Delen via

Wildcard-toepassingen in de Microsoft Entra-toepassingsproxy

  • Artikel

In Microsoft Entra ID kan het configureren van een groot aantal on-premises toepassingen snel onbeheerbaar worden en worden onnodige risico's voor configuratiefouten geïntroduceerd als veel van deze toepassingen dezelfde instellingen vereisen. Met de Microsoft Entra-toepassingsproxy kunt u dit probleem oplossen door wildcard-applicatiepublicatie te gebruiken om meerdere toepassingen tegelijkertijd te publiceren en beheren. Dit is een oplossing waarmee u het volgende kunt doen:

  • Uw administratieve overhead vereenvoudigen
  • Het aantal mogelijke configuratiefouten verminderen
  • Uw gebruikers veilig toegang geven tot meer bronnen

Dit artikel bevat de informatie die u nodig hebt om het publiceren van toepassingen met wildcards in uw omgeving te configureren.

Een wildcard-applicatie maken

U kunt een jokertekentoepassing (*) maken als u een groep toepassingen met dezelfde configuratie hebt. Potentiële kandidaten voor een jokertekentoepassing zijn toepassingen die de volgende instellingen delen:

  • De groep gebruikers die er toegang toe hebben
  • De SSO-methode
  • Het toegangsprotocol (http, https)

U kunt toepassingen met jokertekens publiceren als de interne en de externe URL's de volgende indeling hebben:

http(s)://*.<domein>

Voorbeeld: http(s)://*.adventure-works.com.

Hoewel de interne en externe URL's verschillende domeinen kunnen gebruiken, moeten ze hetzelfde zijn. Bij het publiceren van de toepassing ziet u een fout als een van de URL's geen jokerteken heeft.

Het maken van een wildcard-applicatie is gebaseerd op dezelfde publicatiestroom voor applicaties die beschikbaar is voor alle andere applicaties. Het enige verschil is dat u een jokerteken opneemt in de URL's en mogelijk de SSO-configuratie.

Vereisten

Zorg dat u aan deze vereisten voldoet om aan de slag te gaan.

Aangepaste domeinen

Hoewel aangepaste domeinen optioneel zijn voor alle andere toepassingen, zijn ze een vereiste voor jokertekentoepassingen. Voor het maken van aangepaste domeinen moet u het volgende doen:

  1. Maak een geverifieerd domein in Azure.
  2. Upload een TLS/SSL-certificaat in de PFX-indeling naar uw toepassingsproxy.

Je zou kunnen overwegen een wildcard-certificaat te gebruiken dat overeenkomt met de toepassing die je wilt maken.

Om veiligheidsredenen is dit een harde vereiste. We bieden geen ondersteuning voor jokertekens voor toepassingen die geen aangepast domein kunnen gebruiken voor de externe URL.

DNS-updates

Wanneer u aangepaste domeinen gebruikt, moet u een DNS-vermelding maken met een CNAME-record voor de externe URL (bijvoorbeeld *.adventure-works.com) die verwijst naar de externe URL van het eindpunt van de toepassingsproxy. Voor jokertekentoepassingen moet de CNAME-record verwijzen naar de relevante externe URL:

<yourAADTenantId>.tenant.runtime.msappproxy.net

Als u wilt bevestigen dat uw CNAME correct is geconfigureerd, kunt u bijvoorbeeld nslookup gebruiken op een van de doeleindpunten expenses.adventure-works.com. Uw antwoord moet de al genoemde alias (<yourAADTenantId>.tenant.runtime.msappproxy.net) bevatten.

Connectorgroepen gebruiken die zijn toegewezen aan een andere cloudserviceregio voor de toepassingsproxy dan de standaardregio

Als u connectors hebt geïnstalleerd in andere regio's dan uw standaardtenantregio, is het handig om te wijzigen in welke regio uw connectorgroep is geoptimaliseerd om de prestaties van deze toepassingen te verbeteren. Voor meer informatie raadpleegt u Connectorgroepen optimaliseren om de dichtstbijzijnde cloudservice voor toepassingsproxy te gebruiken.

