WAP'i ters web proxy'si olarak kullanma

  • 10 dakika

Web Uygulaması Ara Sunucusu bir Uzaktan Erişim rol hizmetidir. Bu rol hizmeti ters web proxy'si olarak çalışır ve İnternet'te bulunan kullanıcılara şirket içi web uygulamalarına veya Uzak Masaüstü Ağ Geçidi sunucularına erişim sağlar. Web Uygulama Ara Sunucusu, internet kullanıcılarının önceden kimlik doğrulamasını gerçekleştirmek için AD FS kullanabilir ve talep farkındalığına sahip uygulamaları yayımlamak için bir AD FS proxy'si olarak görev yapar.

Uyarı

Talep kullanan bir uygulama, kullanıcı yetkilendirmesinin bir parçası olarak grup üyeliği, e-posta adresi, departman veya şirket gibi kullanıcı hakkındaki tüm bilgileri kullanabilir.

Web Uygulaması Proxy'sini yüklemeden önce, önkoşul olarak AD FS'yi dağıtmanız gerekir. Web Uygulaması proxy'si, kimlik doğrulama hizmetleri için AD FS kullanır. AD FS tarafından sağlanan bir özellik SSO işlevselliğidir. Bu, kullanıcıların kurumsal web uygulamasına bir kez erişmek için kimlik bilgilerini girmeleri durumunda, kurumsal web uygulamasına daha sonra erişmek için kimlik bilgilerini yeniden girmelerinin istenmediği anlamına gelir. Ad FS'yi, kullanıcılar uygulamayla iletişim kurmadan önce Web Uygulaması Ara Sunucusu'nda kullanıcıların kimliğini doğrulamak için de kullanabilirsiniz.

Web Uygulaması Ara Sunucusu'nu iki güvenlik duvarı cihazı arasında çevre ağına yerleştirmek tipik bir yapılandırmadır. YAYıMLANAN AD FS sunucusu ve uygulamaları şirket ağında bulunur ve etki alanı denetleyicileri ve diğer iç sunucularla birlikte ikinci güvenlik duvarı tarafından korunur. Bu senaryo, İnternet'te bulunan kullanıcılar için kurumsal uygulamalara güvenli erişim sağlar ve aynı zamanda kurumsal BT altyapısını internet üzerindeki güvenlik tehditlerine karşı korur.

Tipik bir WAP mimarisini görüntüleyen diyagram.

Web Uygulaması Ara Sunucusu için kimlik doğrulama seçenekleri

Web Uygulaması Ara Sunucusu'nda bir uygulamayı yapılandırırken, ön kimlik doğrulama türünü seçmeniz gerekir. AD FS ön kimlik doğrulamasını veya doğrudan ön kimlik doğrulamayı seçebilirsiniz. AD FS ön kimlik doğrulaması daha fazla özellik ve avantaj sağlar, ancak doğrudan ön kimlik doğrulaması tüm web uygulamalarıyla uyumludur.

AD FS ön kimlik doğrulaması

AD FS ön kimlik doğrulaması, talep tabanlı kimlik doğrulaması kullanan web uygulamaları için AD FS kullanır. Bir kullanıcı kurumsal web uygulamasına bağlantı başlattığında, kullanıcının bağlanıldığı ilk giriş noktası Web Uygulaması Ara Sunucusu'dur. Web Uygulaması Ara Sunucusu, AD FS sunucusundaki kullanıcıyı önceden doğrular. Kimlik doğrulaması başarılı olursa, Web Uygulaması Ara Sunucusu, uygulamanın barındırıldığı şirket ağındaki web sunucusuna bir bağlantı kurar.

AD FS ön kimlik doğrulamasını kullanarak web uygulamasına yalnızca yetkili kullanıcıların veri paketleri gönderediğinden emin olursunuz. Bu, bilgisayar korsanlarının kimlik doğrulamasından önce web uygulaması açıklarından yararlanmasını önler. AD FS ön kimlik doğrulaması, bir web uygulaması için saldırı yüzeyini önemli ölçüde azaltır.

Doğrudan ön kimlik doğrulaması

Doğrudan ön kimlik doğrulaması, kimlik doğrulaması için AD FS kullanmaz veya Web Uygulaması Proxy'si kullanıcının ön kimliğini doğrulamaz. Bunun yerine, kullanıcı Web Uygulaması Ara Sunucusu aracılığıyla web uygulamasına bağlanır. Web uygulaması ara sunucusu, hatalı biçimlendirilmiş paketler gibi kusurlara karşı koruma sağlayan web uygulamasına teslim edildikçe veri paketlerini yeniden oluşturur. Ancak paketin veri bölümü web uygulamasına geçer. Web uygulaması kullanıcıların kimliğini doğrulamakla sorumludur.

