Arbeiten mit Webanwendungsproxy
Veröffentlicht: September 2016
Diese Inhalte sind für die lokale Version des Webanwendungsproxys relevant. Eine Anleitung zum Einrichten des sicheren Zugriffs auf lokale Anwendungen über die Cloud finden Sie in den Inhalten zum Azure AD-Anwendungsproxy.
Webanwendungsproxy ist ein neue RAS-Rollendienst in Windows Server® 2012 R2.Webanwendungsproxy bietet Reverseproxyfunktionen für Webanwendungen in Ihrem Unternehmensnetzwerk, damit Benutzer auf jedem Gerät darauf von außerhalb des Unternehmensnetzwerks zugreifen können.Webanwendungsproxy Zugriff auf Webanwendungen mit preauthenticates Active Directory-Verbunddienste (Active Directory Federation Services, AD FS), und auch fungiert als ein AD FS Proxy.
Gewähren des Zugriffs auf Anwendungen
Webanwendungsproxy bietet Organisationen die Möglichkeit, Zugriff auf Anwendungen, die auf Servern innerhalb der Organisation ausgeführt werden, um Endbenutzern außerhalb der Organisation bereitzustellen. Der Prozess der Bereitstellung des Zugriffs auf Anwendungen für externe Benutzer wird als Veröffentlichung bezeichnet. Im Gegensatz zu herkömmlichen VPN-Lösungen, bei der Veröffentlichung mit Webanwendungsproxy Endbenutzer erhalten nur Zugriff auf Anwendungen, die Sie veröffentlichen. Allerdings Webanwendungsproxy kann auch mit VPN als Teil einer RAS-Bereitstellung in Ihrer Organisation bereitgestellt werden. Siehe Interoperability with Other Remote Access Products.
Veröffentlichen von Anwendungen
Die Veröffentlichung über Webanwendungsproxy ermöglicht Endbenutzern den Zugriff auf Unternehmensanwendungen über ihre eigenen Geräte. Benutzer sind für die Arbeit also nicht auf Unternehmenslaptops beschränkt, sondern können ihre Heimcomputer, Tablets oder Smartphones verwenden. Darüber hinaus müssen Endbenutzer nicht auf dem Gerät den Zugriff auf veröffentlichte Anwendungen zusätzliche Software installiert.Webanwendungsproxy kann auf Clients mit einem Standardbrowser, Office-Clients oder Rich-Clients mit OAuth (z. B. Windows Store-Apps) verwendet werden.Webanwendungsproxy fungiert als Reverseproxy für jede Anwendung, die über ihn veröffentlicht wird. Dadurch entsteht beim Endbenutzer der Eindruck, als wäre sein Gerät direkt mit der Anwendung verbunden.
Den Zugriff auf Anwendungen
Webanwendungsproxy muss immer mit bereitgestellt werden AD FS. Dadurch können Sie zur Nutzung der Funktionen von AD FS, wie z. B. einmaliges Anmelden (SSO). Dadurch können Benutzer ihre Anmeldeinformationen nur einmal eingeben, und bei späterer Verwendung sie nicht müssen ihre Anmeldeinformationen eingeben. SSO wird von unterstützt Webanwendungsproxy für Back-End-Servern, die anspruchsbasierte Authentifizierung; z. B. SharePoint anspruchsbasierte Applications und integrierte Windows-Authentifizierung mit Kerberos verwenden Sie die eingeschränkte Delegierung. Integrierte Windows-Authentifizierung-basierte Anwendung werden, in definiert können AD FS als Vertrauensstellungen der vertrauenden Seite Partei, die umfassende Authentifizierung und Autorisierung Richtlinien, die erzwungen werden in den Anforderungen an die Anwendung definieren können.
