A webalkalmazás-Proxy használata
Közzétéve: 2016. szeptember
Ez a tartalom a webalkalmazás-proxy helyszíni verziójára vonatkozik. A helyszíni alkalmazások felhőn keresztül történő biztonságos hozzáférésének engedélyezéséről lásd az Azure AD-alkalmazásproxy tartalmat.
Webalkalmazás-proxy Új távelérés szerepkör-szolgáltatás a Windows Server® 2012 R2.Webalkalmazás-proxy fordított proxy funkciókat biztosít a webalkalmazások eléréséhez őket a vállalati hálózaton kívül bármely eszközön lehetővé teszi a felhasználóknak a vállalati hálózaton belül.Webalkalmazás-proxy webes alkalmazások használatával hozzáférést preauthenticates Active Directory összevonási szolgáltatások (AD FS), és is működik, mint egy AD FS proxy.
Hozzáférés biztosítása az alkalmazások számára
Webalkalmazás-proxy lehetővé teszi a végfelhasználók számára a szervezet kívül található a szervezeten belüli kiszolgálók futó alkalmazások szelektív hozzáférést biztosít a szervezetek. A folyamatot, amellyel az alkalmazás kívülről hozzáférhetővé tehető, közzétételnek hívják. Hagyományos VPN-megoldások, amikor az alkalmazás-közzétételhez eltérően Webalkalmazás-proxy felhasználók is hozzáférhetnek csak közzétett alkalmazások. Azonban Webalkalmazás-proxy is telepítheti a virtuális Magánhálózatokkal a szervezet egy távelérési központi telepítésének részeként. Lásd: Interoperability with Other Remote Access Products.
Alkalmazások közzététele
A Webalkalmazás-proxy segítségével történő közzététel lehetővé teszi a végfelhasználók számára, hogy saját eszközeikkel elérhessék a szervezeti alkalmazásokat, így munkavégzésük nem korlátozódik a vállalati laptopokra, használhatják otthoni számítógépüket, táblagépüket vagy okostelefonjukat is. A végfelhasználók emellett nem szükséges további szoftvereket telepíteniük az eszközükön közzétett alkalmazások eléréséhez. A Webalkalmazás-proxy szabványos böngészővel rendelkező ügyfeleken, Office-ügyfélen vagy OAuth protokollt használó gazdag ügyfélen használható (ilyenek például a Windows Áruházbeli alkalmazások). A Webalkalmazás-proxy az azzal közzétett alkalmazások fordított proxykiszolgálójaként működik, így a végfelhasználói élmény ugyanaz, mintha a végfelhasználó eszköze közvetlenül az alkalmazáshoz csatlakozna.
Alkalmazások eléréséhez
Webalkalmazás-proxy minden esetben telepíteni kell a AD FS. Ez lehetővé teszi, hogy kihasználja a rendelkezésre álló AD FS, mint például egyszeri bejelentkezés (SSO). Ez lehetővé teszi a felhasználók számára, hogy adja meg a hitelesítő adataikat egyszer, és a következő alkalmakkor azokat nem kell az adataikat. Egyszeri bejelentkezés által támogatott Webalkalmazás-proxy háttérkiszolgálók jogcímalapú hitelesítési; például jogcímalapú SharePoint-alkalmazások és használó integrált Windows-hitelesítés Kerberos használatával korlátozott delegálás. Integrált Windows-hitelesítés-alapú alkalmazások adható meg AD FS amely tartatni gazdag hitelesítési és engedélyezési házirendeket adhatja meg az alkalmazás kérelmek közvetítőpartneri megbízhatóságokkal kapcsolatban.
