Utilisation du Proxy d’Application Web
Date de publication : septembre 2016
Ce contenu concerne la version locale du Proxy d’application Web. Pour autoriser l’accès sécurisé aux applications locales par le biais du cloud, consultez le contenu relatif au Proxy d’application Azure AD.
Proxy d'application web est un service de rôle accès à distance dans Windows Server® 2012 R2.Proxy d'application web Fournit la fonctionnalité de proxy inverse pour les applications web à l’intérieur de votre réseau d’entreprise permettre aux utilisateurs sur n’importe quel périphérique à y accéder à partir de l’extérieur du réseau d’entreprise.Proxy d'application web accès aux applications web à l’aide de préauthentifie Services AD FS (Active Directory Federation Services), et l’un Synchronisation complète AD proxy.
Fournir un accès aux Applications
Proxy d'application web fournissent aux entreprises la possibilité de fournir un accès sélectif aux applications qui s’exécutent sur des serveurs à l’intérieur de l’organisation pour les utilisateurs finaux situés en dehors de l’organisation. Le processus visant à rendre des applications disponibles en externe s'appelle la publication. Contrairement aux solutions VPN traditionnelles, lorsque vous publiez des applications via Proxy d'application web les utilisateurs finaux peuvent accéder uniquement aux applications que vous publiez. Toutefois, Proxy d'application web peut également être déployé avec VPN dans le cadre d’un déploiement de l’accès à distance dans votre organisation. Voir Interoperability with Other Remote Access Products.
Publication d’Applications
La publication Proxy d'application web permet aux utilisateurs finaux d’accéder aux applications de leur organisation à partir de leurs propres appareils, afin qu’ils puissent utiliser d’autres appareils que ceux de leur organisation pour travailler, par exemple leur ordinateur portable, tablette ou smartphone. En outre, les utilisateurs finaux ne doivent pas d’installer des logiciels supplémentaires sur leur appareil pour accéder aux applications publiées.Proxy d'application web peut être utilisé sur des clients avec un navigateur standard, un client Office ou un client riche qui utilise OAuth (par exemple, des applications du Windows Store).Proxy d'application web sert de proxy inverse pour une application qui est publiée par son biais, et ainsi l’expérience utilisateur est identique à celle d’un appareil qui se connecte directement à l’application.
L’accès aux Applications
Proxy d'application web doit toujours être déployé avec Synchronisation complète AD. Cela vous permet d’exploiter les fonctionnalités de Synchronisation complète AD, par exemple, authentification unique (SSO). Cela permet aux utilisateurs d’entrer leurs informations d’identification une seule fois et d’autres occasions, ils pas devra entrer leurs informations d’identification. L’authentification unique est pris en charge par Proxy d'application web pour les serveurs principaux qui utilisent l’authentification basée sur les revendications ; par exemple les applications SharePoint basée sur les revendications et l’authentification Windows intégrée à l’aide de Kerberos de la délégation contrainte. Intégré Windows basés sur l’authentification des applications peuvent être définies dans Synchronisation complète AD en tant que partie de confiance approbations qui peuvent de définir des stratégies d’authentification et d’autorisation riches qui sont appliquées dans les requêtes de l’application.
Protection des Applications contre les menaces externes
Proxy d'application web sert comme une barrière entre Internet et vos applications d’entreprise. Dans de nombreuses organisations, lorsque vous déployez Proxy d'application web et publier des applications, ces applications seront disponibles aux utilisateurs externes sur les périphériques qui ne sont pas joints à votre domaine, par exemple, les ordinateurs portables personnels, les tablettes ou smartphones. Ces périphériques ne sont pas joints au domaine et par conséquent, ils sont décrits comme des périphériques non gérés et sont non approuvés au sein du réseau d’entreprise. Étant donné que vous souhaitez que vos utilisateurs puissent accéder aux informations importantes, où et quand ils se trouvent, vous devez réduire le risque de permettre aux utilisateurs d’accès aux ressources d’entreprise à partir de ces appareils approuvés et non managés.Proxy d'application web fournit plusieurs fonctionnalités de sécurité pour protéger votre réseau d’entreprise contre les menaces externes.Proxy d'application web utilise Synchronisation complète AD pour l’authentification et d’autorisation pour vous assurer que seuls les utilisateurs sur les appareils qui s’authentifient et sont autorisés peuvent accéder à vos applications d’entreprise.
