使用 Web 應用程式 Proxy
發行︰ 2016年9月
此內容與 Web 應用程式 Proxy 的內部部署版本相關。 若要在雲端上啟用內部部署應用程式的安全存取,請參閱 Azure AD Application Proxy 內容。
Web 應用程式 Proxy 是新的遠端存取角色服務的 Windows Server® 2012 R2。Web 應用程式 Proxy 在您的公司網路內,使用者將無法存取公司網路外部的任何裝置上的 web 應用程式提供反向 proxy 功能。Web 應用程式 Proxy 預先驗證存取 web 應用程式使用 Active Directory Federation Services (AD FS), ,同時也和 AD FS proxy。
提供存取的應用程式
Web 應用程式 Proxy 可為組織提供了可提供選擇性的存取權給組織外的使用者在組織內的伺服器上執行的應用程式。 讓應用程式可供外部使用的程序稱為發佈。 不同於傳統的 VPN 解決方案,當您發行應用程式可以透過 Web 應用程式 Proxy 一般使用者可以存取只有在發行的應用程式。 不過, Web 應用程式 Proxy 也可以部署 vpn 遠端存取部署在組織中的一部分。 請參閱Interoperability with Other Remote Access Products。
發行應用程式
Web 應用程式 Proxy 發行可讓使用者從自己的裝置存取其組織的應用程式,這樣使用者就不必受限於使用公司的膝上型電腦來執行工作,他們可以使用自己的家用電腦、平板電腦或智慧型手機。 此外,使用者不必存取已發行的應用程式在裝置上安裝任何其他軟體。Web 應用程式 Proxy 可以用在配備標準瀏覽器的用戶端、Office 用戶端或使用 OAuth (例如 Windows 市集應用程式) 的豐富型用戶端上。Web 應用程式 Proxy 可做為任何透過它發行之應用程式的反向 Proxy,因此使用者體驗上就像是使用者的裝置直接連線到應用程式一樣。
存取應用程式
Web 應用程式 Proxy 一律必須與部署 AD FS。 這可讓您使用的功能 AD FS, ,例如,單一登入 (SSO)。 這可讓使用者輸入其認證一次,並在後續的情況下,它們不需要輸入其認證。 SSO 支援 Web 應用程式 Proxy 後端伺服器,使用宣告式驗證,例如 SharePoint 宣告為基礎的應用程式和整合式 Windows 驗證使用 Kerberos 限制委派。 整合式的 Windows 驗證式應用程式可以定義在 AD FS 為可以在應用程式的要求中定義豐富驗證和授權原則強制執行的信賴憑證者信任。
保護應用程式從外部威脅
Web 應用程式 Proxy 做為網際網路和公司的應用程式之間的障礙。 在許多組織而言,當您部署 Web 應用程式 Proxy 和透過它發佈應用程式,這些應用程式將提供給外部使用者的裝置未加入至您的網域,例如,個人膝上型電腦、 平板電腦或智慧型手機。 這些裝置是未加入網域,這麼一來,他們之所以被形容為未受管理的裝置,且不受信任的公司網路內。 由於您希望使用者能夠它們位於隨時隨地存取重要資訊,您必須降低安全性風險,允許使用者存取公司資源從這些未受管理和未受信任的裝置。Web 應用程式 Proxy 提供數個安全性功能來保護您的公司網路外部威脅。Web 應用程式 Proxy 使用 AD FS 進行驗證和授權,以確保只有在驗證和授權的裝置上的使用者可以存取公司的應用程式。
深層防禦
在建議的部署中, Web 應用程式 Proxy 網際網路對向防火牆與公司網路防火牆的周邊網路中部署。 不過,除了防火牆,所提供的保護 Web 應用程式 Proxy 提供額外的保護,您的應用程式,從外部威脅。
HTTPS 流量時也就是到達導向到發行的位址 Web 應用程式 Proxy, ,它會終止流量並初始發佈的應用程式的新要求。 因此可做為外部裝置和已發行的應用程式之間的工作階段層級緩衝區。 也就是說,當使用者存取已發佈應用程式,它們不會直接存取應用程式,相反地,它們可以存取應用程式透過 Web 應用程式 Proxy。
任何其他流量到達 Web 應用程式 Proxy 卸除及未轉送到已發行的應用程式。 這包括可能的阻絕服務攻擊的一部分使用任何不合法 HTTP 或 HTTPS 要求零天攻擊、 SSL 攻擊等等。
任何已驗證的要求到達 Web 應用程式 Proxy 包含驗證權杖,從 AD FS 將檢查以確定收到的語彙基元,適用於用戶端傳送權杖。 這是藉由檢查 (透過工作地點加入的憑證) 與裝置對應到內的裝置驗證時的權杖宣告 AD FS。