Schützen von Anwendungen vor externen Angriffen
Webanwendungsproxy fungiert als eine Barriere zwischen dem Internet und unternehmensanwendungen. In vielen Organisationen beim Bereitstellen von Webanwendungsproxy und Veröffentlichen von Anwendungen, Anwendungsbereiche für externe Benutzer auf Geräten, die nicht, mit der Domäne verknüpft sind, z. B., persönliche Laptops, Tablets oder Smartphones verfügbar. Diese Geräte sind keine Domäne und, sie werden als nicht verwaltete Geräte beschrieben und im Unternehmensnetzwerk nicht vertrauenswürdig sind. Da die Benutzer auf wichtige Informationen zugreifen, wann und wo diese sich befinden soll, müssen Sie die Benutzer Zugriff auf Unternehmensressourcen von diesen Geräten nicht verwalteten und nicht vertrauenswürdigen Sicherheitsrisiko verringern.Webanwendungsproxy bietet eine Reihe von Sicherheitsfunktionen, um das Unternehmensnetzwerk vor externen Angriffen schützen.Webanwendungsproxy verwendet AD FS für Authentifizierung und Autorisierung, um sicherzustellen, dass nur Benutzer auf Geräten, die authentifiziert und autorisiert werden unternehmensanwendungen zugreifen können.
Mehrstufige Verteidigung
Die empfohlene Bereitstellung Webanwendungsproxy in einem Umkreisnetzwerk zwischen einer Internet zugewandten Firewall und eine Firewall Unternehmensnetzwerk bereitgestellt wird. Jedoch zusätzlich zu den Schutz durch die Firewalls selbst Webanwendungsproxy bietet zusätzlichen Schutz für Ihre Anwendung vor externen Angriffen.
Wenn HTTPS-Datenverkehr, eingeht angewiesen, eine Adresse, die von veröffentlichten Webanwendungsproxy, er beendet den Datenverkehr und neue Anforderungen, die veröffentlichte Anwendung initiiert. Sie fungiert daher als Puffer zwischen externen Geräte und veröffentlichten Programme auf Sitzungsebene. Das heißt, wenn Benutzer veröffentlichte Anwendung zugreifen, sie die Anwendung nicht direkt zugreifen, stattdessen Zugriff auf die Anwendung über Webanwendungsproxy.
Alle anderen am empfangene Datenverkehr Webanwendungsproxy gelöscht und nicht auf die veröffentlichte Anwendung weitergeleitet. Dies schließt alle unzulässigen HTTP oder HTTPS-Anforderungen, die als Teil des DOS-Angriffe, verwendet werden, Day-Angriffe, SSL-Angriffe usw. auf NULL.
Jede authentifizierte Anforderung, die Ankunft Webanwendungsproxy enthält einen Authentifizierungstoken von AD FS wird überprüft werden, um sicherzustellen, dass das Token empfangen der Client sendet das Token vorgesehen wurde. Dies erfolgt durch Prüfung, ob das Gerät (über das Arbeitsbereichverknüpfungs-Zertifikat) der Anspruch innerhalb des Tokens entspricht, die das Gerät beim authentifiziert identifiziert AD FS.
Authentifizierung und Autorisierung
Um den Zugriff auf Anwendungen in Ihrer Organisation zu schützen, wird empfohlen, nur den Zugriff auf authentifizierte und autorisierte Benutzer zu ermöglichen. Beim Veröffentlichen von Anwendungen über Webanwendungsproxy, wird dies durch die Verwendung von AD FS, die ermöglicht die Authentifizierung und Autorisierung für die veröffentlichte Anwendung erzwingt.
Hinweis
Webanwendungsproxy Darüber hinaus können Pass-Through-Vorauthentifizierung, wodurch Sie zum Veröffentlichen von Anwendungen nicht Präauthentifizierung erforderlich oder dessen Clients unterstützen nicht die verfügbaren Funktionen.
