Trabajar con el Proxy de aplicación Web
Publicado: septiembre de 2016
Este contenido es relevante para la versión local del Proxy de aplicación web. Para habilitar el acceso seguro a aplicaciones locales a través de la nube, consulte el contenido de Proxy de aplicación de Azure AD.
Proxy de aplicación web es un nuevo servicio de rol acceso remoto en Windows Server® 2012 R2.Proxy de aplicación web Proporciona funcionalidad de proxy inverso para que aplicaciones web dentro de la red corporativa permitir a los usuarios en cualquier dispositivo para tener acceso a ellas desde fuera de la red corporativa.Proxy de aplicación web autentica previamente el acceso a aplicaciones web mediante Servicios de federación de Active Directory (AD FS), y también funciona como un AD FS proxy.
Proporcionar acceso a aplicaciones
Proxy de aplicación web ofrece a las organizaciones la capacidad de proporcionar acceso selectivo a las aplicaciones que se ejecutan en servidores dentro de la organización a los usuarios finales ubicados fuera de la organización. El proceso para hacer que la aplicación esté disponible externamente se conoce como publicación. A diferencia de las soluciones VPN tradicionales, al publicar aplicaciones a través de Proxy de aplicación web los usuarios finales pueden obtener acceso sólo a las aplicaciones que se publican. Sin embargo, Proxy de aplicación web también puede implementarse con VPN como parte de una implementación de acceso remoto en su organización. Consulte Interoperability with Other Remote Access Products.
Publicación de aplicaciones
La publicación de Proxy de aplicación web permite a los usuarios finales tener acceso a las aplicaciones de su organización desde sus propios dispositivos, se manera que no estén limitados a los portátiles corporativos para hacer su trabajo, sino que puedan usar su equipo doméstico, tableta o smartphone. Además, los usuarios finales no tienen que instalar ningún software adicional en su dispositivo para obtener acceso a las aplicaciones publicadas.Proxy de aplicación web se puede usar en clientes con un explorador estándar, un cliente de Office o un cliente enriquecido con OAuth (por ejemplo, aplicaciones de la Tienda Windows).Proxy de aplicación web actúa como un proxy inverso para una aplicación publicada a través de él y, como tal, la experiencia del usuario final es igual que si el dispositivo del usuario final se conectara directamente a la aplicación.
Obtener acceso a aplicaciones
Proxy de aplicación web siempre debe implementarse con AD FS. Esto le permite aprovechar las características de AD FS, como por ejemplo, inicio de sesión único (SSO). Esto permite a los usuarios introducir sus credenciales una vez y en ocasiones posteriores, no tenga que escriba sus credenciales. SSO es compatible con Proxy de aplicación web para servidores de back-end que utilicen autenticación basada en notificaciones; por ejemplo aplicaciones de SharePoint basada en notificaciones y autenticación de Windows integrada con Kerberos de la delegación restringida. Integrada de Windows, aplicaciones basadas en la autenticación se pueden definir en AD FS como usuario autenticado que puede definir directivas de autenticación y autorización enriquecidas que se aplican en las solicitudes a la aplicación.
Proteger aplicaciones frente a amenazas externas
Proxy de aplicación web actúa como una barrera entre Internet y las aplicaciones corporativas. En muchas organizaciones, cuando implemente Proxy de aplicación web y publicar aplicaciones a través de él, esas aplicaciones estarán disponibles para los usuarios externos en los dispositivos que no están unidos al dominio; por ejemplo, equipos portátiles personales, tabletas o smartphones. Estos dispositivos no están unidos a dominio y por lo tanto, se describen como dispositivos no administrados y no son de confianza dentro de la red corporativa. Puesto que desea que los usuarios puedan tener acceso a información importante cuando y donde están ubicados, debe mitigar el riesgo de permitir a los usuarios acceso a los recursos corporativos desde estos dispositivos no administrados y no es de confianza.Proxy de aplicación web Proporciona una serie de características de seguridad para proteger su red corporativa contra amenazas externas.Proxy de aplicación web utiliza AD FS para la autenticación y autorización para asegurarse de que sólo los usuarios de dispositivos de autenticarán y están autorizados pueden tener acceso a aplicaciones corporativas.