驗證和授權
若要保護您組織中的應用程式的存取,建議只允許存取已驗證和授權的使用者。 當您發行應用程式可以透過 Web 應用程式 Proxy, ,這透過使用的達成 AD FS, ,以提供驗證並強制執行已發行的應用程式進行授權。
注意
Web 應用程式 Proxy 也可讓傳遞預先驗證,可讓您發行應用程式不需要預先驗證,或用戶端不支援可用的驗證功能。
驗證使用者與裝置
當您發行應用程式可以透過 Web 應用程式 Proxy, ,依據使用者和裝置必須先通過驗證他們存取應用程式的程序稱為預先驗證。Web 應用程式 Proxy 支援兩種形式的預先驗證︰
AD FS 預先驗證,使用時 AD FS 進行預先驗證,使用者必須向 AD FS 伺服器,然後再 Web 應用程式 Proxy 將使用者重新導向至已發佈的 web 應用程式。 這可確保所有的流量,您已發佈的 web 應用程式進行驗證。
傳遞預先驗證,使用者不需要輸入認證,才能連線至已發佈的 web 應用程式。
注意
傳遞預先驗證已不會影響到應用程式是否需要使用者提供認證給應用程式。 也就是使用傳遞預先驗證時設定的應用程式不需要使用者輸入認證,才能進入公司網路,但可能會要求使用者輸入認證,以檢視應用程式內容。
輕鬆地存取所發行的應用程式 Web 應用程式 Proxy, ,並使用 AD FS 預先驗證的使用者應該使用下列用戶端的其中一個︰
任何支援 HTTP 重新導向,用戶端例如,網頁瀏覽器。Web 應用程式 Proxy 將使用者重新導向至驗證地址,並回到原始的 web 位址,驗證證明這次的連入要求上執行適當的動作。
豐富型用戶端使用 HTTP 基本,比方說,Exchange ActiveSync。
使用 MSOFBA; 任何用戶端例如,Word、 Excel 或 PowerPoint。 在此情況下,使用者會嘗試從其最近的文件清單儲存在公司網路內的伺服器上存取文件。
Windows 市集應用程式並包含用於驗證的 Web 驗證代理人的用戶端的 RESTful 應用程式。 使用者可以開啟他們會取得從權杖的裝置上的應用程式 AD FS 透過 「 Web 驗證代理人 」,並在應用程式的後續要求的 HTTP 授權標頭中包含該語彙基元。
注意
用戶端用來存取已發行的應用程式,根據 Web 應用程式 Proxy 會決定如何處理要求。
驗證功能
當您使用 AD FS 進行驗證,您也可以從各種功能, AD FS 提供︰
加入工作地點 — 這是中的新功能 AD FS 中 Windows Server 2012 R2。 它可讓使用者將裝置加入工作地點通常無法加入網域。例如,個人膝上型電腦、 平板電腦和智慧型手機。 啟用這項功能時, AD FS 系統管理員可以設定所有應用程式,或個別的應用程式,以要求裝置必須註冊才能他們可以存取發行的應用程式。 如需詳細資訊,請參閱從任何裝置加入工作地點網路,並在公司的各個應用程式提供 SSO 和無縫式的次要因素驗證。
SSO — 這可讓使用者輸入一次認證,驗證所有支援的已發行應用程式。 請參閱從任何裝置加入工作地點網路,並在公司的各個應用程式提供 SSO 和無縫式的次要因素驗證。
多重要素驗證 (MFA) —AD FS 可以設定為需要使用者透過多個驗證配置; 例如,單次密碼或智慧卡驗證。 請參閱透過其他多因素驗證管理機密應用程式的風險。
多因素存取控制 — 中的存取控制 AD FS 授權宣告規則,以供發行允許或拒絕宣告,以決定是否要允許使用者群組的存取方式實作 AD FS-保護的資源。 只可以在信賴憑證者信任上設定授權規則。 所有上述功能可以相互結合,視需要,為機密的應用程式,提供更嚴格的安全性或忽略比較不機密的應用程式。 請參閱使用條件式存取控制管理風險。
當您發行應用程式可以透過 Web 應用程式 Proxy 您不需要設定 AD FS 前面所提到的驗證功能。 這可讓您提供裝置無法加入工作地點,或提供其他因素驗證,例如 kiosk 的存取權。
Web 應用程式 Proxy 技術概觀
當您決定使用 Web 應用程式 Proxy 在組織中,我們建議您部署您 Web 應用程式 Proxy 前端防火牆將它從網際網路,或兩個防火牆; 前端防火牆將經由網際網路時,與後端防火牆將從公司網路之間的伺服器。 在此拓撲中, Web 應用程式 Proxy 提供保護層,以避免可能來自網際網路的惡意使用者。 沒有其他伺服器都必須位於周邊網路。也就是您 AD FS 伺服器位於公司網路中,您可以只透過 Web 應用程式 Proxy 使用內建的 AD FS proxy 功能。
