Použití proxy aplikací Microsoft Entra k publikování místních aplikací pro vzdálené uživatele
Proxy aplikace Microsoft Entra poskytuje zabezpečený vzdálený přístup k místním webovým aplikacím. Po jednotném přihlašování k Microsoft Entra ID můžou uživatelé přistupovat ke cloudovým i místním aplikacím prostřednictvím externí adresy URL nebo interního portálu aplikací. Proxy aplikací může například poskytovat vzdálený přístup a jednotné přihlašování ke vzdálené ploše, SharePointu, Teams, Tableau, Qliku a obchodním aplikacím.
Proxy aplikace Microsoft Entra je:
Jednoduché použití. Uživatelé můžou přistupovat k vašim místním aplikacím stejným způsobem, jakým přistupují k Microsoftu 365 a dalším aplikacím SaaS integrovaným s Microsoft Entra ID. Abyste mohli pracovat s proxy aplikací, nemusíte měnit ani aktualizovat aplikace.
Zabezpečené: Místní aplikace můžou používat autorizační mechanismy Azure a analýzy zabezpečení. Například místní aplikace můžou používat podmíněný přístup a dvoustupňové ověřování. Proxy aplikací nevyžaduje otevření příchozích připojení přes bránu firewall.
Nákladově efektivní. Místní řešení obvykle vyžadují nastavení a údržbu demilitarizovaných zón (DMZ), hraničních serverů nebo jiných složitých infrastruktur. Proxy aplikací běží v cloudu, což usnadňuje použití. Pokud chcete používat proxy aplikací, nemusíte měnit síťovou infrastrukturu ani instalovat více zařízení ve vašem místním prostředí.
Tip
Pokud už máte Microsoft Entra ID, můžete ho využít jako jednu řídicí rovinu, která umožňuje bezproblémový a zabezpečený přístup k vašim místním aplikacím.
I když není vyčerpávající, následující seznam ukazuje příklady použití proxy aplikací ve scénáři hybridní koexistence:
- Externí publikování místních webových aplikací bez DMZ
- Podpora jednotného přihlašování (SSO) napříč zařízeními, prostředky a aplikacemi v cloudu a v místním prostředí
- Podpora vícefaktorového ověřování pro aplikace v cloudu a v místním prostředí
- Rychlé využití cloudových funkcí se zabezpečením Microsoft Cloudu
- Centralizovaná správa uživatelských účtů
- Centralizované řízení identit a zabezpečení
- Automatické přidání nebo odebrání uživatelského přístupu k aplikacím na základě členství ve skupině
Tento článek vysvětluje, jak Microsoft Entra ID a proxy aplikace poskytují vzdáleným uživatelům jednotné přihlašování (SSO). Uživatelé se bezpečně připojují k místním aplikacím bez serverů sítě VPN nebo s duálním domovem a pravidel brány firewall. Tento článek nabízí informace, jak proxy aplikací zajišťuje funkce a výhody zabezpečení cloudu místním webovým aplikacím. Kromě toho popisuje možnou architekturu a topologie.
Tip
Proxy aplikací zahrnuje službu proxy aplikací, která běží v cloudu, i privátní síťový konektor, který běží na místním serveru. Microsoft Entra ID, služba proxy aplikací a privátní síťový konektor spolupracují, aby bezpečně předal token přihlašování uživatele z Microsoft Entra ID do webové aplikace.
Proxy aplikací funguje s:
- Webové aplikace, které k ověřování používají integrované ověřování systému Windows
- Webové aplikace, které používají přístup založený na formuláři nebo hlavičce
- Webová rozhraní API, která chcete zpřístupnit bohatým aplikacím na různých zařízeních
- Aplikace hostované za bránou vzdálené plochy
- Bohaté klientské aplikace integrované s knihovnou Microsoft Authentication Library (MSAL)
Proxy aplikace podporuje jednotné přihlašování. Další informace o podporovaných metodách najdete v tématu Volba metody jednotného přihlašování.
Vzdálený přístup v minulosti
Dříve byla vaše řídicí rovina pro ochranu interních prostředků před útočníky při usnadnění přístupu vzdálenými uživateli všechna v DMZ nebo hraniční síti. Řešení VPN a reverzního proxy serveru nasazená v DMZ, která používají externí klienti pro přístup k podnikovým prostředkům, ale nejsou vhodná pro cloudový svět. Obvykle trpí následujícími nevýhodami:
- Hardwarové náklady
- Udržování zabezpečení (opravy, monitorování portů atd.)
