Aplikace se zástupnými čísly v proxy aplikace Microsoft Entra
V Microsoft Entra ID může konfigurace velkého počtu místních aplikací rychle stát nespravovatelným a představuje zbytečná rizika pro chyby konfigurace, pokud mnoho z nich vyžaduje stejné nastavení. S proxy aplikací Microsoft Entra můžete tento problém vyřešit publikováním a správou mnoha aplikací najednou pomocí publikování a správy aplikací se zástupnými čísly. Toto je řešení, které umožňuje:
- Zjednodušení režijních nákladů na správu
- Snížení počtu potenciálních chyb konfigurace
- Povolení bezpečného přístupu k dalším prostředkům uživatelům
Tento článek obsahuje informace, které potřebujete ke konfiguraci publikování aplikací se zástupným znakem ve vašem prostředí.
Vytvoření aplikace se zástupným znakem
Pokud máte skupinu aplikací se stejnou konfigurací, můžete vytvořit zástupnou aplikaci (*). Potenciálními kandidáty pro aplikaci se zástupnými cardy jsou aplikace, které sdílejí následující nastavení:
- Skupina uživatelů, kteří k nim mají přístup
- Metoda jednotného přihlašování
- Přístupový protokol (http, https)
Aplikace se zástupnými kótami můžete publikovat, pokud jsou interní i externí adresy URL v následujícím formátu:
http(s)://*.<doména>
Například: http(s)://*.adventure-works.com.
Interní a externí adresy URL sice můžou používat různé domény, ale osvědčeným postupem by měly být stejné. Při publikování aplikace se zobrazí chyba, pokud některá z adres URL nemá zástupný znak.
Vytvoření aplikace se zástupným znakem je založeno na stejném toku publikování aplikace, který je k dispozici pro všechny ostatní aplikace. Jediným rozdílem je, že do adres URL zahrnete zástupný znak a potenciálně konfiguraci jednotného přihlašování.
Požadavky
Abyste mohli začít, ujistěte se, že splňujete tyto požadavky.
Vlastní domény
I když jsou vlastní domény volitelné pro všechny ostatní aplikace, jsou předpokladem pro aplikace se zástupnými cardy. Vytváření vlastních domén vyžaduje, abyste:
- Vytvořte v Azure ověřenou doménu.
- Nahrajte do proxy aplikace certifikát TLS/SSL ve formátu PFX.
Měli byste zvážit použití certifikátu se zástupným znakem, který odpovídá aplikaci, kterou chcete vytvořit.
Z bezpečnostních důvodů to je pevný požadavek a pro aplikace, které nemohou pro externí adresu URL používat vlastní doménu, nebudeme podporovat zástupné cardy.
Aktualizace DNS
Při použití vlastních domén musíte vytvořit záznam DNS se záznamem CNAME pro externí adresu URL (například *.adventure-works.com) odkazující na externí adresu URL koncového bodu proxy aplikace. U aplikací se zástupnými znaméty musí záznam CNAME odkazovat na příslušnou externí adresu URL:
<yourAADTenantId>.tenant.runtime.msappproxy.net
Pokud chcete ověřit, že jste správně nakonfigurovali CNAME, můžete použít nslookup na jednom z cílových koncových bodů, expenses.adventure-works.comnapříklad . Vaše odpověď by měla obsahovat již zmíněný alias (<yourAADTenantId>.tenant.runtime.msappproxy.net).
Použití skupin konektorů přiřazených k jiné oblasti cloudové služby proxy aplikací než výchozí oblast
Pokud máte konektory nainstalované v oblastech, které se liší od výchozí oblasti tenanta, je vhodné změnit oblast, ve které je vaše skupina konektorů optimalizovaná, aby se zlepšil přístup k těmto aplikacím. Další informace najdete v tématu Optimalizace skupin konektorů tak, aby používaly nejbližší cloudovou službu proxy aplikací.
Pokud skupina konektorů přiřazená k aplikaci se zástupným znakem používá jinou oblast než výchozí oblast, budete muset aktualizovat záznam CNAME tak, aby odkazovat na místní externí adresu URL. K určení příslušné adresy URL použijte následující tabulku:
| Přiřazená oblast konektoru | Externí adresa URL |
|---|---|
| Asie | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
| Austrálie | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
| Evropě | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
| Severní Amerika | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Důležité informace
Tady je několik aspektů, které byste měli vzít v úvahu pro aplikace se zástupnými faktory.
Přijaté formáty
U aplikací se zástupným znakem musí být interní adresa URL naformátovaná jako http(s)://*.<domain>.
Při konfiguraci externí adresy URL musíte použít následující formát: https://*.<custom domain>
Jiné pozice zástupného znaku, více zástupných znaků nebo jiných řetězců regulárních výrazů nejsou podporovány a způsobují chyby.
Vyloučení aplikací ze zástupných znaků
Aplikaci můžete z aplikace se zástupným znakem vyloučit.
- Publikování aplikace výjimky jako běžné aplikace
- Povolení zástupných znaků pouze pro konkrétní aplikace prostřednictvím nastavení DNS
Publikování aplikace jako běžné aplikace je upřednostňovanou metodou vyloučení aplikace ze zástupného znaku. Vyloučené aplikace byste měli publikovat před aplikacemi se zástupnými znaky, abyste zajistili, že se vaše výjimky vynucují od začátku. Nejvýkonnější aplikace bude mít vždy přednost – aplikace publikovaná tak, jak budgets.finance.adventure-works.com má přednost před aplikací *.finance.adventure-works.com, která má naopak přednost před aplikací *.adventure-works.com.
