Jednokrotne logowanie oparte na nagłówku dla aplikacji lokalnych za pomocą serwera proxy aplikacji Microsoft Entra

Serwer proxy aplikacji Entra firmy Microsoft natywnie obsługuje dostęp do logowania jednokrotnego (SSO) do aplikacji, które używają nagłówków do uwierzytelniania. Wartości nagłówków wymagane przez aplikację można skonfigurować w identyfikatorze Entra firmy Microsoft. Wartości nagłówka są wysyłane do aplikacji za pośrednictwem serwera proxy aplikacji. Zalety korzystania z wbudowanego wsparcia dla uwierzytelniania opartego na nagłówkach w serwerze proxy aplikacji obejmują:

• Uproszczenie dostępu zdalnego do aplikacji lokalnych — serwer proxy aplikacji upraszcza istniejącą architekturę dostępu zdalnego. Zastąpisz dostęp do tych aplikacji wirtualną siecią prywatną (VPN). Usuwasz zależności od lokalnych rozwiązań tożsamościowych na potrzeby uwierzytelniania. Usprawnisz środowisko pracy użytkowników i nie zauważasz niczego innego, gdy korzystają z aplikacji firmowych. Użytkownicy mogą pracować z dowolnego miejsca na dowolnym urządzeniu.

• Brak dodatkowego oprogramowania lub zmian w aplikacjach — używasz istniejących łączników sieci prywatnej. Nie jest wymagane żadne dodatkowe oprogramowanie.

• szeroką listę atrybutów i przekształceń dostępnych — wszystkie dostępne wartości nagłówków są oparte na standardowych oświadczeniach wystawionych przez identyfikator firmy Microsoft Entra. Wszystkie atrybuty i przekształcenia dostępne dla konfigurowania oświadczeń dla języka SAML (Security Assertion Markup Language) lub aplikacji OpenID Connect (OIDC) są również dostępne jako wartości nagłówka.

Warunki wstępne

Włącz serwer proxy aplikacji i zainstaluj łącznik, który ma bezpośredni dostęp sieciowy do aplikacji. Aby dowiedzieć się więcej, zobacz Dodaj aplikację lokalną na potrzeby dostępu zdalnego za pośrednictwem serwera proxy aplikacji.

Obsługiwane możliwości

W tabeli wymieniono typowe możliwości wymagane dla aplikacji uwierzytelniania opartych na nagłówkach.

Wymaganie	Opis
Federacyjne logowanie jednokrotne	W trybie wstępnie uwierzytelnianym wszystkie aplikacje są chronione przy użyciu uwierzytelniania firmy Microsoft Entra, a użytkownicy mają logowanie jednokrotne.
Dostęp zdalny	Serwer proxy aplikacji zapewnia zdalny dostęp do aplikacji. Użytkownicy uzyskują dostęp do aplikacji z Internetu w dowolnej przeglądarce internetowej przy użyciu zewnętrznego lokalizatora jednolitych zasobów (URL). Serwer proxy aplikacji nie jest przeznaczony do ogólnego dostępu firmowego. Aby uzyskać ogólny dostęp firmowy, zobacz microsoft Entra Private Access.
Integracja oparta na nagłówkach	Serwer proxy aplikacji obsługuje integrację SSO (Single Sign-On) z Microsoft Entra ID, a następnie, przekazuje tożsamość lub inne dane aplikacji jako nagłówki HTTP do aplikacji.
Autoryzacja aplikacji	Typowe zasady są określane w oparciu o dostęp do aplikacji, członkostwo w grupie użytkownika i inne zasady. W usłudze Microsoft Entra ID, zasady są implementowane za pomocą Conditional Access. Zasady autoryzacji aplikacji dotyczą tylko początkowego żądania uwierzytelniania.
Uwierzytelnianie krok po kroku	Zasady są definiowane w celu wymuszenia dodania uwierzytelniania, na przykład w celu uzyskania dostępu do poufnych zasobów.
Szczegółowa autoryzacja	Zapewnia kontrolę dostępu na poziomie adresu URL. Dodane zasady można wymusić na podstawie adresu URL, do których uzyskuje się dostęp. Wewnętrzny adres URL skonfigurowany dla aplikacji definiuje zakres aplikacji, do którego są stosowane zasady. Zasady skonfigurowane dla najbardziej szczegółowej ścieżki są wymuszane.

Notatka

W tym artykule opisano połączenie między aplikacjami uwierzytelniania opartymi na nagłówkach a Microsoft Entra ID przy użyciu serwera proxy aplikacji; jest to zalecany wzorzec. Alternatywnie istnieje wzorzec integracji, który używa funkcji PingAccess z identyfikatorem Entra firmy Microsoft w celu włączenia uwierzytelniania opartego na nagłówku. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie oparte na nagłówku na potrzeby logowania jednokrotnego przy użyciu serwera proxy aplikacji orazPingAccess.