Défense en profondeur
Dans le déploiement recommandé, Proxy d'application web est déployé dans un réseau de périmètre entre un pare-feu Internet et un pare-feu de réseau d’entreprise. Toutefois, en plus de la protection fournie par les pare-feux, Proxy d'application web offre une protection supplémentaire pour vos applications contre les menaces externes.
Lorsque le trafic HTTPS arrive qui est dirigé vers une adresse publiée par Proxy d'application web, il arrête le trafic et lance des nouvelles demandes pour les applications publiées. Par conséquent, il agit comme une mémoire tampon de niveau session entre les périphériques externes et les applications publiées. Autrement dit, lorsque les utilisateurs accèdent à des applications publiées, elles n’accèdent pas directement de l’application, au lieu de cela, ils accèdent à l’application via Proxy d'application web.
Tout autre trafic qui arrive à Proxy d'application web est supprimé et ne pas transmis pour les applications publiées. Cela inclut toutes les demandes HTTP ou HTTPS non conformes qui peuvent être utilisées dans le cadre de refus de service, zéro jour attaques, les attaques par SSL et ainsi de suite.
Toute demande authentifiée qui arrive à Proxy d'application web contenant un jeton d’authentification de Synchronisation complète AD vont être vérifiées pour vous assurer que le jeton reçu a été conçu pour le client envoie le jeton. Cela en vérifiant que le périphérique (via le certificat jonction) correspond à la revendication dans le jeton identifié le périphérique lorsqu’il est authentifié auprès de Synchronisation complète AD.
Authentification et autorisation
Pour protéger l’accès aux applications de votre organisation, il est recommandé d’autoriser l’accès uniquement aux utilisateurs authentifiés et autorisés. Lorsque vous publiez des applications via Proxy d'application web, cela à l’aide de Synchronisation complète AD, qui fournit l’authentification et applique l’autorisation pour les applications publiées.
Notes
Proxy d'application web permet également de pré-authentification pass-through, ce qui vous permet de publier des applications qui ne requièrent pas la pré-authentification ou dont les clients ne prennent pas en charge les fonctionnalités d’authentification disponibles.
Authentification des utilisateurs et périphériques
Lorsque vous publiez des applications via Proxy d'application web, le processus par lequel les utilisateurs et périphériques sont authentifiés avant qu’ils ont accès aux applications est appelé la pré-authentification.Proxy d'application web prend en charge deux formes de pré-authentification :
Synchronisation complète AD la pré-authentification — lorsque vous utilisez Synchronisation complète AD pour la pré-authentification, l’utilisateur doit s’authentifier auprès de le Synchronisation complète AD serveur avant Proxy d'application web redirige l’utilisateur vers l’application web publiée. Cela garantit que tout le trafic vers vos applications web publiées est authentifié.
Pré-authentification pass-through, les utilisateurs ne doivent pas entrer les informations d’identification avant de connecter les applications web publiées.
Notes
Pré-authentification pass-through n’a aucun impact sur si une application requiert que les utilisateurs fournissent des informations d’identification pour l’application. Autrement dit, une application configurée avec la pré-authentification pass-through ne nécessite pas les utilisateurs à entrer des informations d’identification dans le réseau d’entreprise, mais peut nécessiter les utilisateurs à entrer des informations d’identification pour afficher le contenu de l’application.
Pour accéder facilement aux applications publiées par Proxy d'application web, et d’utiliser Synchronisation complète AD la pré-authentification des utilisateurs doivent utiliser l’une des clients suivants :
Tout client qui prend en charge les redirections HTTP ; par exemple, un navigateur web.Proxy d'application web exécute l’action appropriée sur la demande entrante pour rediriger l’utilisateur vers une adresse de l’authentification et à l’adresse web d’origine, cette fois avec la preuve de l’authentification.
Clients complexes qui utilisent le protocole HTTP de base, par exemple, Exchange ActiveSync.
Tout client qui utilise MSOFBA ; par exemple, Word, Excel ou PowerPoint. Dans ce cas, un utilisateur tente d’accéder à un document dans leur liste de Documents récents qui est stocké sur un serveur au sein du réseau d’entreprise.
Les applications du Windows Store et RESTful avec les clients qui utilisent le service Broker d’authentification Web pour l’authentification. Un utilisateur peut ouvrir une application sur leur périphérique qui obtient un jeton de Synchronisation complète AD via le service Broker d’authentification Web et inclut ce jeton dans l’en-tête d’autorisation HTTP dans les demandes suivantes à l’application.
