Web アプリケーション プロキシ

公開日: 2016年9月

この内容はオンプレミス版の Web アプリケーション プロキシに関連しています。 クラウドでオンプレミス アプリケーションに安全にアクセスする方法については、「Azure AD アプリケーション プロキシのコンテンツ」を参照してください。

Web アプリケーション プロキシ 新しいリモート アクセス役割サービスは、 Windows Server® 2012 R2です。Web アプリケーション プロキシ 企業ネットワークの外部からそれらにアクセスするには、あらゆるデバイスでユーザーを許可するように企業ネットワーク外部の web アプリケーションのリバース プロキシ機能を提供します。Web アプリケーション プロキシ 事前認証を使用して web アプリケーションへのアクセスを行います Active Directory フェデレーション サービス (AD FS), 、としても機能し、 AD FS プロキシ。

アプリケーションにアクセスするため

Web アプリケーション プロキシ 組織は、組織外にいるエンドユーザーに、組織内のサーバーで実行されるアプリケーションを選択的にアクセスを提供する機能を提供します。 アプリケーションを外部で利用できるようにする処理のことを公開と呼びます。 経由でアプリケーションを発行するときに、従来の VPN ソリューションとは異なり Web アプリケーション プロキシ エンドユーザーが公開するアプリケーションにのみアクセス権を取得します。 ただし、 Web アプリケーション プロキシ 、組織内のリモート アクセスの展開の一部として VPN でも展開されます。 「Interoperability with Other Remote Access Products」を参照してください。

アプリケーションの発行

Web アプリケーション プロキシを経由して公開することにより、エンド ユーザーは自分のデバイスから組織のアプリケーションにアクセスすることができます。このため、ユーザーが作業を行う際、会社のノート PC だけでなく、自宅のコンピューター、タブレット、スマートフォンなども使用できるようになります。 さらに、エンドユーザーは、公開されたアプリケーションにアクセスするデバイスで、追加のソフトウェアをインストールする必要はありません。Web アプリケーション プロキシは、標準のブラウザーを備えたクライアント、Office クライアント、OAuth を使用したリッチ クライアント (Windows ストア アプリ) で利用できます。Web アプリケーション プロキシは、このプロキシ経由で公開されたアプリケーションのリバース プロキシとして機能します。このため、エンド ユーザー エクスペリエンスは、エンド ユーザーのデバイスがアプリケーションに直接接続する場合と同じになります。

アプリケーションにアクセスします。

Web アプリケーション プロキシ 展開する必要が常に AD FSします。 機能を活用できます AD FS, など、シングル サインオン (SSO)。 これにより、ユーザーを 1 回の資格情報を入力し、以降は、する必要はありません、資格情報を入力します。 SSO ではサポートされて Web アプリケーション プロキシ クレーム ベース認証やなどの SharePoint 要求ベースのアプリケーションでは、Kerberos を使用して、統合 Windows 認証を使用して、バックエンド サーバーの制約付き委任します。 統合 Windows 認証ベースのアプリケーションで定義できる AD FS として証明書利用者信頼アプリケーションへの要求で実行される認証と承認の機能豊富なポリシーを定義することができます。

アプリケーションを外部の脅威から保護します。

Web アプリケーション プロキシ インターネットと会社のアプリケーション間のバリアとして機能します。 展開するときに多くの組織で Web アプリケーション プロキシ 経由でアプリケーションを発行して、それらのアプリケーションは、個人のラップトップ コンピューター、タブレット、スマート フォンやなどのドメインに参加していないデバイス上の外部ユーザーに表示されます。 これらのデバイスがドメインに参加していないそのため、管理されていないデバイスは、企業ネットワーク内で信頼されていません。 どこに配置されていても、ときに重要な情報にアクセスできるユーザーをようにするためは、これらのアンマネージ コードと信頼されていないデバイスから企業リソースへのユーザー アクセスを許可セキュリティ リスクを軽減する必要があります。Web アプリケーション プロキシ さまざまな外部の脅威から企業ネットワークを保護するセキュリティ機能を提供します。Web アプリケーション プロキシ 使用して AD FS 認証と承認を会社のアプリケーションを認証し、承認されているデバイスでのユーザーのみがアクセスできることを確認します。

多層防御

推奨される展開で Web アプリケーション プロキシ はインターネットに接続するファイアウォールと企業ネットワーク ファイアウォールの境界ネットワークに展開します。 ただし、自体には、ファイアウォールによって提供される保護機能だけでなく Web アプリケーション プロキシ 外部の脅威からアプリケーションに追加の保護を提供します。

• によって公開されるアドレス宛ての HTTPS トラフィックが到着するとは Web アプリケーション プロキシ, 、そのトラフィックを終了し、公開されたアプリケーションに新しい要求が開始します。 そのため、外部デバイスとアプリケーションの公開されたセッション レベルのバッファーとして機能します。 つまり、ユーザーは、公開されたアプリケーションにアクセスするアプリケーションに直接アクセスしないをアプリケーションにアクセスする代わりに、 Web アプリケーション プロキシです。

