Wildcard-toepassingen in de Microsoft Entra-toepassingsproxy
In Microsoft Entra ID kan het configureren van een groot aantal on-premises toepassingen snel onbeheerbaar worden en worden onnodige risico's voor configuratiefouten geïntroduceerd als veel van deze toepassingen dezelfde instellingen vereisen. Met de Microsoft Entra-toepassingsproxy kunt u dit probleem oplossen door wildcard-applicatiepublicatie te gebruiken om meerdere toepassingen tegelijkertijd te publiceren en beheren. Dit is een oplossing waarmee u het volgende kunt doen:
- Uw administratieve overhead vereenvoudigen
- Het aantal mogelijke configuratiefouten verminderen
- Uw gebruikers veilig toegang geven tot meer bronnen
Dit artikel bevat de informatie die u nodig hebt om het publiceren van toepassingen met wildcards in uw omgeving te configureren.
Een wildcard-applicatie maken
U kunt een jokertekentoepassing (*) maken als u een groep toepassingen met dezelfde configuratie hebt. Potentiële kandidaten voor een jokertekentoepassing zijn toepassingen die de volgende instellingen delen:
- De groep gebruikers die er toegang toe hebben
- De SSO-methode
- Het toegangsprotocol (http, https)
U kunt toepassingen met jokertekens publiceren als de interne en de externe URL's de volgende indeling hebben:
http(s)://*.<domein>
Voorbeeld: http(s)://*.adventure-works.com
.
Hoewel de interne en externe URL's verschillende domeinen kunnen gebruiken, moeten ze hetzelfde zijn. Bij het publiceren van de toepassing ziet u een fout als een van de URL's geen jokerteken heeft.
Het maken van een wildcard-applicatie is gebaseerd op dezelfde publicatiestroom voor applicaties die beschikbaar is voor alle andere applicaties. Het enige verschil is dat u een jokerteken opneemt in de URL's en mogelijk de SSO-configuratie.
Vereisten
Zorg dat u aan deze vereisten voldoet om aan de slag te gaan.
Aangepaste domeinen
Hoewel aangepaste domeinen optioneel zijn voor alle andere toepassingen, zijn ze een vereiste voor jokertekentoepassingen. Voor het maken van aangepaste domeinen moet u het volgende doen:
- Maak een geverifieerd domein in Azure.
- Upload een TLS/SSL-certificaat in de PFX-indeling naar uw toepassingsproxy.
Je zou kunnen overwegen een wildcard-certificaat te gebruiken dat overeenkomt met de toepassing die je wilt maken.
Om veiligheidsredenen is dit een harde vereiste. We bieden geen ondersteuning voor jokertekens voor toepassingen die geen aangepast domein kunnen gebruiken voor de externe URL.
DNS-updates
Wanneer u aangepaste domeinen gebruikt, moet u een DNS-vermelding maken met een CNAME-record voor de externe URL (bijvoorbeeld *.adventure-works.com
) die verwijst naar de externe URL van het eindpunt van de toepassingsproxy. Voor jokertekentoepassingen moet de CNAME-record verwijzen naar de relevante externe URL:
<yourAADTenantId>.tenant.runtime.msappproxy.net
Als u wilt bevestigen dat uw CNAME correct is geconfigureerd, kunt u bijvoorbeeld nslookup gebruiken op een van de doeleindpunten expenses.adventure-works.com
. Uw antwoord moet de al genoemde alias (<yourAADTenantId>.tenant.runtime.msappproxy.net
) bevatten.
Connectorgroepen gebruiken die zijn toegewezen aan een andere cloudserviceregio voor de toepassingsproxy dan de standaardregio
Als u connectors hebt geïnstalleerd in andere regio's dan uw standaardtenantregio, is het handig om te wijzigen in welke regio uw connectorgroep is geoptimaliseerd om de prestaties van deze toepassingen te verbeteren. Voor meer informatie raadpleegt u Connectorgroepen optimaliseren om de dichtstbijzijnde cloudservice voor toepassingsproxy te gebruiken.
Als de connectorgroep die is toegewezen aan de toepassing met jokertekens een andere regio gebruikt dan uw standaardregio, moet u de CNAME-record bijwerken om te kunnen verwijzen naar een regionale specifieke externe URL. Gebruik de volgende tabel om de relevante URL te bepalen:
Toegewezen connectorregio | Externe URL |
---|---|
Azië | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
Australië | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
Europa | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
Noord-Amerika | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Overwegingen
Hier volgen enkele overwegingen waarmee u rekening moet houden voor jokertekentoepassingen.
Geaccepteerde indelingen
Voor jokertekentoepassingen moet de interne URL worden opgemaakt als http(s)://*.<domain>
.
Wanneer u een externe URL configureert, moet u de volgende indeling gebruiken: https://*.<custom domain>
Andere posities van het jokerteken, meerdere jokertekens of andere regex-tekenreeksen worden niet ondersteund en veroorzaken fouten.
Toepassingen uitsluiten van de wildcard
U kunt een toepassing uitsluiten van de jokertekentoepassing door
- De exceptietoepassing publiceren als een reguliere toepassing.
- Het jokerteken alleen in te schakelen voor specifieke toepassingen via uw DNS-instellingen
Het publiceren van een toepassing als gewone toepassing is de voorkeursmethode om een toepassing uit te sluiten van een jokerteken. Publiceer de uitgesloten toepassingen vóór de jokertekentoepassingen om ervoor te zorgen dat uw uitzonderingen van meet af aan worden gehandhaafd. De meest specifieke toepassing heeft altijd voorrang: een toepassing die is gepubliceerd als budgets.finance.adventure-works.com
voorrang op de toepassing *.finance.adventure-works.com
, die op zijn beurt voorrang heeft op de toepassing *.adventure-works.com
.