Zástupný znak můžete také omezit tak, aby fungoval jenom pro konkrétní aplikace prostřednictvím správy DNS. Osvědčeným postupem je vytvořit položku CNAME, která obsahuje zástupný znak a odpovídá formátu externí adresy URL, kterou jste nakonfigurovali. Místo toho ale můžete nasměrovat konkrétní adresy URL aplikace na zástupné cardy. Například místo *.adventure-works.com, bod hr.adventure-works.comexpenses.adventure-works.com a travel.adventure-works.com individually na 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net.
Pokud použijete tuto možnost, potřebujete také další položku CNAME pro hodnotu AppId.domain, 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.comnapříklad , také odkazující na stejné umístění. Id aplikace najdete na stránce vlastností aplikace se zástupným znakem.
Nastavení adresy URL domovské stránky pro panel Moje aplikace
Aplikace se zástupným znakem je reprezentována pouze jednou dlaždicí na panelu Moje aplikace. Ve výchozím nastavení je tato dlaždice skrytá. Zobrazení dlaždice a zobrazení uživatelů na konkrétní stránce:
- Postupujte podle pokynů pro nastavení adresy URL domovské stránky.
- Na stránce vlastností aplikace nastavte možnost Zobrazit aplikaci na hodnotu True .
Omezené delegování kerberos
Pro aplikace používající omezené delegování kerberos (KCD) jako metodu jednotného přihlašování potřebuje hlavní název služby uvedené pro metodu jednotného přihlašování zástupný znak. Hlavní název služby může být například: HTTP/*.adventure-works.com. Stále musíte mít jednotlivé hlavní názvy služeb nakonfigurované na back-endových serverech (například HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).
Scénář 1: Obecná aplikace se zástupným znakem
V tomto scénáři máte tři různé aplikace, které chcete publikovat:
expenses.adventure-works.comhr.adventure-works.comtravel.adventure-works.com
Všechny tři aplikace:
- Používají je všichni vaši uživatelé.
- Použití integrovaného ověřování systému Windows
- Mají stejné vlastnosti
Aplikaci se zástupnými čísly můžete publikovat pomocí kroků popsaných v části Publikování aplikací pomocí proxy aplikace Microsoft Entra. Tento scénář předpokládá:
- Tenant s následujícím ID:
aaaabbbb-0000-cccc-1111-dddd2222eeee - Byla nakonfigurována ověřená
adventure-works.comdoména. - Položka CNAME, na
00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.netkterou odkazuje,*.adventure-works.combyla vytvořena.
Podle zdokumentovaných kroků vytvoříte ve svém tenantovi novou aplikaci proxy aplikací. V tomto příkladu je zástupný znak v následujících polích:
Interní adresa URL:
Externí adresa URL:
Hlavní název služby interní aplikace:
Publikováním aplikace se zástupným znakem teď můžete získat přístup ke třem aplikacím tak, že přejdete na adresy URL, travel.adventure-works.comna které jste zvyklí (například).
Konfigurace implementuje následující strukturu:
| Color | Popis |
|---|---|
| Modrý | Aplikace explicitně publikované a viditelné v Centru pro správu Microsoft Entra. |
| Šedá | Aplikace, ke které máte přístup prostřednictvím nadřazené aplikace. |
Scénář 2: Obecná aplikace se zástupným znakem s výjimkou
V tomto scénáři máte kromě tří obecných aplikací další aplikaci, finance.adventure-works.comkterá by měla být přístupná pouze oddělením Finance. S aktuální strukturou aplikace by vaše finanční aplikace byla přístupná prostřednictvím aplikace se zástupnými znaky a všemi zaměstnanci. Pokud to chcete změnit, vyloučíte aplikaci ze zástupných znaků tak, že nakonfigurujete Finance jako samostatnou aplikaci s více omezujícími oprávněními.
Ujistěte se, že existuje záznam CNAME, který odkazuje finance.adventure-works.com na koncový bod specifický pro aplikaci, zadaný na stránce proxy aplikace pro aplikaci. V tomto scénáři finance.adventure-works.com odkazuje na https://finance-awcycles.msappproxy.net/.
Podle zdokumentovaných kroků tento scénář vyžaduje následující nastavení:
V interní adrese URL nastavíte místo zástupného znaku finance.
V externí adrese URL nastavíte místo zástupného znaku finance.
Hlavní název služby interní aplikace, který jste nastavili místo zástupného znaku.
Tato konfigurace implementuje následující scénář:
Adresa URL finance.adventure-works.com je specifická. Adresa URL *.adventure-works.com není specifická. Konkrétnější adresa URL má přednost. Uživatelé, kteří přecházení mají finance.adventure-works.com zkušenosti zadané v aplikaci Finance Resources. V tomto případě mají přístup finance.adventure-works.compouze finanční zaměstnanci .
Pokud máte více aplikací publikovaných pro finance a máte finance.adventure-works.com jako ověřenou doménu, můžete publikovat jinou aplikaci *.finance.adventure-works.comse zástupnými znaky . Vzhledem k tomu, že je to konkrétnější než obecný *.adventure-works.com, má přednost, pokud uživatel přistupuje k aplikaci v finanční doméně.
Další kroky
- Další informace o vlastních doménách najdete v tématu Práce s vlastními doménami v proxy aplikací Microsoft Entra.
- Další informace o publikování aplikací najdete v tématu Publikování aplikací pomocí proxy aplikací Microsoft Entra.