Defensa en profundidad
En la implementación recomendada, Proxy de aplicación web se implementa en una red perimetral entre un servidor de seguridad a través de Internet y un servidor de seguridad de la red corporativa. Sin embargo, además de la protección proporcionada por los firewalls, Proxy de aplicación web proporciona protección adicional para sus aplicaciones contra amenazas externas.
Cuando se recibe el tráfico HTTPS es dirigido a una dirección publicada por Proxy de aplicación web, se finaliza el tráfico y se inicia nuevas solicitudes de las aplicaciones publicadas. Por lo tanto, actúa como un búfer de nivel de sesión entre dispositivos externos y las aplicaciones publicadas. Es decir, cuando los usuarios tienen acceso a las aplicaciones publicadas, no tener acceso directamente a la aplicación, en su lugar, tener acceso a la aplicación a través de Proxy de aplicación web.
Cualquier otro tráfico que llega al Proxy de aplicación web se quita y no se reenvía a las aplicaciones publicadas. Esto incluye las solicitudes HTTP o HTTPS no válidas que se pueden utilizar como parte del servicio ataques de denegación de cero a los ataques de día y ataques SSL.
Cualquier solicitud autenticada que llega al Proxy de aplicación web que contiene un token de autenticación desde AD FS inspeccionará para asegurarse de que el token recibido estaba destinado el cliente que envía el token. Esto se realiza comprobando que el dispositivo (mediante el certificado de unión) corresponde a la notificación en el token que identifica el dispositivo cuando se autentiquen en AD FS.
Autenticación y autorización
Para proteger el acceso a las aplicaciones de su organización, se recomienda para permitir el acceso sólo a usuarios autenticados y autorizados. Al publicar aplicaciones a través de Proxy de aplicación web, esto se logra mediante el uso de AD FS, que proporciona autenticación y exige la autorización para las aplicaciones publicadas.
Nota
Proxy de aplicación web También permite la autenticación previa de paso a través, que permite publicar aplicaciones que no requieren autenticación previa o cuyos clientes son compatibles con las capacidades de autenticación disponibles.
Autenticación de usuarios y dispositivos
Al publicar aplicaciones a través de Proxy de aplicación web, el proceso por el que los usuarios y dispositivos se autentiquen antes de que obtienen acceso a las aplicaciones se conoce como autenticación previa.Proxy de aplicación web admite dos formas de autenticación previa:
AD FS autenticación previa: cuando se utiliza AD FS para la autenticación previa, el usuario debe autenticarse en el AD FS servidor antes de Proxy de aplicación web redirige al usuario a la aplicación web publicada. Esto garantiza que se autentique todo el tráfico a sus aplicaciones web publicadas.
Autenticación previa de paso a través, los usuarios no tienen que especificar credenciales antes de que se conectan a las aplicaciones web publicadas.
Nota
Autenticación previa de paso a través no influye en si una aplicación requiere que los usuarios proporcionar credenciales para la aplicación. Es decir, una aplicación configurada con autenticación previa de paso a través no requiere que los usuarios escriban credenciales en la red corporativa, pero puede requerir a los usuarios especificar credenciales para ver el contenido de la aplicación.
Para obtener acceso fácilmente a las aplicaciones publicadas por Proxy de aplicación web, y usar AD FS autenticación previa de los usuarios finales deben utilizar uno de los siguientes clientes:
Cualquier cliente que admita redirecciones HTTP; Por ejemplo, un explorador web.Proxy de aplicación web realiza la acción adecuada en la solicitud entrante para redirigir al usuario a una dirección de autenticación y volver a la dirección web original, esta vez con la prueba de autenticación.
Clientes enriquecidos que utilizan HTTP básica, por ejemplo, Exchange ActiveSync.
Cualquier cliente que use MSOFBA; Por ejemplo, Word, Excel o PowerPoint. En este caso, un usuario intenta obtener acceso a un documento en su lista de documentos recientes que se almacena en un servidor en la red corporativa.