A külső kockázatoktól alkalmazások védelme
Webalkalmazás-proxy szolgál a korlátot, az internetes és a vállalati alkalmazások között. Számos szervezetben telepítésekor Webalkalmazás-proxy és alkalmazás-közzétételhez, ezeknek az alkalmazásoknak azokon az eszközökön, amelyek nincsenek csatlakoztatva a tartományhoz, például személyes laptopokon, táblagépeken vagy akár okostelefonokon külső felhasználók számára elérhető lesz. Ezek az eszközök vannak nem tartományhoz csatlakoztatva, és mint ilyen, azok nem felügyelt eszközök, az alábbi, és nem megbízható, a vállalati hálózaton belül. Azt szeretné, hogy a felhasználók férhetnek hozzá a fontos információkat, amikor és helytől függetlenül, mivel csökkenti a biztonsági kockázatát biztosíthat a felhasználóknak hozzáférést a vállalati erőforrásokhoz az nem felügyelt és nem megbízható eszközökről.Webalkalmazás-proxy számos biztonsági szolgáltatások fenyegetésektől való védelmét a vállalati hálózathoz külső.Webalkalmazás-proxy használja a AD FS hitelesítési és engedélyezési annak érdekében, hogy csak az eszközökön, akik hitelesítésre és a jogosult felhasználók hozzáférhet a vállalati alkalmazások.
Védelmet
A javasolt központi Webalkalmazás-proxy között egy internetes elérésű és egy vállalati hálózati tűzfalon szegélyhálózaton telepítve van. Azonban a magukat, tűzfalak által biztosított védelmet mellett Webalkalmazás-proxy további védelmet biztosít az alkalmazások külső fenyegetések ellen.
Amikor megérkeznek HTTPS-forgalom, amely átirányítja egy címet által közzétett Webalkalmazás-proxy, azt a forgalom leáll, és a közzétett alkalmazások új kérést kezdeményez. Ezért külső eszközök és a közzétett alkalmazások közötti munkamenet-szintű puffer működik. Ez azt jelenti, amikor a felhasználók férhetnek hozzá a közzétett alkalmazások, azok nem tud közvetlenül hozzáférni az alkalmazás, ehelyett hozzáférésük van az alkalmazás keresztül Webalkalmazás-proxy.
Minden más érkező forgalom Webalkalmazás-proxy van hagyva, és nem továbbítja a közzétett alkalmazást. Idetartoznak a érvénytelen HTTP vagy HTTPS kéréseit, amelyik alkalmas lehet szolgáltatásmegtagadási támadásokat, részeként nulla nap támadások, SSL támadások és így tovább.
Megérkezett hitelesített kérésének Webalkalmazás-proxy egy hitelesítési jogkivonatot a tartalmazó AD FS és győződjön meg arról, hogy a kapott jogkivonat készült-e az ügyfél küldésekor a jogkivonat ellenőrizni kell. Ez történik, hogy (a munkahelyi csatlakoztatást tanúsítvány) az eszköz megfelel-e az igényre belül a token által azonosított az eszközt, amikor a hitelesített ellenőrzésével AD FS.
Hitelesítés és engedélyezés
A hozzáférést a szervezetben az alkalmazások védelme érdekében ajánlott hozzáférést csak a hitelesített és engedélyezett felhasználók számára. Alkalmazás-közzétételhez amikor Webalkalmazás-proxy, ez úgy érhető el – a AD FS, amely hitelesítést nyújt, és a közzétett alkalmazások engedélyezési előírja.
Megjegyzés
Webalkalmazás-proxy Emellett lehetővé teszi lehetővé, amelyek nem igényelnek előhitelesítés, vagy amelyek ügyfelek nem támogatják a rendelkezésre álló hitelesítési képességeket alkalmazások közzététele áteresztő előhitelesítés.
Felhasználók és eszközök hitelesítéséhez
Alkalmazás-közzétételhez amikor Webalkalmazás-proxy, a folyamat, amellyel felhasználók és eszközök hitelesítése előtt alkalmazások hozzáférést kapnak előhitelesítés nevezzük.Webalkalmazás-proxy kétféle előhitelesítés támogatja:
AD FS előhitelesítés – használatakor AD FS előhitelesítés, a felhasználó van szükség, hogy hitelesítést a AD FS kiszolgáló előtt Webalkalmazás-proxy irányítja át a felhasználó a közzétett webalkalmazás. Ez biztosítja, hogy a közzétett webes alkalmazásokhoz az összes forgalom hitelesítése.