Authentifizieren von Benutzern und Geräten
Beim Veröffentlichen von Anwendungen über Webanwendungsproxy, wird der Prozess, durch den Benutzer und Geräte authentifiziert sind, bevor sie auf Anwendungen Zugriff, als Vorauthentifizierung bezeichnet.Webanwendungsproxy unterstützt zwei Arten der Vorauthentifizierung:
AD FS Vorauthentifizierung – Verwendung von AD FS für die Vorauthentifizierung können die Benutzer zu authentifizieren muss die AD FS Server vor Webanwendungsproxy leitet den Benutzer an die veröffentlichte Web-Anwendung. Dadurch wird sichergestellt, dass alle Datenverkehr den veröffentlichten Webdienst-Clientanwendungen authentifiziert wird.
Pass-Through-Vorauthentifizierung – Benutzer müssen keine Anmeldeinformationen eingeben, bevor sie mit veröffentlichten Webanwendungen herstellen.
Hinweis
Pass-Through-Vorauthentifizierung hat keine Auswirkung auf, ob eine Anwendung für Benutzer für die Anwendung Anmeldeinformationen erfordert. D. h. eine Anwendung mit Passthrough-Vorauthentifizierung konfiguriert erfordert keine Benutzer zur Eingabe der Anmeldeinformationen in das Unternehmensnetzwerk abrufen, aber Benutzer zur Eingabe der Anmeldeinformationen zum Anzeigen des Anwendungsinhalts möglicherweise.
Von veröffentlichten Anwendung problemlos Zugriff auf Webanwendungsproxy, und verwenden AD FS Vorauthentifizierung Endbenutzer sollten anhand einer der folgenden Clients:
Jeder Client, der HTTP-Anfragen unterstützt; z. B. ein Webbrowser.Webanwendungsproxy führt die entsprechende Aktion auf die eingehende Anforderung an den Benutzer in eine Adresse zur Authentifizierung und wieder in die ursprüngliche Webadresse dieses Mal mit der Authentifizierung umleiten.
Rich Clients, die HTTP basic, z. B. Exchange ActiveSync.
Jeder Client, der MSOFBA verwendet wird; z. B. Word, Excel oder PowerPoint. In diesem Fall versucht ein Benutzer auf ein Dokument aus ihrer Liste der zuletzt verwendeten Dokumente zugreifen, die auf einem Server im Unternehmensnetzwerk befinden.
Windows Store-apps und RESTful-Anwendungen mit Clients, die das Web Authentication Broker für die Authentifizierung zu verwenden. Ein Benutzer kann eine Anwendung auf ihrem Gerät erhalten Sie ein Token von öffnen AD FS über den Web Authentication Broker und dieses Token im HTTP-Autorisierungsheader in nachfolgenden Anforderungen an die app enthält.
Hinweis
Abhängig von der Client verwendet, um die veröffentlichte Anwendung zugreifen Webanwendungsproxy entscheidet, wie die Anforderung nicht verarbeiten.
Authentication-Funktionen
Bei Verwendung AD FS für die Authentifizierung, profitieren Sie außerdem von allen Funktionen, die AD FS enthält:
Arbeitsplatzbeitritt – Dies ist ein neues Feature in AD FS in Windows Server 2012 R2. Damit können Benutzer Geräte mit dem Arbeitsplatz verbinden, die normalerweise nicht als Domänenmitglied wäre; z. B. persönliche Laptops, Tablet-PCs und Smartphones. Wenn dieses Feature aktiviert ist, die AD FS Administrator kann alle Programme konfigurieren oder einzelanwendungen Geräte registriert werden, bevor sie auf zugreifen können muss Applikationen veröffentlicht. Weitere Informationen finden Sie unter Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und die nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.
SSO – Dies ermöglicht es Benutzern, Anmeldeinformationen einmal eingeben, und alle unterstützten veröffentlichte Anwendung authentifiziert werden. Siehe Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und die nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.
Mehrstufige Authentifizierung (MFA) –AD FS kann konfiguriert werden, dass Benutzer zur Authentifizierung mit mehr als ein Authentifizierungsschema, z. B. ein Einmalkennwort oder eine Smartcard erforderlich ist. Siehe Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen.
