Jednotné přihlašování založené na hlavičce pro místní aplikace s proxy aplikací Microsoft Entra

Proxy aplikací Microsoft Entra nativně podporuje přístup jednotného přihlašování (SSO) k aplikacím, které k ověřování používají hlavičky. Hodnoty hlaviček vyžadované vaší aplikací nakonfigurujete v Microsoft Entra ID. Hodnoty hlaviček se odesílají do aplikace prostřednictvím proxy aplikace. Mezi výhody použití nativní podpory ověřování na základě hlaviček s proxy aplikací patří:

• Zjednodušení vzdáleného přístupu k místním aplikacím – Proxy aplikací zjednodušuje vaši stávající architekturu vzdáleného přístupu. Přístup k těmto aplikacím nahradíte virtuální privátní sítí (VPN). Odeberete závislosti na místních řešeních identit pro ověřování. Zjednodušíte prostředí pro uživatele a při používání podnikových aplikací si nevšimnou nic jiného. Uživatelé můžou pracovat odkudkoli na libovolném zařízení.

• Žádný další software ani změny vašich aplikací – používáte stávající privátní síťové konektory. Nevyžaduje se žádný další software.

• široký seznam atributů a transformací dostupných – Všechny dostupné hodnoty hlaviček jsou založené na standardních deklaracích, které vydává Microsoft Entra ID. Všechny atributy a transformace dostupné pro konfiguraci deklarací identity pro aplikace SAML (Security Assertion Markup Language) nebo OpenID Connect (OIDC) jsou také k dispozici jako hodnoty hlaviček.

Požadavky

Povolte proxy aplikací a nainstalujte konektor, který má přímý síťový přístup k vašim aplikacím. Další informace najdete v tématu Přidání aplikace pro vzdálený přístup na místě pomocí aplikační proxy.

Podporované možnosti

V tabulce jsou uvedeny běžné možnosti vyžadované pro ověřovací aplikace založené na hlavičce.

Požadavek	Popis
Federované jednotné přihlašování	V předběžném režimu jsou všechny aplikace chráněny ověřováním Microsoft Entra a uživatelé mají jednotné přihlašování.
Vzdálený přístup	Proxy aplikace poskytuje vzdálený přístup k aplikaci. Uživatelé přistupují k aplikaci přes internet v libovolném webovém prohlížeči pomocí externího Uniformního lokátoru zdrojů (URL). Proxy aplikací není určený pro obecný podnikový přístup. Obecný podnikový přístup viz Microsoft Entra Private Access.
Integrace založená na hlavičce	Proxy aplikace zpracovává integraci jednotného přihlašování s ID Microsoft Entra a pak předává identitu nebo jiná data aplikace jako hlavičky HTTP do aplikace.
Autorizace aplikace	Běžné zásady se zadají na základě přístupu k aplikaci, členství ve skupině uživatele a dalších zásad. V Microsoft Entra ID se zásady implementují pomocí Conditional Access. Zásady autorizace aplikací se vztahují pouze na počáteční žádost o ověření.
Vícefázové ověřování	Zásady jsou definovány tak, aby vynutily přidané ověřování, například pro získání přístupu k citlivým prostředkům.
Jemně odstupňovaná autorizace	Poskytuje řízení přístupu na úrovni adresy URL. Přidané zásady je možné vynutit na základě adresy URL, na kterou se přistupuje. Interní adresa URL nakonfigurovaná pro aplikaci definuje obor aplikace, na kterou se zásada použije. Zásady nakonfigurované pro nejpodrobnější cestu se vynucují.

Poznámka

Tento článek popisuje propojení mezi ověřovacími aplikacemi založenými na hlavičce a ID Microsoft Entra pomocí proxy aplikace a je doporučeným vzorem. Jako alternativu existuje model integrace, který k povolení ověřování založeného na hlavičce používá PingAccess s ID Microsoft Entra. Další informace najdete v tématu Ověřování založené na hlavičce pro jednotné přihlašování pomocí proxy aplikací a PingAccess.