- Ověřování uživatelů na hraničních zařízeních
- Ověřování uživatelů na webových serverech v hraniční síti
- Udržování přístupu k síti VPN pro vzdálené uživatele s distribucí a konfigurací klientského softwaru VPN Také udržování serverů připojených k doméně v DMZ, které můžou být zranitelné vůči vnějším útokům.
V dnešním cloudovém světě je pro kontrolu, kdo a co se dostane do vaší sítě, nejvhodnější microsoft Entra ID. Proxy aplikací Microsoft Entra se integruje s moderními technologiemi ověřování a cloudovými technologiemi, jako jsou aplikace SaaS a zprostředkovatelé identit. Tato integrace umožňuje uživatelům přistupovat k aplikacím odkudkoli. Proxy aplikací je nejen vhodnější pro dnešní digitální pracoviště, je bezpečnější než řešení VPN a reverzního proxy serveru a snadněji se implementují. Vzdálení uživatelé můžou přistupovat k vašim místním aplikacím stejným způsobem, jakým přistupují k Microsoftu a dalším aplikacím SaaS integrovaným s Microsoft Entra ID. Abyste mohli pracovat s proxy aplikací, nemusíte měnit ani aktualizovat aplikace. Proxy aplikací navíc nevyžaduje otevření příchozích připojení přes bránu firewall. S proxy aplikací jednoduše nastavíte a zapomenete ho.
Budoucnost vzdáleného přístupu
V dnešním digitálním pracovišti pracují uživatelé kdekoli s více zařízeními a aplikacemi. Jedinou konstantou je identita uživatele. To je důvod, proč prvním krokem k zabezpečené síti dnes je použití funkcí správy identit Microsoft Entra jako roviny řízení zabezpečení. Model, který používá identitu jako řídicí rovinu, se obvykle skládá z následujících komponent:
- Zprostředkovatel identity, který sleduje uživatele a informace související s uživatelem.
- Adresář zařízení pro správu seznamu zařízení, která mají přístup k podnikovým prostředkům. Tento adresář obsahuje odpovídající informace o zařízení (například typ zařízení, integrita atd.).
- Služba vyhodnocení zásad, která určuje, jestli uživatel a zařízení odpovídají zásadám nastaveným správci zabezpečení.
- Možnost udělit nebo odepřít přístup k prostředkům organizace
Pomocí proxy aplikací sleduje Microsoft Entra ID uživatelů, kteří potřebují přístup k webovým aplikacím publikovaným místně i v cloudu. Poskytuje centrální bod správy pro tyto aplikace. I když to není povinné, doporučuje se také povolit podmíněný přístup Microsoft Entra. Definováním podmínek, jak se uživatelé ověřují a získávají přístup, dále zajistíte, aby k vašim aplikacím přistupovali správní lidé.
Poznámka:
Je důležité si uvědomit, že proxy aplikace Microsoft Entra je určené jako vpn nebo reverzní náhrada proxy serveru pro roaming (nebo vzdálené uživatele), kteří potřebují přístup k interním prostředkům. Není určená pro interní uživatele v podnikové síti. Interní uživatelé, kteří zbytečně používají proxy aplikace, můžou zavádět neočekávané a nežádoucí problémy s výkonem.
Přehled fungování proxy aplikací
Diagram znázorňuje, jak společně fungují ID Microsoft Entra a proxy aplikace a poskytují jednotné přihlašování k místním aplikacím.
- Uživatel se po přístupu k aplikaci přes koncový bod přesměruje na přihlašovací stránku Microsoft Entra.
- Microsoft Entra ID odešle token do klientského zařízení uživatele po úspěšném přihlášení.
- Klient odešle token službě proxy aplikací. Služba načte hlavní název uživatele (UPN) a hlavní název zabezpečení (SPN) z tokenu. Proxy aplikace pak odešle požadavek do konektoru.
- Konektor provádí ověřování jednotného přihlašování požadované jménem uživatele.
- Konektor odešle požadavek do místní aplikace.
- Odpověď se odešle prostřednictvím konektoru a služby proxy aplikací uživateli.