Notes
Selon le client utilisé pour accéder à l’application publiée, Proxy d'application web décide comment traiter la demande.
Fonctionnalités d’authentification
Lorsque vous utilisez Synchronisation complète AD pour l’authentification, vous bénéficiez également de toutes les fonctionnalités qui Synchronisation complète AD fournit :
Espace de travail, il s’agit d’une nouvelle fonctionnalité dans Synchronisation complète AD dans R2 Windows Server 2012. Il permet aux utilisateurs de joindre des appareils à l’espace de travail qui ne devrait pas être joint au domaine ; par exemple, ordinateurs portables personnels, tablettes et les smartphones. Lorsque cette fonctionnalité est activée, le Synchronisation complète AD administrateur peut configurer toutes les applications ou les applications individuelles, pour exiger des appareils à inscrire avant de pouvoir accéder à des applications publiées. Pour plus d’informations, voir joindre un espace de travail à partir de n'importe quel appareil en utilisant l'authentification unique et l'authentification de second facteur transparente pour accéder aux applications de l'entreprise.
L’authentification unique, cela permet aux utilisateurs d’entrer des informations d’identification qu’une seule fois et être authentifié à toutes les applications publiées pris en charge. Voir joindre un espace de travail à partir de n'importe quel appareil en utilisant l'authentification unique et l'authentification de second facteur transparente pour accéder aux applications de l'entreprise.
L’authentification multifacteur (MFA) —Synchronisation complète AD peut être configuré pour demander aux utilisateurs de s’authentifier auprès de plusieurs schémas d’authentification ; par exemple, un mot de passe à usage unique ou une carte à puce. Voir gérer les risques avec une authentification multifacteur supplémentaire pour les applications sensibles.
Contrôle d’accès multifacteur — contrôle d’accès dans Synchronisation complète AD est implémenté avec les règles de revendication d’autorisation qui sont utilisés pour émettre une autorisation ou refuser des revendications qui déterminent si un utilisateur ou un groupe d’utilisateurs est autorisé pour accéder à Synchronisation complète AD-ressources sécurisées ou non. Les règles d’autorisation ne peuvent être définies que sur des approbations de partie de confiance. Toutes les fonctionnalités ci-dessus peuvent être combinées, au besoin, pour fournir une sécurité plus stricte pour les applications confidentielles ou ignorés pour les applications moins confidentielles. Voir gérer les risques avec le contrôle d’accès conditionnel.
Lorsque vous publiez des applications via Proxy d'application web vous n’êtes pas obligé de configurer les Synchronisation complète AD les fonctionnalités d’authentification mentionnés ci-dessus. Cela vous permet de fournir un accès aux appareils qui ne sont pas en mesure de joindre le poste de travail ou fournir d’autres facteurs d’authentification, tels que les bornes.
Présentation technique du Proxy Web Application
Lorsque vous décidez d’utiliser Proxy d'application web dans votre organisation, nous vous recommandons de déployer votre Proxy d'application web serveurs derrière un pare-feu frontal pour le séparer d’Internet, ou entre deux pare-feu ; un pare-feu frontal pour le séparer d’Internet et un pare-feu principal pour le séparer du réseau d’entreprise. Dans cette topologie, Proxy d'application web fournit une couche de protection contre les utilisateurs malveillants qui peuvent provenir d’Internet. Aucuns autres serveurs ne doivent se trouver dans ce réseau de périmètre ; Autrement dit, votre Synchronisation complète AD serveurs se trouvent dans le réseau d’entreprise et sont accessibles via Proxy d'application web à l’aide de son intégré Synchronisation complète AD la fonctionnalité de proxy.
Le diagramme suivant illustre une topologie de déploiement de type Proxy d'application web dans un réseau de périmètre entre deux pare-feu.
.jpeg "Topologie du proxy d'application web")
Stockage de configurations de Proxy Web Application
Le Proxy d'application web configuration est stockée sur le Synchronisation complète AD serveurs de votre organisation ; par conséquent, Proxy d'application web serveurs requièrent une connectivité à la Synchronisation complète AD serveurs. En outre, après la configuration de la première Proxy d'application web serveur, vous pouvez installer d’autres Proxy d'application web serveurs pour créer un déploiement de cluster. Lorsque vous installez le service de rôle sur le nouveau serveur dans le cluster, la configuration est automatiquement transférée vers le nouveau serveur à la fin du Proxy d'application web Assistant de Configuration.