• 到着するその他のすべてのトラフィック Web アプリケーション プロキシ は削除され、公開されたアプリケーションに転送されません。 これにより、サービス拒否攻撃の一部として使用される無効な HTTP または HTTPS 要求が含まれます。 攻撃や SSL の攻撃は 0 です。

• 到着するすべての認証された要求 Web アプリケーション プロキシ からの認証トークンを含む AD FS を調べるを受信したトークンがトークンを送信するクライアントのものであるかどうかを確認します。 これは、(ワークプ レース ジョイン証明書) を使用して、デバイスが、要求を認証するとき、デバイスを識別するトークン内に対応するチェックで AD FSします。

認証と承認

組織のアプリケーションへのアクセスを保護するには、認証および承認されたユーザーにのみアクセスを許可することをお勧めします。 経由でアプリケーションを発行すると Web アプリケーション プロキシ, 、これは、使用により実現 AD FS, 、認証を提供し、発行済みのアプリケーションの承認を強制します。

ユーザーとデバイスの認証

経由でアプリケーションを発行すると Web アプリケーション プロキシ, でユーザーとデバイスは認証をアプリケーションにアクセスするプロセスが事前認証と呼ばれます。Web アプリケーション プロキシ 2 つの種類の事前認証をサポートしています。

• AD FS 事前認証: を使用する場合 AD FS を事前認証の認証に、ユーザーが必要、 AD FS する前にサーバー Web アプリケーション プロキシ ユーザー公開された web アプリケーションをリダイレクトします。 これにより、公開された web アプリケーションに対するすべてのトラフィックが認証されます。

• パススルー事前認証: ユーザーが公開された web アプリケーションに接続する前に、資格情報を入力する必要はありません。

  注意

  パススルー事前認証では、アプリケーションがアプリケーションに資格情報を提供するユーザーを必要とするかどうかに影響はありません。 つまり、パススルー事前認証で構成されたアプリケーションは、ユーザーに企業ネットワークを取得する資格情報を入力する必要はありませんが、ユーザー、アプリケーションのコンテンツを表示する資格情報を入力する場合があります。

によって発行されたアプリケーションを簡単にアクセスする Web アプリケーション プロキシ, 、使用して AD FS 事前認証のエンドユーザーは、次のクライアントのいずれかを使用する必要があります。

• HTTP リダイレクトをサポートする任意のクライアントたとえば、web ブラウザーです。Web アプリケーション プロキシ 受信要求をリダイレクトする、ユーザー認証アドレスおよび元の web アドレスへ認証実証でこの時刻に、適切な操作を実行します。

• リッチ クライアント、基本的な HTTP を使用する Exchange ActiveSync などです。

• MSOFBA; を使用するクライアントたとえば、Word、Excel、または PowerPoint にします。 この場合、ユーザーが企業ネットワーク内のサーバーに格納されている、最近使ったファイル リストから、ドキュメントにアクセスしようとします。

• Windows ストア アプリと Web Authentication Broker を使用して認証するクライアントとの rest ベースのアプリケーション。 ユーザーからのトークンを取得する、デバイス上のアプリを開くことができます AD FS Web 認証ブローカーを使用して、アプリケーションへの後続の要求で HTTP 承認ヘッダーにそのトークンが含まれています。

認証機能

使用すると AD FS 認証の場合も利用のすべての機能を AD FS を提供します。

• ワークプ レース ジョイン-これは、新機能で AD FS で Windows Server 2012 R2します。 デバイスを通常はできないドメインに参加してワークプ レースに参加させることができます。たとえば、個人のラップトップ コンピューター、タブレット、およびスマート フォンにします。 この機能が有効にすると、 AD FS 管理者は、すべてのアプリケーションを構成できますか、個々 のアプリケーション、デバイスにアクセスする前に登録する必要があるアプリケーションを発行します。 詳細については、「任意のデバイスからの職場への参加による業務用アプリケーション間の SSO とシームレスな 2 要素認証」を参照してください。

• SSO — 1 回の資格情報を入力し、サポートされているすべての公開されたアプリケーションに認証されることができます。 「任意のデバイスからの職場への参加による業務用アプリケーション間の SSO とシームレスな 2 要素認証」を参照してください。

• 多要素認証 (MFA)-AD FS ユーザーが 1 つ以上の認証スキーム; たとえば、1 回限りのパスワードまたはスマート カードによる認証を要求するように構成されていることができます。 「追加の多要素認証による個人情報アプリケーションのリスク管理」を参照してください。

• 多要素アクセス コントロールなどのアクセス制御 AD FS 承認要求規則を許可または拒否要求、ユーザーまたはユーザーのグループをへのアクセスを許可するかどうかを決定するために実装されて AD FS- か、リソースをセキュリティで保護します。 承認規則は証明書利用者信頼を基づいてのみ設定できます。 これらの機能のすべてを組み合わせて、必要に応じてより厳密なセキュリティ、アプリケーションの機密情報を提供する、または小さい機密アプリケーションで無視されます。 「条件付きアクセス制御によってリスクを管理する」を参照してください。