Als de connectorgroep die is toegewezen aan de toepassing met jokertekens een andere regio gebruikt dan uw standaardregio, moet u de CNAME-record bijwerken om te kunnen verwijzen naar een regionale specifieke externe URL. Gebruik de volgende tabel om de relevante URL te bepalen:

Toegewezen connectorregio Externe URL
Azië <yourAADTenantId>.asia.tenant.runtime.msappproxy.net
Australië <yourAADTenantId>.aus.tenant.runtime.msappproxy.net
Europa <yourAADTenantId>.eur.tenant.runtime.msappproxy.net
Noord-Amerika <yourAADTenantId>.nam.tenant.runtime.msappproxy.net

Overwegingen

Hier volgen enkele overwegingen waarmee u rekening moet houden voor jokertekentoepassingen.

Geaccepteerde indelingen

Voor jokertekentoepassingen moet de interne URL worden opgemaakt als http(s)://*.<domain>.

Gebruik voor interne URL de indeling http(s)://*.<domein>

Wanneer u een externe URL configureert, moet u de volgende indeling gebruiken: https://*.<custom domain>

Gebruik voor externe URL de indeling https://*.<aangepast domein>

Andere posities van het jokerteken, meerdere jokertekens of andere regex-tekenreeksen worden niet ondersteund en veroorzaken fouten.

Toepassingen uitsluiten van de wildcard

U kunt een toepassing uitsluiten van de jokertekentoepassing door

  • De exceptietoepassing publiceren als een reguliere toepassing.
  • Het jokerteken alleen in te schakelen voor specifieke toepassingen via uw DNS-instellingen

Het publiceren van een toepassing als gewone toepassing is de voorkeursmethode om een toepassing uit te sluiten van een jokerteken. Publiceer de uitgesloten toepassingen vóór de jokertekentoepassingen om ervoor te zorgen dat uw uitzonderingen van meet af aan worden gehandhaafd. De meest specifieke toepassing heeft altijd voorrang: een toepassing die is gepubliceerd als budgets.finance.adventure-works.com voorrang op de toepassing *.finance.adventure-works.com, die op zijn beurt voorrang heeft op de toepassing *.adventure-works.com.

U kunt het jokerteken ook beperken om alleen te laten werken voor specifieke toepassingen met uw DNS-beheer. Als best practice moet u een CNAME-vermelding maken die een jokerteken bevat en overeenkomt met de indeling van de externe URL die u hebt geconfigureerd. U kunt echter in plaats daarvan specifieke toepassings-URL's naar de jokertekens verwijzen. Wijs bijvoorbeeld hr.adventure-works.com, expenses.adventure-works.com en travel.adventure-works.com individually toe aan 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net in plaats van *.adventure-works.com.

Als u deze optie gebruikt, hebt u ook een andere CNAME-vermelding nodig voor de waarde AppId.domain. Bijvoorbeeld, 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.comdie ook naar dezelfde locatie wijst. U vindt de AppId op de pagina met toepassingseigenschappen van de toepassing met jokertekens.

De startpagina-URL voor het deelvenster MyApps instellen

De wildcardtoepassing wordt weergegeven als slechts één tegel in het deelvenster MyApps. Deze tegel is standaard verborgen. De tegel weergeven en gebruikers op een specifieke pagina laten landen:

  1. Volg de richtlijnen voor het instellen van een startpagina-URL.
  2. Stel Toepassing weergeven in op true op de pagina eigenschappen van de toepassing.

Beperkte Kerberos-gedelegeerde autorisatie

Voor toepassingen die gebruikmaken van beperkte kerberos-delegering (KCD) als de methode SSO, heeft de SPN die wordt vermeld voor de SSO-methode een jokerteken nodig. De SPN kan bijvoorbeeld zijn: HTTP/*.adventure-works.com. U moet nog steeds de afzonderlijke SPN's configureren op uw back-endservers (bijvoorbeeld HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).

