使用 WAP 作为反向 Web 代理

  • 10 分钟

Web 应用程序代理是远程访问角色服务。 此角色服务充当反向 Web 代理,为位于 Internet 上的用户提供对内部公司 Web 应用程序或远程桌面网关服务器的访问权限。 Web 应用代理可以使用 AD FS 为互联网用户进行预身份验证,并充当 AD FS 代理来发布支持声明的应用程序。

注释

声明感知应用程序可以使用有关用户的任何信息,例如组成员身份、电子邮件地址、部门或公司作为用户授权的一部分。

在安装 Web 应用程序代理之前,必须部署 AD FS 作为先决条件。 Web 应用程序代理将 AD FS 用于身份验证服务。 AD FS 提供的一项功能是 SSO 功能,这意味着如果用户输入凭据以访问企业 Web 应用程序一次,则不会要求他们再次输入其凭据,以便后续访问公司 Web 应用程序。 在用户与应用程序通信之前,还可以使用 AD FS 在 Web 应用程序代理中对用户进行身份验证。

将 Web 应用程序代理服务器放置在两个防火墙设备之间的外围网络中是典型的配置。 发布的 AD FS 服务器和应用程序位于公司网络上,并与域控制器和其他内部服务器一起受到第二个防火墙的保护。 此方案为位于 Internet 上的用户提供对公司应用程序的安全访问,同时保护企业 IT 基础结构免受 Internet 上的安全威胁。

显示典型 WAP 体系结构的图表。

Web 应用程序代理的身份验证选项

在 Web 应用程序代理中配置应用程序时,需要选择预身份验证的类型。 可以选择 AD FS 预身份验证或直通预身份验证。 AD FS 预身份验证提供了更多功能和优势,但直通预身份验证与所有 Web 应用兼容。

AD FS 预身份验证

AD FS 预身份验证对使用基于声明的身份验证的 Web 应用程序使用 AD FS。 当用户启动与公司 Web 应用程序的连接时,用户连接到的第一个入口点是 Web 应用程序代理。 Web 应用程序代理预身份验证 AD FS 服务器中的用户。 如果身份验证成功,Web 应用程序代理会在托管应用程序的公司网络中建立与 Web 服务器的连接。

通过使用 AD FS 预身份验证,可确保只有经过授权的用户才能将数据包发送到 Web 应用程序。 这可以防止黑客在身份验证之前利用 Web 应用缺陷。 AD FS 预身份验证可显著减少 Web 应用的攻击面。

直通预身份验证

直通预身份验证不使用 AD FS 进行身份验证,Web 应用程序代理也不会预身份验证用户。 相反,用户通过 Web 应用程序代理连接到 Web 应用程序。 Web 应用程序代理在将数据传递到 Web 应用时重新生成数据包,从而防止出现格式不正确的数据包等缺陷。 但是,数据包的数据部分将传递到 Web 应用。 Web 应用负责对用户进行身份验证。

AD FS 预身份验证优势

AD FS 预身份验证相比直通预身份验证具有以下优势:

  • SSO。 使通过 AD FS 预先验证的用户只需输入凭据一次。 如果用户随后访问使用 AD FS 进行身份验证的其他应用程序,则不会再次提示他们输入凭据。
  • 多重身份验证 (MFA)。 MFA 允许配置多种类型的凭据,以加强安全性。 例如,可以配置系统,以便用户使用智能卡输入其用户名和密码。
  • 多重访问控制。 在希望通过实施授权声明规则发布 Web 应用程序时加强其安全性的组织中使用的多重访问控制。 这些规则经过配置,可以发布准许声明或拒绝声明,以决定是否允许用户或用户组访问使用 AD FS 预身份验证的 Web 应用程序。

使用 Web 应用程序代理发布应用程序

安装 Web 应用程序代理角色服务后,可以使用远程访问管理控制台中的 Web 应用程序代理配置向导对其进行配置。 Web 应用程序代理配置向导完成后,它将创建 Web 应用程序代理控制台,可用于进一步管理和配置 Web 应用程序代理。

Web 应用程序代理配置向导要求在初始配置过程中输入以下信息:

  • AD FS 名称。 若要找到此名称,请打开 AD FS 管理控制台,然后在“编辑联合身份验证服务属性”下,在“联合身份验证服务名称”框中找到该值。
  • AD FS 的本地管理员帐户的凭据。
  • AD FS 代理证书。 这是 Web 应用程序代理将用于 AD FS 代理功能的证书。

小窍门

AD FS 代理证书必须包含证书使用者字段中的 AD FS 名称,因为 Web 应用程序代理配置向导需要它。 此外,证书的使用者可选名称字段应包括 AD FS 名称。

完成 Web 应用程序代理配置向导后,可以使用 Web 应用程序代理控制台或 Windows PowerShell cmdlet 发布 Web 应用。 用于管理已发布应用的 Windows PowerShell cmdlet 包括:

  • Add-WebApplicationProxyApplication
  • Get-WebApplicationProxyApplication
  • Set-WebApplicationProxyApplication

发布 Web 应用时,必须提供以下信息:

  • 预身份验证的类型,例如直通。
  • 要发布的应用程序。
  • 应用程序的外部 URL,例如 https://lon-svr1.adatum.com
  • 主题名称涵盖外部 URL 的证书,例如 lon-svr1.adatum.com
  • 后端服务器的 URL,输入外部 URL 时会自动输入。