Poznámka:
Stejně jako většina hybridních agentů Microsoft Entra nevyžaduje, abyste prostřednictvím brány firewall otevřeli příchozí připojení. Uživatelský provoz v kroku 3 se ukončí ve službě proxy aplikací. Konektor privátní sítě, který se nachází ve vaší privátní síti, zodpovídá za zbytek komunikace.
Komponenta | Popis |
---|---|
Koncový bod | Koncový bod je adresa URL nebo portál koncového uživatele. Uživatelé se můžou spojit s aplikacemi mimo vaši síť tak, že přistupují k externí adrese URL. Uživatelé ve vaší síti mají přístup k aplikaci prostřednictvím adresy URL nebo portálu pro koncové uživatele. Když uživatelé přejdou na jeden z těchto koncových bodů, ověří se v Microsoft Entra ID a pak se přes konektor přesměrují do místní aplikace. |
Microsoft Entra ID | ID Microsoft Entra provádí ověřování pomocí adresáře tenanta uloženého v cloudu. |
Služba proxy aplikací | Tato služba proxy aplikací běží v cloudu jako součást ID Microsoft Entra. Token přihlašování předá uživateli do privátního síťového konektoru. Proxy aplikace předá všechny přístupné hlavičky na požadavku a nastaví hlavičky podle jeho protokolu na IP adresu klienta. Pokud příchozí požadavek na proxy server už má tuto hlavičku, ip adresa klienta se přidá na konec seznamu odděleného čárkami, který je hodnotou hlavičky. |
Konektor privátní sítě | Konektor je jednoduchý agent, který běží na Windows Serveru v síti. Konektor spravuje komunikaci mezi službou proxy aplikací v cloudu a místní aplikací. Konektor používá jenom odchozí připojení, takže nemusíte otevírat příchozí porty v internetových sítích. Konektory jsou bezstavové a podle potřeby načítají informace z cloudu. Další informace o konektorech, jako je vyrovnávání zatížení a ověřování, najdete v tématu Vysvětlení privátních síťových konektorů Microsoft Entra. |
Active Directory (AD) | Služba Active Directory běží místně, aby prováděla ověřování pro účty domény. Když je nakonfigurované jednotné přihlašování, konektor komunikuje se službou AD, aby provedl jakékoli další požadované ověřování. |
Místní aplikace | Nakonec má uživatel přístup k místní aplikaci. |
Proxy aplikací je služba Microsoft Entra, kterou konfigurujete v Centru pro správu Microsoft Entra. Umožňuje publikovat externí veřejný koncový bod adresy URL HTTP/HTTPS v cloudu Azure, který se připojuje k interní adrese URL aplikačního serveru ve vaší organizaci. Tyto místní webové aplikace je možné integrovat s ID Microsoft Entra, aby bylo možné podporovat jednotné přihlašování. Uživatelé pak můžou přistupovat k místním webovým aplikacím stejným způsobem, jakým přistupují k Microsoftu 365 a dalším aplikacím SaaS.
Součástí této funkce je služba proxy aplikací, která běží v cloudu, privátní síťový konektor, což je jednoduchý agent, který běží na místním serveru, a Microsoft Entra ID, což je zprostředkovatel identity. Všechny tři komponenty spolupracují a poskytují uživateli jednotné přihlašování pro přístup k místním webovým aplikacím.
Jakmile se uživatel ověří, můžou externí uživatelé přistupovat k místním webovým aplikacím pomocí adresy URL pro zobrazení nebo Moje aplikace ze svých stolních nebo iOS/MAC zařízení. Proxy aplikací může například poskytovat vzdálený přístup a jednotné přihlašování ke vzdálené ploše, sharepointovým webům, tableau, Qliku, Outlook na webu a obchodním aplikacím.
Ověřování
Existuje několik způsobů konfigurace aplikace pro jednotné přihlašování a metoda, kterou vyberete, závisí na ověřování, které vaše aplikace používá. Proxy aplikace podporuje následující typy aplikací:
- Webové aplikace
- Webová rozhraní API, která chcete zpřístupnit bohatým aplikacím na různých zařízeních
- Aplikace hostované za bránou vzdálené plochy
- Bohaté klientské aplikace integrované s knihovnou Microsoft Authentication Library (MSAL)
Proxy aplikací funguje s aplikacemi, které používají následující nativní ověřovací protokol:
- Integrované ověřování systému Windows (IWA) Privátní síťové konektory IWA používají k ověřování uživatelů v aplikaci Kerberos omezené delegování kerberos (KCD).