Scenario 1: Algemene toepassing van wildcard

In dit scenario hebt u drie verschillende toepassingen die u wilt publiceren:

  • expenses.adventure-works.com
  • hr.adventure-works.com
  • travel.adventure-works.com

Alle drie toepassingen:

  • Worden gebruikt door al uw gebruikers
  • Gebruik Geïntegreerde Windows-verificatie
  • Dezelfde eigenschappen hebben

U kunt de jokertekentoepassing publiceren met behulp van de stappen die worden beschreven in Toepassingen publiceren met behulp van de Microsoft Entra-toepassingsproxy. In dit scenario wordt ervan uitgegaan dat:

  • Een tenant met de volgende id: aaaabbbb-0000-cccc-1111-dddd2222eeee
  • Er is een geverifieerd domein geconfigureerd met de naam adventure-works.com.
  • Er is een CNAME-vermelding gemaakt die *.adventure-works.com verwijst naar 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net.

Na de gedocumenteerde stappen maakt u een nieuwe toepassingsproxytoepassing in uw tenant. In dit voorbeeld bevindt het jokerteken zich in de volgende velden:

  • Interne URL:

    Voorbeeld: jokerteken in interne URL

  • Externe URL:

    Voorbeeld: jokerteken in externe URL

  • SPN voor interne toepassing:

    Voorbeeld: Wildcard in SPN-configuratie

Door de toepassing met jokertekens te publiceren, hebt u nu toegang tot uw drie toepassingen door te navigeren naar de URL's waaraan u bent gewend (bijvoorbeeld travel.adventure-works.com).

De configuratie implementeert de volgende structuur:

Toont de structuur geïmplementeerd door de voorbeeldconfiguratie

Kleur Beschrijving
Blauw Toepassingen die expliciet zijn gepubliceerd en zichtbaar zijn in het Microsoft Entra-beheercentrum.
Grijs Toepassingen die u kunt openen via de hoofdtoepassing.

Scenario 2: algemene jokertekentoepassing met uitzondering

In dit scenario hebt u naast de drie algemene toepassingen een andere toepassing, finance.adventure-works.com, die alleen toegankelijk moet zijn voor de afdeling Financiën. Met de huidige toepassingsstructuur is uw financiële toepassing toegankelijk via de jokertekentoepassing en door alle werknemers. Als u dit wilt wijzigen, sluit u uw toepassing uit van uw jokerteken door Financiën te configureren als afzonderlijke toepassing met meer beperkende machtigingen.

Zorg ervoor dat er een CNAME-record bestaat die verwijst finance.adventure-works.com naar het toepassingsspecifieke eindpunt, dat is opgegeven op de pagina van de toepassingsproxy voor de toepassing. Voor dit scenario verwijst finance.adventure-works.com naar https://finance-awcycles.msappproxy.net/.

Voor dit scenario zijn de volgende instellingen vereist volgens de gedocumenteerde stappen:

  • In de interne URL stelt u Financiën in plaats van een jokerteken in.

    Voorbeeld: financiën instellen in plaats van een jokerteken in interne URL

  • In de externe URL stelt u Financiën in plaats van een jokerteken in.

    Voorbeeld: Stel financiën in in plaats van een wildcard in externe URL

  • Met de interne toepassings-SPN hebt u finance ingesteld in plaats van een jokerteken.

    Voorbeeld: Stel finance in in plaats van een wildcard in SPN-configuratie

De configuratie implementeert het volgende scenario:

Toont de configuratie geïmplementeerd door het voorbeeldscenario

De URL finance.adventure-works.com is uniek. De URL *.adventure-works.com is niet specifiek. De specifiekere URL heeft voorrang. Gebruikers die navigeren naar finance.adventure-works.com krijgen de ervaring die is opgegeven in de toepassing Finance Resources. In dit geval hebben alleen financiële medewerkers toegang tot finance.adventure-works.com.

Als u meerdere toepassingen hebt gepubliceerd voor financiën en finance.adventure-works.com als geverifieerd domein hebt, kunt u een andere jokertekentoepassing *.finance.adventure-works.compubliceren. Omdat dit specifieker is dan het algemene *.adventure-works.com, krijgt dit voorrang als een gebruiker toegang heeft tot een toepassing in het financiële domein.

Volgende stappen