Aplicaciones de la tienda de Windows y aplicaciones de RESTful con los clientes que utilizan al agente de autenticación Web para la autenticación. Un usuario puede abrir una aplicación en su dispositivo que obtiene un token de AD FS mediante el agente de autenticación Web e incluye ese token en el encabezado de autorización HTTP en solicitudes posteriores a la aplicación.
Nota
Según el cliente utilizado para tener acceso a la aplicación publicada, Proxy de aplicación web decide cómo procesar la solicitud.
Capacidades de autenticación
Cuando se utiliza AD FS para la autenticación, también podrá beneficiarse de todas las características que AD FS proporciona:
El área de trabajo, se trata de una característica nueva de AD FS en R2 de Windows 2012 Server. Permite a los usuarios unir dispositivos al área de trabajo que no suele ser unido a un dominio; Por ejemplo, equipos portátiles personales, tabletas y smartphones. Cuando esta característica está habilitada, la AD FS administrador puede configurar todas las aplicaciones o aplicaciones individuales, que requiere que los dispositivos deben registrarse antes de que puedan obtener acceso a aplicaciones publican. Para obtener más información, consulte unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación de segundo factor sin problemas en todas las aplicaciones de la compañía.
SSO, esto permite a los usuarios a escribir las credenciales de una sola vez y se autentique a todas las aplicaciones publicadas compatibles. Consulte unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación de segundo factor sin problemas en todas las aplicaciones de la compañía.
La autenticación multifactor (MFA),AD FS puede configurarse para solicitar a los usuarios autenticarse con más de un esquema de autenticación; por ejemplo, una contraseña temporal o una tarjeta inteligente. Consulte administración de riesgos con la autenticación multifactor adicional para aplicaciones confidenciales.
Control de acceso multifactor: control de acceso en AD FS se implementa con reglas de notificación de autorización que se usan para emitir un permiso o denegar las notificaciones que puede determinar si un usuario o un grupo de usuarios podrán tener acceso a AD FS-recursos protegidos o no. Las reglas de autorización solo se pueden establecer en relaciones de confianza para usuario autenticado. Todas las características anteriores pueden combinarse, según sea necesario, para proporcionar una seguridad más estricta para aplicaciones confidenciales o se omiten para las aplicaciones menos confidenciales. Consulte Administración de riesgos con control de acceso condicional.
Al publicar aplicaciones a través de Proxy de aplicación web no es necesario configurar el AD FS características de autenticación mencionados anteriormente. Esto le permite proporcionar acceso a dispositivos que no pueden unirse a área de trabajo, o proporcionar otros factores de autenticación, como quioscos.
Introducción técnica de Proxy de aplicación Web
Cuando se decide utilizar Proxy de aplicación web en su organización, le recomendamos que implemente su Proxy de aplicación web servidores detrás de un firewall front-end para separarlo de Internet, o entre dos servidores de seguridad; un firewall front-end para separarlo de Internet y un firewall back-end para separarlo de la red corporativa. En esta topología, Proxy de aplicación web proporciona una capa de protección contra usuarios malintencionados que pueden provenir de Internet. No hay otros servidores son necesarios se encuentren en la red perimetral; es decir, su AD FS servidores se encuentran en la red corporativa y solo esté accesible a través de Proxy de aplicación web mediante su integrado AD FS funcionalidad de proxy.
El diagrama siguiente muestra una topología típica para la implementación de Proxy de aplicación web en una red perimetral entre dos servidores de seguridad.
.jpeg "Web Application Proxy Topology")
Almacenamiento de configuración de Proxy de aplicación Web
El Proxy de aplicación web configuración se almacena en los AD FS servidores de la organización; por lo tanto, Proxy de aplicación web servidores requieren conectividad con el AD FS servidores. Además, después de configurar la primera Proxy de aplicación web server, puede instalar más Proxy de aplicación web servidores para crear una implementación de clúster. Cuando se instala el servicio de rol en el nuevo servidor en el clúster, la configuración se transferirá automáticamente al nuevo servidor después de completar la Proxy de aplicación web Asistente de configuración.