Proxy aplikací podporuje také následující ověřovací protokoly s integrací třetích stran nebo v konkrétních konfiguračních scénářích:
- Ověřování na základě hlaviček Tato metoda přihlašování používá ověřovací službu třetí strany s názvem PingAccess a používá se, když aplikace k ověřování používá hlavičky. V tomto scénáři se ověřování zpracovává pomocí PingAccessu.
- Ověřování pomocí formulářů nebo hesla Pomocí této metody ověřování se uživatelé při prvním přístupu k aplikaci přihlašují pomocí uživatelského jména a hesla. Po prvním přihlášení microsoft Entra ID do aplikace zadá uživatelské jméno a heslo. V tomto scénáři se ověřování zpracovává pomocí ID Microsoft Entra.
- Ověřování SAML Jednotné přihlašování založené na SAML je podporováno pro aplikace, které používají protokoly SAML 2.0 nebo WS-Federation. V případě jednotného přihlašování SAML se služba Microsoft Entra ověří v aplikaci pomocí účtu Microsoft Entra uživatele.
Další informace o podporovaných metodách najdete v tématu Volba metody jednotného přihlašování.
Výhody zabezpečení
Řešení vzdáleného přístupu nabízené proxy aplikací a Microsoft Entra podporují několik výhod zabezpečení, které mohou zákazníci využít, včetně:
Ověřený přístup. Proxy aplikací je nejvhodnější pro publikování aplikací s předběžným ověřováním, aby se zajistilo, že se k síti dostane jenom ověřená připojení. Do místního prostředí není povolený žádný provoz, který by prošel službou proxy aplikací bez platného tokenu pro aplikace publikované s předběžným ověřováním. Předběžné ověřování ve své podstatě blokuje významný počet cílených útoků, protože k back-endové aplikaci mají přístup pouze ověřené identity.
Podmíněný přístup. Před navázáním připojení k síti je možné použít rozsáhlejší ovládací prvky zásad. Pomocí podmíněného přístupu můžete definovat omezení provozu, který umožňuje přístup k back-endové aplikaci. Vytvoříte zásady, které omezují přihlášení na základě umístění, síly ověřování a profilu rizika uživatele. S vývojem podmíněného přístupu se přidává další ovládací prvky, které poskytují další zabezpečení, jako je integrace s Microsoft Defenderem pro cloudové aplikace. Integrace Defenderu for Cloud Apps umožňuje nakonfigurovat místní aplikaci pro monitorování v reálném čase pomocí podmíněného přístupu k monitorování a řízení relací v reálném čase na základě zásad podmíněného přístupu.
Ukončení provozu. Veškerý provoz do back-endové aplikace se ukončí ve službě proxy aplikací v cloudu, zatímco se relace znovu naváže s back-endovým serverem. Tato strategie připojení znamená, že back-endové servery nejsou vystavené přímému provozu HTTP. Jsou lépe chráněny proti cílovým útokům DoS (dos-of-service), protože vaše brána firewall není napadená.
Veškerý přístup je odchozí. Konektory privátní sítě používají odchozí připojení pouze ke službě proxy aplikací v cloudu přes porty 80 a 443. Bez příchozích připojení není nutné otevírat porty brány firewall pro příchozí připojení nebo komponenty v DMZ. Všechna připojení jsou odchozí a přes zabezpečený kanál.
Inteligentní funkce založené na službě Security Analytics a Machine Learning (ML). Vzhledem k tomu, že je součástí Microsoft Entra ID, proxy aplikace může využívat Microsoft Entra ID Protection (vyžaduje licencování Premium P2). Microsoft Entra ID Protection kombinuje analýzu zabezpečení strojového učení s datovými kanály z oddělení digitálních trestných činů Microsoftu a centra Microsoft Security Response Center za účelem proaktivně identifikovat ohrožené účty. Microsoft Entra ID Protection nabízí ochranu před vysoce rizikovými přihlášeními v reálném čase. Bere v úvahu faktory, jako je přístup z napadených zařízení, prostřednictvím anonymizace sítí nebo z atypických a nepravděpodobného umístění, aby se zvýšil profil rizika relace. Tento profil rizika se používá k ochraně v reálném čase. Mnohé z těchto sestav a událostí jsou již dostupné prostřednictvím rozhraní API pro integraci s vašimi systémy SIEM.