AD FS ön kimlik doğrulama avantajları

AD FS ön kimlik doğrulaması, doğrudan ön kimlik doğrulamaya göre aşağıdaki avantajları sağlar:

  • SSO. AD FS tarafından önceden kimlik doğrulaması yapılan kullanıcıların kimlik bilgilerini yalnızca bir kez girmesini sağlar. Kullanıcılar daha sonra kimlik doğrulaması için AD FS kullanan diğer uygulamalara erişirse, kimlik bilgileri yeniden sorulmayacak.
  • Çok faktörlü kimlik doğrulaması (MFA). MFA, güvenliği güçlendirmek için birden çok kimlik bilgisi türü yapılandırmanıza olanak tanır. Örneğin, sistemi yapılandırarak kullanıcıların kullanıcı adlarını ve parolalarını akıllı kartla birlikte girmelerini sağlayabilirsiniz.
  • Çok faktörlü erişim denetimi. Yetkilendirme talep kuralları uygulayarak web uygulamalarını yayımlarken güvenliklerini güçlendirmek isteyen kuruluşlarda kullanılan çok faktörlü erişim denetimleri. Kurallar, AD FS ön kimlik doğrulaması kullanan bir web uygulamasına bir kullanıcının veya grubun erişimine izin verilip verilmeyeceğini veya reddedildiğini belirleyen bir izin veya reddetme talebi düzenleyebilecek şekilde yapılandırılır.

Web Uygulaması Ara Sunucusu ile uygulama yayımlama

Web Uygulaması Ara Sunucusu rol hizmeti yüklendikten sonra, Uzaktan Erişim Yönetimi konsolundan Web Uygulaması Ara Sunucusu Yapılandırma Sihirbazı'nı kullanarak bunu yapılandırabilirsiniz. Web Uygulaması Ara Sunucusu Yapılandırma Sihirbazı tamamlandığında, Web Uygulaması Ara Sunucusu'nun daha fazla yönetimi ve yapılandırması için kullanabileceğiniz Web Uygulaması Ara Sunucusu konsolunu oluşturur.

Web Uygulaması Ara Sunucusu Yapılandırma Sihirbazı, ilk yapılandırma işlemi sırasında aşağıdaki bilgileri girmenizi gerektirir:

  • AD FS adı. Bu adı bulmak için AD FS Yönetim konsolunu açın ve Federasyon Hizmeti Özelliklerini Düzenle'nin altında Federasyon Hizmeti adı kutusunda değeri bulun.
  • AD FS için yerel yönetici hesabının kimlik bilgileri.
  • AD FS Proxy Sertifikası. Bu, Web Uygulaması Ara Sunucusunun AD FS proxy işlevselliği için kullanacağı bir sertifikadır.

Tavsiye

Web Uygulaması Ara Sunucusu Yapılandırma Sihirbazı gerektirdiğinden, AD FS proxy sertifikası sertifikanın konu alanında AD FS adını içermelidir. Ayrıca, sertifikanın konu alternatif adları alanı AD FS adını içermelidir.

Web Uygulaması Ara Sunucusu Yapılandırma Sihirbazı'nı tamamladıktan sonra Web Uygulaması Ara Sunucusu konsolunu veya Windows PowerShell cmdlet'lerini kullanarak web uygulamanızı yayımlayabilirsiniz. Yayımlanan uygulamaları yönetmek için Windows PowerShell cmdlet'leri şunlardır:

  • Add-WebApplicationProxyApplication
  • Get-WebApplicationProxyApplication
  • Set-WebApplicationProxyApplication

Web uygulamanızı yayımladığınızda aşağıdaki bilgileri sağlamanız gerekir:

  • Ön kimlik doğrulama türü, örneğin doğrudan geçiş.
  • Yayınlamak için uygulama.
  • Uygulamanın dış URL'si, örneğin, https://lon-svr1.adatum.com.
  • Konu adı dış URL'yi kapsayan bir sertifika, örneğin, lon-svr1.adatum.com.
  • Dış URL'yi girdiğinizde otomatik olarak girilen arka uç sunucusunun URL'si.