U kunt het jokerteken ook beperken om alleen te laten werken voor specifieke toepassingen met uw DNS-beheer. Als best practice moet u een CNAME-vermelding maken die een jokerteken bevat en overeenkomt met de indeling van de externe URL die u hebt geconfigureerd. U kunt echter in plaats daarvan specifieke toepassings-URL's naar de jokertekens verwijzen. Wijs bijvoorbeeld hr.adventure-works.com
, expenses.adventure-works.com
en travel.adventure-works.com individually
toe aan 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net
in plaats van *.adventure-works.com
.
Als u deze optie gebruikt, hebt u ook een andere CNAME-vermelding nodig voor de waarde AppId.domain
. Bijvoorbeeld, 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com
die ook naar dezelfde locatie wijst. U vindt de AppId op de pagina met toepassingseigenschappen van de toepassing met jokertekens.
De startpagina-URL voor het deelvenster MyApps instellen
De wildcardtoepassing wordt weergegeven als slechts één tegel in het deelvenster MyApps. Deze tegel is standaard verborgen. De tegel weergeven en gebruikers op een specifieke pagina laten landen:
- Volg de richtlijnen voor het instellen van een startpagina-URL.
- Stel Toepassing weergeven in op true op de pagina eigenschappen van de toepassing.
Beperkte Kerberos-gedelegeerde autorisatie
Voor toepassingen die gebruikmaken van beperkte kerberos-delegering (KCD) als de methode SSO, heeft de SPN die wordt vermeld voor de SSO-methode een jokerteken nodig. De SPN kan bijvoorbeeld zijn: HTTP/*.adventure-works.com
. U moet nog steeds de afzonderlijke SPN's configureren op uw back-endservers (bijvoorbeeld HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com
).
Scenario 1: Algemene toepassing van wildcard
In dit scenario hebt u drie verschillende toepassingen die u wilt publiceren:
expenses.adventure-works.com
hr.adventure-works.com
travel.adventure-works.com
Alle drie toepassingen:
- Worden gebruikt door al uw gebruikers
- Gebruik Geïntegreerde Windows-verificatie
- Dezelfde eigenschappen hebben
U kunt de jokertekentoepassing publiceren met behulp van de stappen die worden beschreven in Toepassingen publiceren met behulp van de Microsoft Entra-toepassingsproxy. In dit scenario wordt ervan uitgegaan dat:
- Een tenant met de volgende id:
aaaabbbb-0000-cccc-1111-dddd2222eeee
- Er is een geverifieerd domein geconfigureerd met de naam
adventure-works.com
. - Er is een CNAME-vermelding gemaakt die
*.adventure-works.com
verwijst naar00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net
.
Na de gedocumenteerde stappen maakt u een nieuwe toepassingsproxytoepassing in uw tenant. In dit voorbeeld bevindt het jokerteken zich in de volgende velden:
Interne URL:
Externe URL:
SPN voor interne toepassing:
Door de toepassing met jokertekens te publiceren, hebt u nu toegang tot uw drie toepassingen door te navigeren naar de URL's waaraan u bent gewend (bijvoorbeeld travel.adventure-works.com
).
De configuratie implementeert de volgende structuur:
Kleur | Beschrijving |
---|---|
Blauw | Toepassingen die expliciet zijn gepubliceerd en zichtbaar zijn in het Microsoft Entra-beheercentrum. |
Grijs | Toepassingen die u kunt openen via de hoofdtoepassing. |
Scenario 2: algemene jokertekentoepassing met uitzondering
In dit scenario hebt u naast de drie algemene toepassingen een andere toepassing, finance.adventure-works.com
, die alleen toegankelijk moet zijn voor de afdeling Financiën. Met de huidige toepassingsstructuur is uw financiële toepassing toegankelijk via de jokertekentoepassing en door alle werknemers. Als u dit wilt wijzigen, sluit u uw toepassing uit van uw jokerteken door Financiën te configureren als afzonderlijke toepassing met meer beperkende machtigingen.
Zorg ervoor dat er een CNAME-record bestaat die verwijst finance.adventure-works.com
naar het toepassingsspecifieke eindpunt, dat is opgegeven op de pagina van de toepassingsproxy voor de toepassing. Voor dit scenario verwijst finance.adventure-works.com
naar https://finance-awcycles.msappproxy.net/
.
Voor dit scenario zijn de volgende instellingen vereist volgens de gedocumenteerde stappen:
In de interne URL stelt u Financiën in plaats van een jokerteken in.
In de externe URL stelt u Financiën in plaats van een jokerteken in.
Met de interne toepassings-SPN hebt u finance ingesteld in plaats van een jokerteken.
De configuratie implementeert het volgende scenario:
De URL finance.adventure-works.com
is uniek. De URL *.adventure-works.com
is niet specifiek. De specifiekere URL heeft voorrang. Gebruikers die navigeren naar finance.adventure-works.com
krijgen de ervaring die is opgegeven in de toepassing Finance Resources. In dit geval hebben alleen financiële medewerkers toegang tot finance.adventure-works.com
.
Als u meerdere toepassingen hebt gepubliceerd voor financiën en finance.adventure-works.com
als geverifieerd domein hebt, kunt u een andere jokertekentoepassing *.finance.adventure-works.com
publiceren. Omdat dit specifieker is dan het algemene *.adventure-works.com
, krijgt dit voorrang als een gebruiker toegang heeft tot een toepassing in het financiële domein.
Volgende stappen
- Zie Werken met aangepaste domeinen in de Microsoft Entra-toepassingsproxy voor meer informatie over aangepaste domeinen.
- Zie Toepassingen publiceren met microsoft Entra-toepassingsproxy voor meer informatie over het publiceren van toepassingen