Jak to funguje

1. Správce přizpůsobí mapování atributů vyžadovaných aplikací v Centru pro správu Microsoft Entra.
2. Proxy aplikace zajišťuje, že se uživatel ověří pomocí ID Microsoft Entra.
3. Cloudová služba proxy aplikací si je vědoma požadovaných atributů. Služba tedy načte odpovídající deklarace identity z tokenu ID přijatého během ověřování. Služba pak hodnoty přeloží do požadovaných hlaviček HTTP jako součást požadavku na konektor.
4. Požadavek se předá konektoru, který jej následně předá backendové aplikaci.
5. Aplikace obdrží hlavičky a podle potřeby je může použít.

Publikování aplikace pomocí proxy aplikací

1. Publikujte aplikaci podle pokynů popsaných v Publikování aplikací pomocí proxy aplikací.

   • Interní hodnota adresy URL určuje rozsah aplikace. Nakonfigurujete interní hodnotu adresy URL v kořenové cestě aplikace a všechny dílčí cesty pod kořenem obdrží stejnou hlavičku a konfiguraci aplikace.
   • Vytvořte novou aplikaci, která nastaví jinou konfiguraci hlaviček nebo přiřazení uživatele pro podrobnější cestu než aplikace, kterou jste nakonfigurovali. V nové aplikaci nakonfigurujte interní adresu URL s konkrétní cestou, kterou požadujete, a pak nakonfigurujte konkrétní hlavičky potřebné pro tuto adresu URL. Proxy aplikace vždy odpovídá vašemu nastavení konfigurace na nejpodrobnější cestu nastavenou pro aplikaci.

2. Jako metodu předběžného ověřovánívyberte Microsoft Entra ID.

3. Přiřaďte testovacího uživatele tak, že přejdete na Uživatelé a skupiny a přiřadíte příslušné uživatele a skupiny.

4. Otevřete prohlížeč a v nastavení proxy aplikace přejděte na externí adresu URL.

5. Ověřte, že se můžete připojit k aplikaci. I když se můžete připojit, nemůžete k aplikaci získat přístup, protože hlavičky nejsou nakonfigurované.

Konfigurace jednotného přihlašování

Než začnete používat jednotné přihlašování pro aplikace založené na hlavičce, nainstalujte privátní síťový konektor. Konektor musí mít přístup k cílovým aplikacím. Další informace najdete v tématu Kurz: Proxy aplikace Microsoft Entra.

1. Jakmile se aplikace zobrazí v seznamu podnikových aplikací, vyberte ji a vyberte jednotné přihlašování.
2. Nastavte režim jednotného přihlašování na založené na hlavičce .
3. V Základní konfiguracije jako výchozí vybrán Microsoft Entra ID.
4. V Záhlaví vyberte tužku pro úpravy a nakonfigurujte záhlaví pro odeslání do aplikace.
5. Vyberte Přidat nové záhlaví. Zadejte název záhlaví a vyberte buď Atribut nebo Transformace a z rozevíracího seznamu vyberte, které záhlaví vaše aplikace potřebuje.
   • Další informace o seznamu dostupných atributů najdete v tématu Přizpůsobení deklarací identity – atributy.
   • Další informace o seznamu dostupných transformací najdete v tématu Přizpůsobení deklarací identity – Transformace deklarací.
   • Můžete přidat záhlaví skupiny. Další informace o konfiguraci skupin jako hodnoty najdete v tématu: Konfigurace deklarací identity skupin pro aplikace.
6. Vyberte Uložit.

Otestování aplikace

Aplikace je teď spuštěná a dostupná. Otestování aplikace:

1. Vymažte dříve uložená záhlaví v mezipaměti otevřením nového prohlížeče nebo soukromého okna prohlížeče.
2. Přejděte na externí adresu URL. Toto nastavení najdete v nastavení proxy aplikací jako externí adresa URL.
3. Přihlaste se pomocí testovacího účtu, který jste přiřadili k aplikaci.
4. Ověřte, že můžete načíst aplikaci a přihlásit se pomocí SSO.

Úvahy

• Proxy aplikací poskytuje vzdálený přístup k místním aplikacím nebo privátnímu cloudu. Proxy aplikací se nedoporučuje pro provoz pocházející ze stejné sítě jako zamýšlená aplikace.
• Přístup k ověřovacím aplikacím založeným na hlavičce by měl být omezen pouze na provoz z konektoru nebo jiného povoleného řešení ověřování založeného na hlavičce. Omezení přístupu se běžně provádí pomocí brány firewall nebo omezení PROTOKOLU IP na aplikačním serveru.

Další kroky

• Co je jednotné přihlašování?
• Co je proxy aplikací?