışanın kendi cihazlarını işe getirmesi ve Hizmet Olarak Yazılım (SaaS) uygulamalarının sürekli kullanımı sayesinde kuruluşların verilerini yönetme ve güvenli hale getirme yöntemleri de gelişmelidir. Şirketler artık yalnızca kendi duvarları içinde faaliyet gösterememektedir ve sınırı çevreleyen hendeklerle korunmaktadır. Veriler, hem şirket içi hem de bulut ortamlarında her zamankinden daha fazla konuma seyahat eder. Bu gelişim, kullanıcıların üretkenliğini ve işbirliği yapma becerisini artırmaya yardımcı olmakla birlikte hassas verilerin korunmasını da daha zor hale getirmiştir.

İster şu anda karma bir birlikte kullanım senaryosundaki kullanıcıları yönetmek için Microsoft Entra ID kullanıyor olun, ister bulut yolculuğunuza başlamakla ilgileniyor olun, Microsoft Entra uygulama ara sunucusunu uygulamak, hizmet olarak uzaktan erişim sağlayarak şirket içi ayak izinizin boyutunu azaltmaya yardımcı olabilir.

Kuruluşlar, aşağıdaki avantajlardan yararlanmak için uygulama ara sunucularından yararlanmaya bugün başlamalıdır:

  • Geleneksel VPN veya diğer şirket içi web yayımlama çözümlerini ve DMZ yaklaşımını koruma ek yükü olmadan şirket içi uygulamaları harici olarak yayımlama
  • Microsoft 365 veya diğer SaaS uygulamaları ve şirket içi uygulamalar dahil olmak üzere tüm uygulamalarda çoklu oturum açma
  • Microsoft Entra'nın yetkisiz erişimi önlemek için Microsoft 365 telemetriden yararlandığı bulut ölçeği güvenliği
  • Şirket trafiğinin kimliğinin doğrulandığından emin olmak için Intune tümleştirmesi
  • Kullanıcı hesabı yönetiminin merkezileştirilmesi
  • En son güvenlik düzeltme eklerine sahip olduğunuzdan emin olmak için otomatik güncelleştirmeler
  • Piyasaya sürüldükçe yeni özellikler; en son SAML çoklu oturum açma desteği ve uygulama tanımlama bilgilerinin daha ayrıntılı yönetimi

Sonraki adımlar