Vzdálený přístup jako služba. Nemusíte se starat o údržbu a opravy místních serverů, abyste povolili vzdálený přístup. Proxy aplikací je služba škálování na internetu, kterou vlastní Microsoft, takže vždy získáte nejnovější opravy zabezpečení a upgrady. Nepatchovaný software stále představuje velký počet útoků. Podle ministerstva vnitřní bezpečnosti je možné zabránit až 85 % cílených útoků. S tímto modelem služeb už nemusíte nést velkou zátěž při správě hraničních serverů a podle potřeby je opravovat.
Integrace Intune V Intune se firemní provoz směruje odděleně od osobního provozu. Proxy aplikace zajišťuje ověření podnikového provozu. Proxy aplikací a funkce Intune Managed Browser je také možné použít společně, aby vzdálení uživatelé mohli bezpečně přistupovat k interním webům ze zařízení s iOSem a Androidem.
Plán přechodu do cloudu
Další hlavní výhodou implementace proxy aplikací je rozšíření Microsoft Entra ID do vašeho místního prostředí. Implementace proxy aplikací je ve skutečnosti klíčovým krokem při přesunu organizace a aplikací do cloudu. Přechodem do cloudu a mimo místní ověřování snížíte nároky na místní prostředí a jako řídicí rovinu použijete funkce správy identit Microsoft Entra. S minimálními nebo žádnými aktualizacemi stávajících aplikací máte přístup ke cloudovým možnostem, jako je jednotné přihlašování, vícefaktorové ověřování a centrální správa. Instalace nezbytných komponent do proxy aplikací je jednoduchý proces pro vytvoření architektury vzdáleného přístupu. A přechodem do cloudu máte přístup k nejnovějším funkcím, aktualizacím a funkcím Microsoft Entra, jako je vysoká dostupnost a zotavení po havárii.
Další informace o migraci aplikací do Microsoft Entra ID najdete v tématu Migrace aplikací do Microsoft Entra ID.
Architektura
Diagram znázorňuje obecně, jak společně fungují ověřovací služby Microsoft Entra a proxy aplikací, aby uživatelům poskytovaly jednotné přihlašování k místním aplikacím.
- Po přístupu uživatele k aplikaci prostřednictvím koncového bodu se uživatel přesměruje na přihlašovací stránku Microsoft Entra. Pokud jste nakonfigurovali zásady podmíněného přístupu, zkontrolují se v tuto chvíli konkrétní podmínky, abyste zajistili, že splňujete požadavky vaší organizace na zabezpečení.
- Po úspěšném přihlášení odešle ID Microsoft Entra token do klientského zařízení uživatele.
- Klient odešle token službě proxy aplikací, která z tokenu načte hlavní název uživatele (UPN) a hlavní název zabezpečení (SPN).
- Proxy aplikace předá požadavek, který je vyzvednut privátním síťovým konektorem.
- Konektor provede jakékoli další ověření vyžadované jménem uživatele (volitelné v závislosti na metodě ověřování), vyžádá si interní koncový bod aplikačního serveru a odešle požadavek do místní aplikace.
- Odpověď aplikačního serveru se odešle prostřednictvím konektoru do služby proxy aplikací.
- Odpověď se odešle ze služby proxy aplikace uživateli.
Proxy aplikace Microsoft Entra se skládá z cloudové služby proxy aplikací a místního konektoru. Konektor naslouchá žádostem ze služby proxy aplikací a zpracovává připojení k interním aplikacím. Je důležité si uvědomit, že veškerá komunikace probíhá přes protokol TLS a vždy pochází z konektoru ke službě proxy aplikací. To znamená, že komunikace je pouze odchozí. Konektor používá klientský certifikát k ověření ve službě proxy aplikací pro všechna volání. Jedinou výjimkou zabezpečení připojení je počáteční krok instalace, ve kterém je navázán klientský certifikát. Další podrobnosti najdete v proxy aplikací pod kapotou .
Microsoft Entra Private Network Connector
Proxy aplikace používá konektor privátní sítě Microsoft Entra. Stejný konektor používá Microsoft Entra Soukromý přístup. Další informace o konektorech najdete v tématu Microsoft Entra Private Network Connector.