Mehrstufige Zugriffssteuerung – Access Control in AD FS wird mit autorisierungsanspruchsregeln, die verwendet werden, stellen eine zulassen oder verweigern Ansprüche bestimmen, ob ein Benutzer oder eine Gruppe von Benutzern für den Zugriff auf implementiert AD FS-gesicherte Ressourcen. Autorisierungsregeln können nur für Vertrauensstellungen der vertrauenden Seite festgelegt werden. Alle oben genannten Funktionen kombiniert werden können, nach Bedarf, um strengere Sicherheit für vertrauliche Applikationen oder weniger vertraulichen Anwendungsmöglichkeiten ignoriert. Siehe Verwalten von Risiken mit der bedingten Zugriffssteuerung.
Beim Veröffentlichen von Anwendungen über Webanwendungsproxy Sie sind nicht erforderlich, so konfigurieren Sie die AD FS Funktionen für die Authentifizierung, die oben genannten. Dadurch können Sie den Zugriff auf Geräte bereitstellen, die zum Verknüpfen von Arbeitsplatz bzw. bieten zusätzliche Authentifizierungsstufen, z. B. Kioske kann nicht aktualisiert werden.
Technische Übersicht über Web Application Proxy
Bei der Entscheidung verwendet Webanwendungsproxy in Ihrer Organisation, empfiehlt es sich, dass Sie bereitstellen Ihrer Webanwendungsproxy Server hinter einer Front-End-Firewall aus dem Internet oder zwischen zwei Firewalls; eine Front-End-Firewall, um aus dem Internet zu trennen und eine Back-End-Firewall, um es vom Unternehmensnetzwerk getrennt abzugrenzen. In dieser Topologie Webanwendungsproxy stellt eine Schutz vor böswilligen Benutzern, die aus dem Internet kommen kann. Keine anderen Server sind erforderlich, um in diesem Umkreisnetzwerk befinden. d. h. Ihre AD FS Server im Unternehmensnetzwerk befinden und kann nur über Webanwendungsproxy mit den integrierten AD FS Proxy-Funktionalität.
Das folgende Diagramm zeigt eine normale Topologie für die Bereitstellung von Webanwendungsproxy in einem Umkreisnetzwerk zwischen zwei Firewalls.
.jpeg "Webanwendungsproxy – Topologie")
Web Application Proxy Configuration Storage
Die Webanwendungsproxy Konfiguration wird gespeichert, auf die AD FS Server in Ihrer Organisation; daher Webanwendungsproxy Server benötigen eine Verbindung mit der AD FS Server. Darüber hinaus nach dem Konfigurieren des ersten Webanwendungsproxy Server, können Sie zusätzliche installieren Webanwendungsproxy Server eine Clusterbereitstellung zu erstellen. Wenn Sie den Rollendienst auf dem neuen Server im Cluster installieren, die Konfiguration wird automatisch übertragen auf den neuen Server nach Abschluss der Webanwendungsproxy Konfigurations-Assistenten.
Da Webanwendungsproxy speichert die Konfiguration der AD FS Server, er verfügt über keine lokal gespeicherten Konfigurationsinformationen.
AD FS-Proxy-Funktionen
Die Webanwendungsproxy -Rollendienst ist auch ein AD FS Proxy. D. h. Webanwendungsproxy überwacht alle die Endpunkte, die AD FS überwacht.Webanwendungsproxy Außerdem leitet Anfragen aus dem Internet AD FS und Antworten von AD FS mit dem Internet. Beachten Sie, dass die Webanwendungsproxy -Rollendienst ist ein Ersatz für die AD FS -Rolle.