下圖顯示典型的部署拓撲 Web 應用程式 Proxy 兩個防火牆之間的周邊網路中。
.jpeg "Web 應用程式 Proxy 拓撲")
Web 應用程式 Proxy 設定存放區
Web 應用程式 Proxy 組態儲存在 AD FS 伺服器在組織中; 因此, Web 應用程式 Proxy 伺服器需要連線到 AD FS 伺服器。 此外,設定第一個之後 Web 應用程式 Proxy 伺服器,您可以安裝其他 Web 應用程式 Proxy 建立叢集部署的伺服器。 當您在叢集中的新伺服器上安裝角色服務時,設定會自動轉移到新的伺服器完成之後 Web 應用程式 Proxy 組態精靈。
由於 Web 應用程式 Proxy 將設定儲存在 AD FS 它沒有在本機伺服器儲存組態資訊。
AD FS Proxy 功能
Web 應用程式 Proxy 角色服務也是 AD FS proxy。 也就是 Web 應用程式 Proxy 所有端點接聽的 AD FS 接聽。Web 應用程式 Proxy 也會轉送任何要求,從網際網路到 AD FS 和回應從 AD FS 到網際網路。 請注意, Web 應用程式 Proxy 角色服務是取代 AD FS proxy 角色。
若要在組織內建立 proxy for Federation Service 會增加額外的安全性層您 AD FS 部署。 請考慮部署 Web 應用程式 Proxy 當您想要您組織的周邊網路中︰
防止外部用戶端電腦直接存取您 AD FS 伺服器。 藉由部署 Web 應用程式 Proxy 周邊網路中的伺服器,可以有效隔離您 AD FS 伺服器。Web 應用程式 Proxy 伺服器沒有用來產生權杖的私用金鑰存取權。
提供一個便利方式來區分來自網際網路,相對於使用者來自公司網路使用整合式 Windows 驗證的使用者的登入體驗。
管理 Web 應用程式 Proxy
Web 應用程式 Proxy 使用多個工具和功能所提供 Windows Server 2012 R2 可讓您輕鬆地安裝、 部署及管理在您的企業部署。
Web 應用程式 Proxy 是中的角色服務 Windows Server 2012 R2。 這可讓您輕鬆地安裝 Web 應用程式 Proxy 在部署中使用 伺服器管理員 或 Windows PowerShell。
Web 應用程式 Proxy 已整合至遠端存取管理主控台,可讓您管理您 Web 應用程式 Proxy 伺服器和其他遠端存取技術,例如 DirectAccess 和 VPN 從相同的遠端存取管理主控台。
Web 應用程式 Proxy 提供完整的功能,透過一組 Windows PowerShell 命令和 Windows Management Instrumentation (WMI) API。
若要協助疑難排解, Web 應用程式 Proxy:
將事件寫入 Windows 事件記錄檔。
公開效能計數器的數目。
具有專用的最佳作法分析程式 (BPA)。
與其他遠端存取產品的互通性
Web 應用程式 Proxy 是一項角色服務的遠端存取角色 Windows Server 2012 R2。 您可以安裝 Web 應用程式 Proxy -並存的遠端存取下列案例中︰
| DirectAccess | VPN | Web 應用程式 Proxy |
|---|---|---|
| 單一伺服器部署 | 單一伺服器部署 | 單一伺服器部署 |
| 多站台部署 | 多部伺服器部署 | 相同伺服器上不支援 |
| 相同伺服器上不支援 | 多部伺服器部署 | 多部伺服器部署 |
| 叢集部署1 | 多部伺服器部署 | 多部伺服器部署2 |
注意
1 - 在既存的 DirectAccess 叢集部署中,只能使用 Web 應用程式 Proxy 安裝 Windows PowerShell。
2 - 在既存的多部伺服器 Web 應用程式 Proxy 部署中,只能使用 Windows PowerShell 安裝 DirectAccess。
Web 應用程式 Proxy 提供應用程式發佈功能,類似以 Forefront Unified Access Gateway (UAG)。 不過, Web 應用程式 Proxy 互動的其他伺服器和服務,以提供更有效率的部署。 這可協助您專注於設定您的部署的必要部分。 我們建議您針對任何新的部署,如上面所述的案例需要應用程式發佈功能,您應該使用 Web 應用程式 Proxy。