Jiné případy použití
Do této chvíle jsme se zaměřili na externí publikování místních aplikací pomocí proxy aplikací a současně jsme povolovali jednotné přihlašování ke všem cloudovým a místním aplikacím. Existují ale i jiné případy použití proxy aplikací, které stojí za zmínku. Patří sem:
- Bezpečně publikujte rozhraní REST API. Pokud máte obchodní logiku nebo rozhraní API spuštěná místně nebo hostovaná na virtuálních počítačích v cloudu, proxy aplikace poskytuje veřejný koncový bod pro přístup k rozhraní API. Přístup ke koncovému bodu rozhraní API umožňuje řídit ověřování a autorizaci bez nutnosti příchozích portů. Poskytuje další zabezpečení prostřednictvím funkcí Microsoft Entra ID P1 nebo P2, jako je vícefaktorové ověřování a podmíněný přístup založený na zařízeních s desktopy, iOS, MAC a Androidem pomocí Intune. Další informace najdete v tématu Jak povolit nativním klientským aplikacím interakci s proxy aplikacemi a chránit rozhraní API pomocí OAuth 2.0 s Microsoft Entra ID a API Management.
- Vzdálená plocha (RDS) Standardní nasazení RDS vyžadují otevřená příchozí připojení. Nasazení RDS s proxy aplikací má však trvalé odchozí připojení ze serveru, na kterém běží služba konektoru. Díky tomu můžete uživatelům nabídnout více aplikací publikováním místních aplikací prostřednictvím služby Vzdálená plocha. Můžete také snížit prostor pro útok na nasazení s omezenou sadou dvoustupňového ověřování a řízení podmíněného přístupu do rdS.
- Publikujte aplikace, které se připojují pomocí webSocket. Podpora Qlik Sense je ve verzi Public Preview a v budoucnu se rozšíří do dalších aplikací.
- Povolte nativní klientské aplikace pro interakci s proxy aplikacemi. Proxy aplikace Microsoft Entra můžete použít k publikování webových aplikací, ale lze ho použít také k publikování nativních klientských aplikací nakonfigurovaných pomocí knihovny MICROSOFT Authentication Library (MSAL). Nativní klientské aplikace se liší od webových aplikací, protože jsou nainstalované na zařízení, zatímco k webovým aplikacím se přistupuje přes prohlížeč.
Závěr
Způsob práce a používané nástroje se rychle mění. Díky většímu počtu zaměstnanců, kteří přinesou svá vlastní zařízení do práce, a také se musí vyvíjet způsob, jakým organizace spravují a zabezpečují svá data. Společnosti už nepracují výhradně ve svých vlastních stěnách, které jsou chráněny příkopem, který obklopuje jejich hranice. Data putují do více umístění než kdy dřív – v místních i cloudových prostředích. Tento vývoj pomáhá zvýšit produktivitu a schopnost uživatelů spolupracovat, ale zároveň zvyšuje ochranu citlivých dat.
Bez ohledu na to, jestli aktuálně používáte ID Microsoft Entra ke správě uživatelů ve scénáři hybridní koexistence nebo vás zajímá zahájení cesty ke cloudu, může implementace proxy aplikací Microsoft Entra pomoct snížit velikost místních nároků tím, že poskytuje vzdálený přístup jako službu.
Organizace by dnes měly využívat proxy aplikací, aby využívaly následující výhody:
- Publikování místních aplikací externě bez režijních nákladů spojených s údržbou tradiční sítě VPN nebo jiných místních řešení publikování na webu a přístupu DMZ
- Jednotné přihlašování ke všem aplikacím, ať už se jedná o Microsoft 365 nebo jiné aplikace SaaS a včetně místních aplikací
- Zabezpečení cloudového škálování, ve kterém Microsoft Entra využívá telemetrii Microsoftu 365, aby se zabránilo neoprávněnému přístupu
- Integrace Intune pro zajištění ověření podnikového provozu
- Centralizace správy uživatelských účtů
- Automatické aktualizace, abyste měli jistotu, že máte nejnovější opravy zabezpečení
- Nové funkce při jejich vydání; nejnovější podpora jednotného přihlašování SAML a podrobnější správa souborů cookie aplikací