Jak to działa

1. Administrator dostosowuje mapowania atrybutów wymagane przez aplikację w centrum administracyjnym firmy Microsoft Entra.
2. Serwer proxy aplikacji zapewnia, że użytkownik jest uwierzytelniany przy użyciu identyfikatora Entra firmy Microsoft.
3. Usługa proxy w chmurze dla aplikacji zna wymagane atrybuty. Usługa pobiera więc odpowiednie oświadczenia z tokenu identyfikatora odebranego podczas uwierzytelniania. Następnie usługa tłumaczy wartości na wymagane nagłówki HTTP w ramach żądania do łącznika.
4. Żądanie jest następnie przekazywane do łącznika, który jest następnie przekazywany do aplikacji zaplecza.
5. Aplikacja odbiera nagłówki i może używać tych nagłówków zgodnie z potrzebami.

Publikowanie aplikacji za pomocą serwera proxy aplikacji

1. Opublikuj aplikację zgodnie z instrukcjami opisanymi w Publikowanie aplikacji za pomocą serwera proxy aplikacji.

   • Wewnętrzna wartość adresu URL określa zakres aplikacji. Należy skonfigurować wewnętrzną wartość adresu URL w ścieżce głównej aplikacji, a wszystkie ścieżki podrzędne poniżej katalogu głównego otrzymają ten sam nagłówek i konfigurację aplikacji.
   • Utwórz nową aplikację, aby ustawić inną konfigurację nagłówka lub przypisanie użytkownika dla bardziej szczegółowej ścieżki niż skonfigurowana aplikacja. W nowej aplikacji skonfiguruj wewnętrzny adres URL przy użyciu określonej wymaganej ścieżki, a następnie skonfiguruj określone nagłówki wymagane dla tego adresu URL. Serwer proxy aplikacji zawsze dopasowuje ustawienia konfiguracyjne do najbardziej szczegółowego zestawu ścieżki dla aplikacji.

2. Wybierz Microsoft Entra ID jako metodę wstępnego uwierzytelniania.

3. Przypisz użytkownika testowego, przechodząc do Użytkownicy i grupy i przypisując odpowiednie osoby i zespoły.

4. Otwórz przeglądarkę i przejdź do zewnętrznego adresu URL z ustawień proxy aplikacji.

5. Sprawdź, czy możesz nawiązać połączenie z aplikacją. Mimo że możesz nawiązać połączenie, nie możesz jeszcze uzyskać dostępu do aplikacji, ponieważ nagłówki nie są skonfigurowane.

Konfigurowanie logowania jednokrotnego

Zanim zaczniesz korzystać z logowania jednokrotnego dla aplikacji opartych na nagłówkach, zainstaluj łącznik sieci prywatnej. Łącznik musi mieć dostęp do aplikacji docelowych. Aby dowiedzieć się więcej, zobacz Tutorial: Microsoft Entra application proxy.

1. Po wyświetleniu aplikacji na liście aplikacji dla przedsiębiorstw wybierz ją i wybierz pozycję logowanie jednokrotne.
2. Ustaw tryb logowania jednokrotnego na oparty na nagłówku.
3. W Podstawowa konfiguracjamicrosoft Entra IDjest zaznaczona jako domyślna.
4. Wybierz ołówek edycji w obszarze Nagłówki , aby skonfigurować nagłówki do wysyłania do aplikacji.
5. Wybierz pozycję Dodaj nowy nagłówek. Podaj nazwę nagłówka i wybierz pozycję Attribute lub Transformation i wybierz z listy rozwijanej nagłówek, którego potrzebuje aplikacja.
   • Aby dowiedzieć się więcej o liście dostępnych atrybutów, zobacz Dostosowywanie oświadczeń, atrybuty.
   • Aby dowiedzieć się więcej na temat listy dostępnych przekształceń, zobacz Dostosowania roszczeń oraz przekształcenia oświadczeń.
   • Możesz dodać nagłówek grupy . Aby dowiedzieć się więcej na temat konfigurowania grup jako wartości, zobacz: Konfigurowanie oświadczeń grup dla aplikacji.
6. Wybierz pozycję Zapisz.

Testowanie aplikacji

Aplikacja jest teraz uruchomiona i dostępna. Aby przetestować aplikację:

1. Wyczyść wcześniej buforowane nagłówki, otwierając nową przeglądarkę lub okno przeglądarki prywatnej.
2. Przejdź do zewnętrznego adresu URL. To ustawienie można znaleźć na liście jako zewnętrzny adres URL w ustawieniach serwera pośredniczącego aplikacji.
3. Zaloguj się przy użyciu konta testowego przypisanego do aplikacji.
4. Potwierdź, że możesz załadować aplikację i zalogować się przy użyciu logowania jednokrotnego.

Zagadnienia dotyczące

• Serwer proxy aplikacji zapewnia zdalny dostęp do aplikacji lokalnych lub w chmurze prywatnej. Nie zaleca się używania serwera proxy aplikacji w przypadku ruchu pochodzącego z tej samej sieci co docelowa aplikacja.
• Dostęp do aplikacji korzystających z uwierzytelniania na podstawie nagłówków powinien być ograniczony tylko do ruchu pochodzącego z łącznika lub innego dozwolonego rozwiązania uwierzytelniającego opartego na nagłówkach. Ograniczenie dostępu jest często wykonywane przy użyciu zapory lub ograniczenia adresu IP na serwerze aplikacji.

Następne kroki

• Co to jest logowanie jednokrotne?
• Co to jest serwer proxy aplikacji?