Áteresztő előhitelesítés – felhasználó nem szükségesek hitelesítő adatok megadását, mielőtt közzétett webes alkalmazásokhoz való csatlakozáshoz.
Megjegyzés
Áteresztő előhitelesítés meg, hogy szükséges-e egy alkalmazás a felhasználók hitelesítő adatait az alkalmazás nincs hatással van. Ez azt jelenti, hogy a áteresztő előhitelesítés konfigurált alkalmazás nem szükséges felhasználói hitelesítő adatokat lekérni a vállalati hálózathoz, de megkövetelheti felhasználók megtekintéséhez az alkalmazás tartalmát a hitelesítő adatok megadását.
Könnyen által közzétett alkalmazások eléréséhez Webalkalmazás-proxy, használatára és AD FS előhitelesítés végfelhasználók használja a következő ügyfelek egyikét:
Minden olyan ügyfél, amely támogatja a HTTP-átirányítások; Ha például egy webböngészőben.Webalkalmazás-proxy a bejövő kérelem átirányítása a felhasználó hitelesítési címre, majd ismét az eredeti webcímet hitelesítési igazolására most a megfelelő műveletet végez.
Gazdag használó ügyfelek HTTP alapszintű, például az Exchange ActiveSync.
Bármely ügyfél, amely MSOFBA; például a Word, Excel vagy PowerPoint. Ebben az esetben a felhasználó megpróbál hozzáférni a dokumentum a vállalati hálózaton belül egy kiszolgálón tárolt legutóbbi dokumentumok listájáról.
Windows Áruházbeli alkalmazások és a webes hitelesítés Broker hitelesítést használó ügyfelek RESTful alkalmazások. A felhasználó megnyithatja egy alkalmazást az eszközükön, amely beolvassa a jogkivonat AD FS keresztül webes hitelesítés Broker, és a HTTP-engedélyezési fejlécben kérelmeknél az alkalmazás adott token tartalmazza.
Megjegyzés
Attól függően, hogy az ügyfél a közzétett alkalmazás eléréséhez használt Webalkalmazás-proxy úgy dönt, hogyan lehet feldolgozni a kérést.
Hitelesítési képességeket
Amikor AD FS hitelesítéshez is előnyökkel jár a funkció, amely AD FS biztosít:
A munkahelyi csatlakoztatás – Ez az egyik új funkciója AD FS a Windows Server 2012 R2. Lehetővé teszi a felhasználóknak, hogy eszközök csatlakozzanak a munkahelyen, amely általában nem tartományhoz csatlakoztatott; például személyes laptopokon, táblagépeken és okostelefonokon. Ha ez a funkció engedélyezve van, a AD FS rendszergazda minden alkalmazást úgy is konfigurálhatja, vagy az egyes alkalmazások igényelnek hozzáférést kapnak előtt regisztrálni kell az eszközök közzétett alkalmazások. További információ: Csatlakozás munkahelyhez bármilyen eszközről egyszeri bejelentkezéssel és zavartalan kéttényezős hitelesítéssel a különböző vállalati alkalmazások esetében.
Egyszeri bejelentkezés – Ez lehetővé teszi a felhasználóknak egyszer adja meg hitelesítő adatait, és az összes támogatott közzétett alkalmazások hitelesíthető. Lásd: Csatlakozás munkahelyhez bármilyen eszközről egyszeri bejelentkezéssel és zavartalan kéttényezős hitelesítéssel a különböző vállalati alkalmazások esetében.
