Microsoft Entra 應用程式 Proxy 原生支援單一登入 (SSO) 存取使用標頭進行驗證的應用程式。 您可以在 Microsoft Entra ID 中設定應用程式所需的標頭值。 標頭值會透過應用程式 Proxy 傳送至應用程式。 利用內建支援搭配應用程式 Proxy 進行標頭型驗證的優點包括:
簡化內部部署應用程式的遠端存取 - 應用程式 Proxy 可簡化您現有的遠端存取架構。 您將取代這些應用程式的虛擬專用網 (VPN) 存取權。 您可以移除內部部署身分識別解決方案的相依性以進行驗證。 您可以簡化用戶的體驗,而且他們在使用公司應用程式時不會注意到任何不同之處。 用戶可以隨時隨地在任何裝置上工作。
不需要額外的軟體或程式變更 - 您可以使用現有的專用網路連接器。 不需要額外的軟體。
廣泛的屬性和轉換清單可用 - 所有可用的標頭值都是以 Microsoft Entra ID 所發出的標準宣告為基礎。 設定安全性聲明標記語言 (SAML) 或 OpenID Connect (OIDC) 應用程式宣告的所有屬性和轉換, 也可作為標頭值使用。
先決條件
啟用應用程式 Proxy,並安裝具有應用程式直接網路存取權的連接器。 若要深入瞭解,請參閱 透過應用程式 Proxy新增內部部署應用程式以進行遠端訪問。
支援的功能
下表列出標頭型驗證應用程式所需的一般功能。
| 要求 | 描述 |
|---|---|
| 聯邦單一登入系統 | 在預先驗證模式中,所有應用程式都會受到Microsoft Entra 驗證的保護,且使用者具有單一登錄。 |
| 遠端訪問 | 應用程式 Proxy 提供應用程式的遠端存取。 使用者可以在任何網頁瀏覽器上使用外部統一資源定位器(URL)從網際網路存取應用程式。 應用程式 Proxy 不適用於一般公司存取。 如需一般公司存取,請參閱 Microsoft Entra Private Access。 |
| 標頭型整合 | 應用程式 Proxy 會處理與 Microsoft Entra ID 的 SSO 整合,然後將身分識別或其他應用程式數據當做 HTTP 標頭傳遞至應用程式。 |
| 應用程式授權 | 一般原則是根據所存取的應用程式、使用者的群組成員資格和其他原則來指定。 在 Microsoft Entra ID 中,原則是使用條件式存取 來實作的。 應用程式授權原則僅適用於初始驗證要求。 |
| 升級驗證 | 政策被定義為強制執行額外的驗證,以獲得敏感資源的存取權。 |
| 細部授權 | 提供URL層級的訪問控制。 新增的原則可以根據所存取的 URL 強制執行。 為應用程式設定的內部URL會定義套用原則的應用程式範圍。 會強制執行針對最細微路徑所設定的原則。 |
注意
本文說明使用應用程式代理伺服器來將標頭型驗證應用程式連線到 Microsoft Entra ID 的方法,且這是建議的模式。 或者,有一種整合模式會使用 PingAccess 搭配 Microsoft Entra ID 來啟用標頭型驗證。 如需詳細資訊,請參閱 使用應用程式 Proxy 和 PingAccess的標頭型驗證來進行單一登入。
運作方式
- 系統管理員會在 Microsoft Entra 系統管理中心自定義應用程式所需的屬性對應。
- 應用程式 Proxy 可確保使用者已使用 Microsoft Entra ID 進行驗證。
- 應用程式 Proxy 雲端服務知道所需的屬性。 因此,服務會從認證期間收到的 ID 令牌中擷取相應的宣告。 接著,服務會將值轉譯為必要的 HTTP 標頭,做為連接器要求的一部分。
- 接著會將要求傳遞至連接器,然後傳遞至後端應用程式。
- 應用程式會接收標頭,並視需要使用這些標頭。
使用應用程式 Proxy 發佈應用程式
根據 使用應用程式 Proxy 發佈應用程式中所述的指示發佈您的應用程式。
- 內部 URL 值會決定應用程式的範圍。 您可以在應用程式的根路徑上設定內部 URL 值,而根目錄底下的所有子路徑都會收到相同的標頭和應用程式組態。
- 建立新的應用程式,以針對比您設定的應用程式更細微的路徑,設定不同的標頭設定或使用者指派。 在新應用程式中,使用您需要的特定路徑來設定內部URL,然後設定此URL所需的特定標頭。 應用程式代理程序會將您的組態設定與應用程式中設定的最細微路徑對應。
選取 Microsoft Entra ID 做為 預先驗證方法。
流覽至 使用者和群組,然後指派合適的使用者和群組予測試用戶。
開啟瀏覽器,然後從應用程式 Proxy 設定瀏覽至 外部 URL。
確認您可以連線到應用程式。 即使您可以連線,您仍無法存取應用程式,因為標頭尚未設定。
設定單一登錄
開始使用標頭型應用程式的單一登錄之前,請先安裝專用網連接器。 連接器必須能夠存取目標應用程式。 若要深入瞭解,請參閱 教學課程:Microsoft Entra 應用程式 Proxy。
- 應用程式出現在企業應用程式清單中之後,請加以選取,然後選取 [單一登錄。
- 將單一登入模式設定為 標頭型。
- 在 [基本組態]中,會選取 [Microsoft Entra ID] 作為預設值。
- 選取編輯鉛筆,在 [標頭] 中設定要傳送至應用程式的 標頭。
- 選擇 新增標頭。 提供標頭的名稱,然後選取 [屬性] 或 [轉換],並從下拉式清單中選擇應用程式所需的標頭。
- 若要深入瞭解可用的屬性清單,請參閱 宣告自定義專案 ─ 屬性。
- 若要深入瞭解可用的轉換清單,請參閱 宣告自定義 - 宣告轉換。
- 您可以新增 群組標頭。 若要深入瞭解將群組設定為值,請參閱:設定應用程式的群組宣告。
- 選擇 儲存。
測試您的應用程式
應用程式現在正在執行且可供使用。 若要測試應用程式:
- 開啟新的瀏覽器或私人瀏覽器視窗,以清除先前快取的標頭。
- 流覽至外部 URL。 您可以在應用程式 Proxy 設定中找到此設定 外部 URL。
- 使用您指派給應用程式的測試帳戶登入。
- 確認您可以使用 SSO 載入並登入應用程式。
考慮事項
- 應用程式 Proxy 可讓您遠端存取內部部署或私人雲端上的應用程式。 不建議對於與預期應用程式同一網路內所發出的流量使用應用程式代理。
- 對標頭型驗證應用程式的存取應限制為僅限來自連接器或其他允許標頭型驗證解決方案的流量,。 存取限制通常是使用應用程式伺服器上的防火牆或IP限制來執行。