Erstellen eines Proxys in Ihrer Organisation für den Verbunddienst zusätzlichen Sicherheit sorgt Ebenen in Ihrer AD FS Bereitstellung. Stellen Sie gegebenenfalls Webanwendungsproxy im Umkreisnetzwerk Ihrer Organisation, wenn Sie möchten:
Verhindern, dass externe Clientcomputer durch direkten Zugriff auf Ihre AD FS Server. Durch Bereitstellen einer Webanwendungsproxy -Server in Ihrem Umkreisnetzwerk, isolieren Sie effektiv Ihre AD FS Server.Webanwendungsproxy Server können nicht auf die privaten Schlüssel zugreifen, die verwendet werden, um Token zu erstellen.
Geben Sie eine einfache Möglichkeit, die Anmeldung für Benutzer zu unterscheiden, die aus dem Internet, im Gegensatz zu Benutzern stammen, die von Ihrem Unternehmensnetzwerk, die mithilfe der integrierten Windows-Authentifizierung zu kommen.
Verwalten von Webanwendungsproxy
Webanwendungsproxy eine Reihe von Tools und Features von Windows Server 2012 R2 damit Sie auf einfache Weise installieren können, bereitstellen und Verwalten des Tests in Ihrer Bereitstellung in Unternehmen.
Webanwendungsproxy ist ein Rollendienst in Windows Server 2012 R2. Dies ermöglicht die einfache Installation Webanwendungsproxy in Ihrer Bereitstellung mit Server-Manager oder Windows PowerShell.
Webanwendungsproxy die Remotezugriffs-Verwaltungskonsole, sodass Sie verwalten integriert ist Ihre Webanwendungsproxy Server und andere Remotezugriffstechnologien wie DirectAccess und VPN-aus der gleichen Remotezugriffs-Verwaltungskonsole.
Webanwendungsproxy bietet volle Funktionalität über eine Reihe von Windows PowerShell Befehle und eine Windows-Verwaltungsinstrumentation (WMI) API.
Zur Unterstützung der Problembehandlung Webanwendungsproxy:
Ereignisse in das Windows-Ereignisprotokoll geschrieben.
Eine Reihe von Leistungsindikatoren bereitstellt.
Verfügt über eine dedizierte Best Practices Analyzer (BPA).
Interoperabilität mit anderen Produkten Remotezugriff
Webanwendungsproxy ist ein Rollendienst der Remotezugriffs-Rolle in Windows Server 2012 R2. Sie können installieren Webanwendungsproxy von parallelen-Remote-Zugriff in den folgenden Szenarien:
| DirectAccess | VPN | Webanwendungsproxy |
|---|---|---|
| Bereitstellung mit einem Server | Bereitstellung mit einem Server | Bereitstellung mit einem Server |
| Bereitstellung für mehrere Standorte | Bereitstellung mit mehreren Servern | Keine Unterstützung auf demselben Server |
| Keine Unterstützung auf demselben Server | Bereitstellung mit mehreren Servern | Bereitstellung mit mehreren Servern |
| Clusterbereitstellung1 | Bereitstellung mit mehreren Servern | Bereitstellung mit mehreren Servern2 |
Hinweis
1 Bei einer bereits vorhandenen DirectAccess-Clusterbereitstellung können Sie den Webanwendungsproxy nur mithilfe von Windows PowerShell installieren.
2 Bei einer bereits vorhandenen Webanwendungsproxy-Bereitstellung mit mehreren Servern können Sie DirectAccess nur mithilfe von Windows PowerShell installieren.
Webanwendungsproxy Anwendung veröffentlichen stellt vergleichbare Funktionen bereit, um Forefront Unified Access Gateway (UAG). Allerdings Webanwendungsproxy interagiert mit anderen Servern und Dienste, um eine optimierte Bereitstellung zu ermöglichen. Dadurch können Sie die Konzentration auf nur die erforderlichen Teile der Bereitstellung konfigurieren. Es wird empfohlen, für alle neuen Funktionen der Anwendung veröffentlichen, in dem für die oben beschriebenen Szenarien benötigen Bereitstellungen zu verwendende Webanwendungsproxy.
Siehe auch
Planen der Anwendungsveröffentlichung mithilfe des Webanwendungsproxy