Többtényezős hitelesítést (MFA) –AD FS beállítható úgy, hogy a felhasználóknak be kell jelentkezniük egynél több hitelesítési séma, például egy egyszeri jelszót vagy intelligens kártya. Lásd: Kockázatkezelés további többtényezős hitelesítéssel érzékeny alkalmazások esetén.
Többtényezős hozzáférés-vezérlés – hozzáférés-vezérlés a AD FS egy engedélyt, vagy megtagadják jogcímek, amely meghatározza, hogy a felhasználó vagy felhasználók egy csoportjának az itt megadotton kívül eléréséhez használt hitelesítési jogcímszabályok implementálása AD FS-védett erőforrások, vagy sem. Engedélyezésszabályok csak függő entitások megbízhatóságára állíthatók be. A fenti funkció egyesíthetők, szükség esetén adja meg a szigorúbb biztonsági bizalmas alkalmazásokhoz vagy figyelmen kívül hagyott kevesebb bizalmas alkalmazásokhoz. Lásd: Kockázatkezelés feltételes hozzáférés-vezérléssel.
Alkalmazás-közzétételhez amikor Webalkalmazás-proxy nem szükséges konfigurálni a AD FS fent említett hitelesítési szolgáltatások. Ez lehetővé teszi, hogy adja meg, amelyek nem képes csatlakozás a munkahelyhez, vagy adjon meg további elemre alapuló hitelesítést, például a kioszk eszközökhöz való hozzáférést.
Webalkalmazás-Proxy technikai áttekintése
Ha úgy dönt, hogy használja Webalkalmazás-proxy a szervezet azt javasoljuk, hogy telepítené a Webalkalmazás-proxy elkülöníteni az internetről, vagy két tűzfal; az internetről elválasztására előtér tűzfal és a vállalati hálózatról elválasztására háttér tűzfal előtér tűzfal mögött található kiszolgálók. Ebben a topológiában Webalkalmazás-proxy rosszindulatú felhasználók, amelyek az internetről hamarosan lesz elleni védelmi réteget biztosít. Nincsenek más kiszolgálók szükségesek a szegélyhálózaton; található Ez azt jelenti, hogy a AD FS kiszolgálók találhatók a vállalati hálózathoz, és csak keresztül érhető el Webalkalmazás-proxy használatával a beépített AD FS proxyfunkciójával.
Az alábbi ábrán egy tipikus topológia telepítése Webalkalmazás-proxy között két tűzfal szegélyhálózaton.
.jpeg "Webalkalmazás-proxy topológiája")
Web Application Proxy konfigurációs tároló
A Webalkalmazás-proxy konfigurációs tárolja a AD FS kiszolgálók a szervezet; ezért Webalkalmazás-proxy kiszolgálóknál kapcsolata a AD FS kiszolgálók. Emellett az első konfigurálása után Webalkalmazás-proxy kiszolgáló telepíthet további Webalkalmazás-proxy kiszolgálók a fürt központi telepítés létrehozásához. A szerepkör-szolgáltatás telepítése a fürt az új kiszolgálón, ha a konfiguráció automatikusan átkerül az új kiszolgáló befejezése után a Webalkalmazás-proxy konfigurációs varázsló.
Óta Webalkalmazás-proxy konfigurációját tárolja a AD FS kiszolgálók helyileg nem rendelkezik tárolt konfigurációs adatait.
Az AD FS Proxy funkciójának
A Webalkalmazás-proxy szerepkör-szolgáltatás is van egy AD FS proxy. Ez azt jelenti, hogy Webalkalmazás-proxy figyeli az összes a végpontok, amelyek AD FS figyeli.Webalkalmazás-proxy is továbbítja az internetről a kérelmek AD FS és a válaszok AD FS az internethez. Vegye figyelembe, hogy a Webalkalmazás-proxy szerepkör-szolgáltatás helyettesíti a rendszer a AD FS proxy szerepkör.