Puesto que Proxy de aplicación web almacena su configuración en el AD FS servidores no tiene ninguna localmente almacena información de configuración.
Funcionalidad de AD FS Proxy
El Proxy de aplicación web servicio de rol es también un AD FS proxy. Es decir, Proxy de aplicación web escucha a todos los extremos que AD FS escucha.Proxy de aplicación web también reenvía las solicitudes de Internet para AD FS y las respuestas de AD FS a Internet. Tenga en cuenta que el Proxy de aplicación web servicio de función es un reemplazo para el AD FS el rol de servidor proxy.
Creación de un proxy de la organización para el servicio de federación agrega seguridad adicional capas a su AD FS implementación. Considere la posibilidad de implementar Proxy de aplicación web en la red perimetral de su organización cuando desee:
Impedir que los equipos cliente externos obtener acceso directamente a su AD FS servidores. Al implementar un Proxy de aplicación web servidor en la red perimetral, eficazmente aislar su AD FS servidores.Proxy de aplicación web los servidores no tienen acceso a las claves privadas que se utilizan para generar tokens.
Proporcionan una manera cómoda para diferenciar la experiencia de inicio de sesión para los usuarios que proceden de Internet en contraposición a los usuarios que proceden de la red corporativa mediante la autenticación integrada de Windows.
Administración de Proxy de aplicación Web
Proxy de aplicación web utiliza un número de herramientas y características proporcionadas por R2 de Windows 2012 Server para que pueda instalar fácilmente, implementar y administrar en las implementaciones corporativas.
Proxy de aplicación web es un servicio de rol en R2 de Windows 2012 Server. Esto le permite instalar fácilmente Proxy de aplicación web en su implementación con Administrador de servidores o Windows PowerShell.
Proxy de aplicación web se integra en la consola de administración de acceso remoto, que le permite administrar su Proxy de aplicación web servidores y otras tecnologías de acceso remoto, como DirectAccess y VPN desde la misma consola de administración de acceso remoto.
Proxy de aplicación web ofrece funcionalidad completa a través de un conjunto de Windows PowerShell comandos y una API de Windows Management Instrumentation (WMI).
Para ayudar a solucionar problemas, Proxy de aplicación web:
Escribe los eventos en el registro de eventos de Windows.
Expone una serie de contadores de rendimiento.
Tiene un dedicado Best Practices Analyzer (BPA).
Interoperabilidad con otros productos de acceso remoto
Proxy de aplicación web es un servicio de rol del rol de acceso remoto en R2 de Windows 2012 Server. Puede instalar Proxy de aplicación web en paralelo con el acceso remoto en los escenarios siguientes:
| DirectAccess | VPN | Proxy de aplicación web |
|---|---|---|
| Implementación de un solo servidor | Implementación de un solo servidor | Implementación de un solo servidor |
| Implementación multisitio | Implementación de varios servidores | No compatible en el mismo servidor |
| No compatible en el mismo servidor | Implementación de varios servidores | Implementación de varios servidores |
| Implementación de clúster1 | Implementación de varios servidores | Implementación de varios servidores2 |
Nota
1 - En una implementación de clúster DirectAccess preexistente, puede instalar Proxy de aplicación web únicamente con Windows PowerShell.
2 - En una implementación de Proxy de aplicación web de varios servidores preexistente, puede instalar DirectAccess únicamente con Windows PowerShell.
Proxy de aplicación web proporciona capacidades de publicación aplicaciones, similares a Forefront Unified Access Gateway (UAG). Sin embargo, Proxy de aplicación web interactúa con otros servidores y servicios para proporcionar una implementación más sencilla. Esto le ayuda a concentrarse en la configuración sólo las partes necesarias de la implementación. Se recomienda que para las nuevas implementaciones donde necesite capacidades de publicación de aplicaciones para los escenarios descritos anteriormente, debe usar Proxy de aplicación web.
Vea también
Planeamiento de publicación de aplicaciones mediante el Proxy de aplicación web