Поделиться через

Единый вход на основе заголовков HTTP для локальных приложений с помощью прокси-сервера приложения Microsoft Entra

  • Статья

Прокси приложения Microsoft Entra изначально поддерживает единый вход (SSO) для приложений, использующих заголовки для проверки подлинности. Вы настраиваете значения заголовков, необходимые вашему приложению, в Microsoft Entra ID. Значения заголовков отправляются приложению через прокси приложения. Преимущества использования встроенной поддержки заголовочной аутентификации с помощью прокси приложения:

  • Упрощение удаленного доступа к локальным приложениям. Прокси приложения упрощает существующую архитектуру удаленного доступа. Вы заменяете доступ к этим приложениям через виртуальную частную сеть (VPN). Вы убираете зависимости от локальных решений управления идентификацией для аутентификации. Вы оптимизируете интерфейс для пользователей, и они не замечают ничего другого при использовании корпоративных приложений. Пользователи могут работать в любом месте на любом устройстве.

  • нет дополнительных программ или изменений в приложениях. Вы используете существующие соединители частной сети. Дополнительное программное обеспечение не требуется.

  • широкий список атрибутов и преобразований, доступных. Все значения заголовков доступны на основе стандартных утверждений, выданных идентификатором Microsoft Entra. Все атрибуты и преобразования, доступные для настройки утверждений для приложений языка разметки утверждений безопасности (SAML) или OpenID Connect (OIDC) также доступны в качестве значений заголовков.

Необходимые условия

Включите прокси приложения и установите соединитель, имеющий прямой сетевой доступ к приложениям. Дополнительные сведения см. в статье Добавление локального приложения для удаленного доступа через прокси приложения.

Поддерживаемые возможности

В таблице перечислены распространенные возможности, необходимые для приложений проверки подлинности на основе заголовков.

Требование Описание
Федеративный единственный вход в систему В режиме предварительной проверки подлинности все приложения защищены с помощью проверки подлинности Microsoft Entra, а пользователи имеют единый вход.
Удаленный доступ Прокси приложения предоставляет удаленный доступ к приложению. Пользователи получают доступ к приложению из Интернета в любом веб-браузере с помощью внешнего указателя универсальных ресурсов (URL-адрес). Прокси приложения не предназначен для общего корпоративного доступа. Общие корпоративные доступы см. в разделе Microsoft Entra Private Access.
Интеграция на основе заголовков Прокси приложения обрабатывает интеграцию единого входа с учетной записью Microsoft Entra ID, а затем передает удостоверения или другие данные приложения в качестве заголовков HTTP.
Авторизация приложения Общие политики задаются на основе доступа к приложению, членства в группе пользователя и других политик. В Microsoft Entra ID политики реализуются с помощью условного доступа. Политики авторизации приложений применяются только к первоначальному запросу проверки подлинности.
Усиленная аутентификация Политики безопасности определяются для принудительной проверки подлинности, например, для получения доступа к конфиденциальным ресурсам.
Детализированная авторизация Предоставляет управление доступом на уровне URL-адреса. Добавленные политики можно применять на основе URL-адреса, к которой осуществляется доступ. Внутренний URL-адрес, настроенный для приложения, определяет область применения политики. Политика, настроенная для наиболее детализированного пути, применяется.

Заметка

В этой статье описывается подключение между приложениями проверки подлинности на основе заголовков и идентификатором Microsoft Entra с помощью прокси приложения и рекомендуется использовать шаблон. В качестве альтернативы существует шаблон интеграции, использующий PingAccess с Microsoft Entra ID для реализации аутентификации на основе заголовков. Дополнительные сведения см. в разделе Аутентификация на основе заголовков для единого входа с помощью прокси приложения и PingAccess.

Принцип работы

Как работает единый вход на основе заголовков с приложения-прокси.

  1. Администратор настраивает сопоставления атрибутов, необходимые приложению в Центре администрирования Microsoft Entra.
  2. Прокси приложения гарантирует, что пользователь проходит проверку подлинности с помощью идентификатора Microsoft Entra.
  3. Облачная служба прокси приложения учитывает необходимые атрибуты. Служба получает соответствующие утверждения из токена идентификации, полученного во время аутентификации. Затем служба преобразует значения в необходимые заголовки HTTP в рамках запроса к соединителю.
  4. Затем запрос передается соединителю, который затем передается в серверное приложение.
  5. Приложение получает заголовки и может использовать эти заголовки по мере необходимости.

Публикация приложения с помощью прокси приложения

  1. Опубликуйте приложение в соответствии с инструкциями, описанными в разделе Публикация приложений с использованием прокси приложения.

    • Внутреннее значение URL-адреса определяет область приложения. Вы настраиваете внутреннее значение URL-адреса в корневом пути приложения, а все вложенные пути под корнем получают одну и ту же конфигурацию заголовка и приложения.
    • Создайте новое приложение, чтобы задать другую конфигурацию заголовка или назначение пользователя для более детального пути, чем настроенное приложение. В новом приложении настройте внутренний URL-адрес с определенным путем, который требуется, а затем настройте определенные заголовки, необходимые для этого URL-адреса. Прокси приложения всегда повторяет ваши настройки конфигурации в соответствии с наиболее детализированному пути, заданному для приложения.

  2. Выберите Microsoft Entra ID как метод предварительной проверки подлинности .

  3. Назначьте тестового пользователя, перейдя к Пользователи и группы и назначив соответствующих пользователей и группу.

  4. Откройте браузер и перейдите на внешний URL-адрес из настроек прокси приложения.

  5. Убедитесь, что вы можете подключиться к приложению. Несмотря на то, что вы можете подключиться, вы еще не можете получить доступ к приложению, так как заголовки не настроены.

Настройка единого входа

Прежде чем приступить к работе с одиночным входом для приложений, использующих заголовки, установите соединитель частной сети. Соединитель должен иметь доступ к целевым приложениям. Дополнительные сведения см. в руководстве по : прокси приложения Microsoft Entra.

  1. После отображения приложения в списке корпоративных приложений выберите его и выберите единый вход.
  2. Установите режим единого входа на основе заголовка .
  3. В базовой конфигурацииидентификатор Microsoft Entra IDвыбран в качестве значения по умолчанию.
  4. Выберите карандаш редактирования в заголовках , чтобы настроить заголовки для отправки в приложение.
  5. Выберите Добавить новый заголовок. Укажите имя для заголовка и выберите либо атрибут , либо преобразование , а затем выберите из раскрывающегося списка заголовок, нужный вашему приложению.
  6. Выберите Сохранить.

Тестирование приложения

Теперь приложение запущено и доступно. Чтобы протестировать приложение, выполните следующие действия.

  1. Очищайте ранее кэшированные заголовки, открыв новый браузер или частное окно браузера.
  2. Перейдите по внешнему URL-адресу. Этот параметр можно найти как внешний URL-адрес в параметрах прокси приложения.
  3. Войдите с помощью тестовой учетной записи, назначенной приложению.
  4. Убедитесь, что вы можете загрузить и войти в приложение с помощью единого входа.

Соображения

  • Прокси приложения предоставляет удаленный доступ к приложениям локально или в частном облаке. Прокси приложения не рекомендуется использовать для трафика, исходя из той же сети, что и предполагаемое приложение.
  • Доступ к приложениям проверки подлинности на основе заголовков должен быть ограничен только трафиком из соединителя или другого разрешенного решения проверки подлинности на основе заголовков. Ограничение доступа обычно выполняется с помощью брандмауэра или ограничения по IP на сервере приложений.

Дальнейшие действия