Rétegek proxy létrehozása a szervezet számára az összevonási szolgáltatás további biztonsági hozzáadja a AD FS központi telepítés. Érdemes megfontolni a Webalkalmazás-proxy a szervezet a szegélyhálózatban, ha meg szeretné:
Megakadályozható, hogy a külső ügyfélszámítógépek közvetlenül hozzáférjenek a AD FS kiszolgálók. Telepít egy Webalkalmazás-proxy kiszolgálóra a szegélyhálózaton, hatékony elkülönítve a AD FS kiszolgálók.Webalkalmazás-proxy kiszolgálók nincs hozzáférése a titkos kulcsok token létrehozásához használt.
Adja meg a felhasználók számára, akik az integrált Windows-hitelesítést használ, a vállalati hálózathoz érkező figyelésekor az interneten érkező bejelentkezési élmény megkülönböztetésre kényelmesen.
Webalkalmazás-Proxy kezelése
Webalkalmazás-proxy eszközök és szolgáltatások által biztosított számú használ Windows Server 2012 R2 engedélyezi, hogy könnyen telepítse, telepítését és kezelését, a vállalati központi telepítések közben.
Webalkalmazás-proxy a szerepkör-szolgáltatás Windows Server 2012 R2. Ez lehetővé teszi, hogy könnyedén telepítheti Webalkalmazás-proxy a központi telepítés használatával Kiszolgálókezelő vagy Windows PowerShell.
Webalkalmazás-proxy a távelérés kezelési konzolját, lehetővé téve kezelése integrálva van a Webalkalmazás-proxy kiszolgálók és az egyéb távoli hozzáférést technológiáira, például a DirectAccess és a VPN-távelérés kezelési konzolhoz.
Webalkalmazás-proxy teljes kiszolgálja keresztül Windows PowerShell parancsokat és a Windows Management Instrumentation (WMI) API-t.
Hibaelhárítás a támogatási Webalkalmazás-proxy:
A Windows eseménynaplóba írja az eseményeket.
A teljesítményszámlálók számát mutatja.
Rendelkezik egy dedikált ajánlott eljárásokat elemző eszközét.
Együttműködés az egyéb távoli hozzáférést termékek
Webalkalmazás-proxy a távelérés szerepkör, szerepkör-szolgáltatás Windows Server 2012 R2. Telepíthet Webalkalmazás-proxy -párhuzamos távelérési a következő esetekben:
| DirectAccess | VPN | Webalkalmazás-proxy |
|---|---|---|
| Egykiszolgálós telepítés | Egykiszolgálós telepítés | Egykiszolgálós telepítés |
| Többhelyes telepítés | Többkiszolgálós telepítés | Nem támogatott ugyanazon kiszolgálón |
| Nem támogatott ugyanazon kiszolgálón | Többkiszolgálós telepítés | Többkiszolgálós telepítés |
| Fürttelepítés1 | Többkiszolgálós telepítés | Többkiszolgálós telepítés2 |
Megjegyzés
1 – Egy korábban létező DirectAccess fürtkonfiguráció esetén a Webalkalmazás-proxy üzembe helyezése csak a Windows PowerShell segítségével végezhető el.
2 – Egy korábban létező többkiszolgálós Webalkalmazás-proxy konfiguráció esetén a DirectAccess üzembe helyezése csak a Windows PowerShell segítségével végezhető el.
Webalkalmazás-proxy alkalmazás közzétételi lehetőségeket kínál, a Forefront Unified Access Gateway (UAG) hasonló. Azonban Webalkalmazás-proxy más kiszolgálók és a szolgáltatások biztosításához több korszerű telepítési kommunikál. Ez segít konfigurálása csak a központi telepítés szükséges részei összpontosít. Javasoljuk, hogy ahol alkalmazás közzétételi képességek szükség a fent leírt forgatókönyvek esetén ajánlott minden új központi kell használnia Webalkalmazás-proxy.
Lásd még
Belső alkalmazások Webalkalmazás-proxyval történő közzétételének megtervezése