Udostępnij za pośrednictwem


Uwierzytelnianie systemu Windows — ograniczone delegowanie protokołu Kerberos przy użyciu identyfikatora Entra firmy Microsoft

Na podstawie głównych nazw usługi ograniczone delegowanie protokołu Kerberos (KCD) zapewnia ograniczone delegowanie między zasobami. Wymaga ona od administratorów domeny utworzenia delegowania i jest ograniczona do jednej domeny. Za pomocą KCD opartego na zasobach można zapewnić uwierzytelnianie Kerberos dla aplikacji internetowej, która ma użytkowników w wielu domenach w lesie usługi Active Directory.

Serwer proxy aplikacji Microsoft Entra może zapewnić logowanie jednokrotne (SSO) i zdalny dostęp do aplikacji opartych na protokole KCD, które wymagają biletu protokołu Kerberos na potrzeby dostępu i ograniczonego delegowania Protokołu Kerberos (KCD).

Aby włączyć logowanie jednokrotne do lokalnych aplikacji KCD korzystających ze zintegrowanego uwierzytelniania systemu Windows (IWA), nadaj prywatnym łącznikom sieci uprawnienia do personifikacji użytkowników w usłudze Active Directory. Łącznik sieci prywatnej używa tego uprawnienia do wysyłania i odbierania tokenów w imieniu użytkowników.

Kiedy należy używać KCD

Użyj usługi KCD, jeśli istnieje potrzeba zapewnienia dostępu zdalnego, ochrony przed uwierzytelnianiem i zapewnienia logowania jednokrotnego do lokalnych aplikacji IWA.

Diagram architektury

Składniki systemu

  • Użytkownik: uzyskuje dostęp do starszej aplikacji, która serwer proxy aplikacji obsługuje.
  • Przeglądarka internetowa: składnik, z którym użytkownik korzysta w celu uzyskania dostępu do zewnętrznego adresu URL aplikacji.
  • Microsoft Entra ID: uwierzytelnia użytkownika.
  • usługa serwer proxy aplikacji: Działa jako zwrotny serwer proxy w celu wysyłania żądań od użytkownika do aplikacji lokalnej. Znajduje się on w identyfikatorze Microsoft Entra ID. serwer proxy aplikacji mogą wymuszać zasady dostępu warunkowego.
  • Łącznik sieci prywatnej: zainstalowany na serwerach lokalnych systemu Windows w celu zapewnienia łączności z aplikacją. Zwraca odpowiedź na identyfikator Entra firmy Microsoft. Wykonuje negocjacje KCD z usługą Active Directory, personifikując użytkownika w celu uzyskania tokenu Kerberos do aplikacji.
  • Active Directory: wysyła token Protokołu Kerberos dla aplikacji do łącznika sieci prywatnej.
  • Starsze aplikacje: aplikacje odbierające żądania użytkowników z serwer proxy aplikacji. Starsze aplikacje zwracają odpowiedź na łącznik sieci prywatnej.

Implementowanie uwierzytelniania systemu Windows (KCD) przy użyciu identyfikatora Entra firmy Microsoft

Zapoznaj się z następującymi zasobami, aby dowiedzieć się więcej na temat implementowania uwierzytelniania systemu Windows (KCD) przy użyciu identyfikatora Entra firmy Microsoft.

Następne kroki

  • Omówienie protokołu uwierzytelniania i synchronizacji firmy Microsoft opisuje integrację z protokołami uwierzytelniania i synchronizacji. Integracje uwierzytelniania umożliwiają korzystanie z identyfikatora Entra firmy Microsoft i jego funkcji zabezpieczeń i zarządzania z niewielkimi zmianami w aplikacjach korzystających ze starszych metod uwierzytelniania. Integracje synchronizacji umożliwiają synchronizowanie danych użytkowników i grup z identyfikatorem Entra firmy Microsoft, a następnie korzystanie z funkcji zarządzania przez firmę Microsoft Entra. Niektóre wzorce synchronizacji umożliwiają automatyczną aprowizację.
  • Omówienie logowania jednokrotnego w aplikacji lokalnej przy użyciu serwer proxy aplikacji opisuje, jak logowanie jednokrotne umożliwia użytkownikom uzyskiwanie dostępu do aplikacji bez uwierzytelniania wiele razy. Logowanie jednokrotne odbywa się w chmurze względem identyfikatora Entra firmy Microsoft i umożliwia usłudze lub Połączenie or personifikację użytkownika w celu ukończenia wyzwań związanych z uwierzytelnianiem z aplikacji.
  • Usługa Security Assertion Markup Language (SAML) z logowaniem jednokrotnym dla aplikacji lokalnych przy użyciu serwera proxy aplikacji Firmy Microsoft Entra opisuje sposób zapewniania dostępu zdalnego do aplikacji lokalnych zabezpieczonych przy użyciu uwierzytelniania SAML za pośrednictwem serwer proxy aplikacji.