経由でアプリケーションを発行すると Web アプリケーション プロキシ を構成する必要はありません、 AD FS 上記で説明した認証の機能です。 これにより、職場に参加またはキオスクなどの認証の他の要素を提供することはないデバイスへのアクセスを提供することができます。

Web アプリケーション プロキシの技術概要

使用する場合と Web アプリケーション プロキシ を展開することお勧めを組織内、 Web アプリケーション プロキシ 、インターネットから、または 2 つのファイアウォールは、インターネットから分離するために、フロント エンド ファイアウォールと、バックエンド ファイアウォールで企業ネットワークから分離するためとを区別するためのフロント エンド ファイアウォールの背後にあるサーバーです。 このトポロジで Web アプリケーション プロキシ インターネット起源悪意のあるユーザーに対する保護レイヤーを提供します。 他のサーバーのこの境界ネットワーク内に配置する必要はありません。つまり、 AD FS サーバーは、企業ネットワークにあり、以外は経由で到達できないことができます Web アプリケーション プロキシ 、その組み込みを使用して AD FS プロキシ機能します。

次の図は、展開するための標準的なトポロジを示しています。 Web アプリケーション プロキシ 2 つのファイアウォールの間の境界ネットワークにします。

Web アプリケーション プロキシの構成のストレージ

Web アプリケーション プロキシ 構成が保管されている、 AD FS 、組織内のサーバーそのため、 Web アプリケーション プロキシ サーバーへの接続が必要、 AD FS サーバーです。 最初の構成後にさらに、 Web アプリケーション プロキシ サーバーを追加インストールすることができます Web アプリケーション プロキシ クラスターの展開を作成するサーバー。 完了後、新しいサーバーに、構成を自動的に転送、新しいサーバー クラスター内で、役割サービスをインストールするときに、 Web アプリケーション プロキシ 構成ウィザード。

Web アプリケーション プロキシ の構成を保存、 AD FS いいえがローカルであるサーバーが構成情報を保管します。

AD FS プロキシ機能

Web アプリケーション プロキシ 役割サービスはでも、 AD FS プロキシ。 つまり、 Web アプリケーション プロキシ がリッスンするすべての終端を AD FS がリッスンします。Web アプリケーション プロキシ また、インターネットからの要求を転送 AD FS と応答の AD FS インターネットにします。 なお、 Web アプリケーション プロキシ 役割サービスは、の代わりに、 AD FS プロキシの役割です。

レイヤーを追加のセキュリティを大幅にフェデレーション サービスの組織でプロキシの作成、 AD FS 展開します。 展開を検討 Web アプリケーション プロキシ するときに、組織の境界ネットワーク内。

• 外部のクライアント コンピュータへの直接アクセスできないように、 AD FS サーバーです。 展開することにより、 Web アプリケーション プロキシ 境界ネットワーク内のサーバーを効果的に分離する、 AD FS サーバーです。Web アプリケーション プロキシ サーバーには、トークンの生成に使用される秘密キーへのアクセスはありません。

• 統合 Windows 認証を使用して、企業ネットワークから送信されているユーザーではなく、インターネットから送信されているユーザーのサインイン エクスペリエンスを区別するために便利な方法を提供します。

Web アプリケーション プロキシを管理します。

Web アプリケーション プロキシ さまざまなツールとによって提供される機能を使用して Windows Server 2012 R2 をインストールする際に有効に、展開、および企業の展開に管理します。

• Web アプリケーション プロキシ [役割サービスは、 Windows Server 2012 R2です。 これにより、簡単にインストールする Web アプリケーション プロキシ を使用して展開 サーバー マネージャー または Windows PowerShellです。

• Web アプリケーション プロキシ 管理することができます、リモート アクセス管理コンソールに統合されて、 Web アプリケーション プロキシ サーバーと DirectAccess および VPN 同じリモート アクセス管理コンソールからなどその他のリモート アクセス テクノロジです。

• Web アプリケーション プロキシ すべての機能のセットを通じて Windows PowerShell コマンドと、Windows Management Instrumentation (WMI) API です。

• トラブルシューティングを支援するために Web アプリケーション プロキシ:

  • Windows イベント ログにイベントを書き込みます。

  • パフォーマンス カウンターの数を公開します。

  • 専用ベスト プラクティス アナライザー (BPA) があります。

他のリモート アクセスの製品との相互運用性

Web アプリケーション プロキシ リモート アクセスの役割の役割サービスは、 Windows Server 2012 R2です。 インストールする Web アプリケーション プロキシ サイド バイ サイド リモート アクセスを次のシナリオで。

Web アプリケーション プロキシ アプリケーション発行機能、Forefront Unified Access Gateway (UAG) するようなを提供します。 ただし、 Web アプリケーション プロキシ 簡略化された配置を提供するサービスと他のサーバーと対話します。 これにより、構成、展開のために必要な部分だけに専念することができます。 新しい展開が上記のシナリオで、アプリケーションの発行機能を必要とする場合に、使用することをお勧め Web アプリケーション プロキシします。

参照

Web アプリケーション プロキシを使用してアプリケーションを公開することを計画する