Dans la mesure où Proxy d'application web stocke sa configuration dans les Synchronisation complète AD serveurs qu’il n’a pas localement stockées les informations de configuration.
Fonctionnalités Active Directory Federation Services Proxy
Le Proxy d'application web service de rôle est également un Synchronisation complète AD proxy. Autrement dit, Proxy d'application web écoute à tous les points de terminaison qui Synchronisation complète AD écoute.Proxy d'application web transfère également les demandes à partir d’Internet pour Synchronisation complète AD et les réponses de Synchronisation complète AD à Internet. Notez que le Proxy d'application web service de rôle est un remplacement pour le Synchronisation complète AD rôle de proxy.
Création d’un proxy dans votre organisation pour votre Service de fédération accroît la sécurité des couches à votre Synchronisation complète AD déploiement. Vous pouvez déployer Proxy d'application web dans le réseau de périmètre de votre organisation lorsque vous souhaitez :
Empêcher les ordinateurs clients externes d’accéder directement à votre Synchronisation complète AD serveurs. En déployant un Proxy d'application web serveur dans votre réseau de périmètre, efficacement isoler votre Synchronisation complète AD serveurs.Proxy d'application web les serveurs n’ont pas accès aux clés privées qui sont utilisées pour produire des jetons.
Fournir un moyen pratique pour différencier l’expérience de connexion pour les utilisateurs qui viennent d’Internet par opposition aux utilisateurs qui proviennent de votre réseau d’entreprise à l’aide de l’authentification Windows intégrée.
Gestion de Proxy d’Application Web
Proxy d'application web utilise un certain nombre d’outils et de fonctionnalités fournies par R2 Windows Server 2012 pour que vous puissiez facilement installer, déployer et gérer vos systèmes d’entreprise.
Proxy d'application web est un service de rôle dans R2 Windows Server 2012. Cela vous permet d’installer facilement Proxy d'application web dans votre déploiement à l’aide de Gestionnaire de serveur ou Windows PowerShell.
Proxy d'application web est intégré à la console de gestion de l’accès à distance, ce qui vous permet de gérer votre Proxy d'application web serveurs et autres technologies d’accès à distance, tels que DirectAccess et VPN depuis la même console de gestion de l’accès à distance.
Proxy d'application web Fournit des fonctionnalités complètes par le biais de Windows PowerShell commandes et une API Windows Management Instrumentation (WMI).
Pour faciliter la résolution des problèmes, Proxy d'application web:
Écrit des événements dans le journal des événements Windows.
Expose un nombre de compteurs de performance.
A un dédié Best Practices Analyzer (BPA).
Interopérabilité avec d’autres produits d’accès à distance
Proxy d'application web est un service de rôle du rôle d’accès à distance dans R2 Windows Server 2012. Vous pouvez installer Proxy d'application web côte à côte avec accès à distance dans les scénarios suivants :
| DirectAccess | Réseau privé virtuel | Proxy d'application web |
|---|---|---|
| Déploiement à un seul serveur | Déploiement à un seul serveur | Déploiement à un seul serveur |
| Déploiement multisite | Déploiement sur plusieurs serveurs | Non pris en charge sur le même serveur |
| Non pris en charge sur le même serveur | Déploiement sur plusieurs serveurs | Déploiement sur plusieurs serveurs |
| Déploiement en cluster1 | Déploiement sur plusieurs serveurs | Déploiement sur plusieurs serveurs2 |
Notes
1 — dans un déploiement de cluster DirectAccess préexistant, vous pouvez installer le Proxy d'application web uniquement en utilisant Windows PowerShell.
2 — dans un déploiement de Proxy d'application web à plusieurs serveurs préexistant, vous pouvez installer DirectAccess uniquement en utilisant Windows PowerShell.
Proxy d'application web Fournit des fonctionnalités publication d’applications, semblables à Forefront Unified Access Gateway (UAG). Toutefois, Proxy d'application web interagit avec d’autres serveurs et les services afin de permettre un déploiement plus rapide. Cela vous permet de vous concentrer sur la configuration que les parties nécessaires de votre déploiement. Il est recommandé que pour les nouveaux déploiements où vous avez besoin des capacités de publication d’application pour les scénarios décrits ci-dessus, vous devez utiliser Proxy d'application web.
Voir aussi
Planifier la publication d’applications via le proxy d’application web