透過 Azure AD 應用程式 Proxy 遠端存取內部部署應用程式

  • 發行項

Azure Active Directory 應用程式 Proxy 為內部部署 Web 應用程式提供安全的遠端存取。 單一登入 Azure AD 後,使用者可以透過外部 URL 或內部應用程式入口網站存取雲端和內部部署應用程式。 例如,應用程式 Proxy 可以為遠端桌面、SharePoint、Teams、Tableau、Qlik 和企業營運 (LOB) 應用程式提供遠端存取和單一登入。

Azure AD 應用程式 Proxy 具有下列特性:

  • 用法簡單。 使用者可以使用和 Microsoft 365 以及其他與 Azure AD 整合 SaaS 應用程式相同的存取方式,來存取內部部署應用程式。 您不需要變更或更新應用程式,即可使用應用程式 Proxy。

  • 安全。 內部部署應用程式可以使用 Azure 的授權控制項和安全性分析。 例如,內部部署應用程式可以使用條件式存取和雙步驟驗證。 應用程式 Proxy 不需要您穿過防火牆開啟輸入連線。

  • 符合成本效益。 內部部署解決方案則一般需要您設定及維護周邊網路 (DMZ)、Edge Server 或其他複雜的基礎結構。 應用程式 Proxy 在雲端中執行,這使其更容易使用。 若要使用應用程式 Proxy,您不需要變更網路基礎結構,或在內部部署環境中安裝額外的設備。

什麼是應用程式 Proxy?

應用程式 Proxy 是 Azure AD 的一項功能,可讓使用者從遠端用戶端存取內部部署 Web 應用程式。 應用程式 Proxy 包括在雲端中執行的應用程式 Proxy 服務,和在內部部署伺服器上執行的應用程式 Proxy 連接器。 Azure AD、應用程式 Proxy 服務和應用程式 Proxy 連接器,可以將使用者登入權杖從 Azure AD 安全地傳遞至 Web 應用程式。

應用程式 Proxy 適用於:

  • 使用整合式 Windows 驗證來進行驗證的 Web 應用程式
  • 使用表單架構或標頭型存取的 Web 應用程式
  • 您想要公開給不同裝置上豐富應用程式的 Web API
  • 裝載在遠端桌面閘道之後的應用程式
  • 與 Microsoft Authentication Library (MSAL) 整合的豐富型用戶端應用程式

應用程式 Proxy 支援單一登入。 如需有關支援的方法的詳細資訊,請參閱選擇單一登入方法

應用程式 Proxy 有利於遠端使用者存取內部資源。 應用程式 Proxy 會取代 VPN 或反向 Proxy 的需求。 其適用對象並非公司網路的內部使用者。 非必要卻使用應用程式 Proxy 的這些使用者會造成非預期且不樂見的效能問題。

應用程式 Proxy 的運作方式

下表顯示 Azure AD 與應用程式 Proxy 如何一起運作,以提供內部部署應用程式的單一登入。

Azure AD 應用程式 Proxy 圖表

  1. 使用者成功透過端點存取應用程式之後,會將其導向 Azure AD 登入頁面。
  2. 成功登入之後,Azure AD 會向使用者的用戶端裝置傳送權杖。
  3. 用戶端會將權杖傳送至應用程式 Proxy 服務,該服務會取出權杖的使用者主體名稱 (UPN) 和安全性主體名稱 (SPN)。 然後,應用程式 Proxy 會將要求傳送至應用程式 Proxy 連接器。
  4. 若您已設定單一登入,則連接器會執行代表使用者所需的任何額外驗證。
  5. 該連接器會將要求傳送至內部部署應用程式。
  6. 回應會透過應用程式 Proxy 服務與連接器傳送給使用者。

注意

如同大多數 Azure AD 混合式代理程式,應用程式 Proxy 連接器不會要求您透過防火牆開啟輸入連線。 步驟 3 中的使用者流量會在應用程式 Proxy 服務終止 (在 Azure AD 中)。 應用程式 Proxy 連接器 (內部部署) 負責通訊的其餘部分。

元件 Description
端點 端點可以是 URL 或使用者入口網站。 使用者可以藉由存取外部 URL,來連線網路外部的應用程式。 您網路內的使用者可以透過 URL 或使用者入口網站存取應用程式。 使用者存取這些端點的其中一個時,會在 Azure AD 中進行驗證,然後透過連接器路由至內部部署應用程式。
Azure AD Azure AD 使用儲存在雲端中的租用戶目錄執行驗證。
應用程式 Proxy 服務 此應用程式 Proxy 服務作為 Azure AD 的一部分在雲端中執行。 它會將登入權杖從使用者傳遞至應用程式 Proxy 連接器時。 應用程式 Proxy 在請求上轉送任何可存取的標頭,並根據其通訊協定將標頭設定為用戶端 IP 位址。 如果對 Proxy 的連入要求中已經有該標頭,則將用戶端 IP 位址加入到以逗號分隔清單的結尾,該用戶端 IP 位址是標頭的值。
應用程式 Proxy 連接器 連接器是位於網路內部 Windows 伺服器上執行的輕量型代理程式。 連接器管理雲端中的應用程式 Proxy 服務與內部部署應用程式之間的通訊。 連接器僅使用輸出連線,因此您不需要開啟任何輸入連接埠,或在 DMZ 中放置任何物件。 連接器是無狀態的,且在必要時會從雲端提取資訊。 如需連接器的詳細資訊,例如如何負載平衡和驗證,請參閱了解 Azure AD 應用程式 Proxy 連接器
Active Directory (AD) Active Directory 在內部部署執行以對網域帳戶執行驗證。 設定單一登入之後,連接器將與 AD 通訊以執行所需的任何額外的驗證。
內部部署應用程式 最後,使用者就能夠存取內部部署應用程式。

後續步驟

若要開始使用應用程式 Proxy,請參閱教學課程:新增內部部署應用程式以便透過應用程式 Proxy 進行遠端存取