웹 응용 프로그램 프록시 사용
게시 날짜: 2016년 9월
이 콘텐츠는 웹 응용 프로그램 프록시의 온-프레미스 버전에 적합합니다. 클라우드를 통해 온-프레미스 응용 프로그램에 대한 보안 액세스를 사용하려면 Azure AD 응용 프로그램 프록시 콘텐츠를 참조하세요.
웹 응용 프로그램 프록시 새로운 원격 액세스 역할 서비스는 Windows Server® 2012 R2합니다.웹 응용 프로그램 프록시 사용자가 모든 장치를 회사 네트워크 외부에서 액세스할 수 있도록 회사 네트워크 내부의 웹 응용 프로그램에 대 한 역방향 프록시 기능을 제공 합니다.웹 응용 프로그램 프록시 사용 하 여 웹 응용 프로그램에 대 한 액세스를 사전 인증 AD FS(Active Directory Federation Services), 역할을 하 고는 AD FS 프록시입니다.
응용 프로그램에 대 한 액세스를 제공합니다.
웹 응용 프로그램 프록시 조직 외부에 있는 최종 사용자에 게 조직 내부의 서버에서 실행 되는 응용 프로그램에 대 한 선택적 액세스를 제공 하는 기능이 조직에 제공 합니다. 응용 프로그램을 외부에서 사용할 수 있도록 설정하는 프로세스를 게시라고 합니다. 기존 VPN 솔루션을 통해 응용 프로그램을 게시할 때와 달리 웹 응용 프로그램 프록시 최종 사용자가 게시 하는 응용 프로그램에만 액세스할 수 있습니다. 그러나 웹 응용 프로그램 프록시 조직에서 원격 액세스 배포의 일환으로 VPN과 함께 배포할 수도 있습니다. 자세한 내용은 Interoperability with Other Remote Access Products 섹션을 참조하십시오.
응용 프로그램 게시
웹 응용 프로그램 프록시 게시를 통해 최종 사용자는 자신의 장치에서 조직의 응용 프로그램에 액세스할 수 있으므로 회사 랩톱에서만 작업을 수행하도록 제한되지 않고 가정용 컴퓨터, 태블릿 또는 스마트폰을 사용할 수 있습니다. 또한 최종 사용자는 게시 된 응용 프로그램에 액세스 하는 장치에 추가 소프트웨어를 설치할 필요가 없습니다.웹 응용 프로그램 프록시는 표준 브라우저가 설치된 클라이언트, Office 클라이언트 또는 OAuth를 사용하는 리치 클라이언트(예: Windows 스토어 앱)에서 사용할 수 있습니다.웹 응용 프로그램 프록시는 이를 통해 게시된 모든 응용 프로그램의 역방향 프록시 역할을 하므로 최종 사용자는 자신의 장치가 응용 프로그램에 직접 연결된 것과 동일한 환경을 경험할 수 있습니다.
응용 프로그램에 액세스
웹 응용 프로그램 프록시 항상 함께 배포 되어야 합니다 AD FS합니다. 이렇게 하면의 기능을 활용 하 여 AD FS, 와 같은 single sign-on (SSO). 이렇게 하면 한 번 자신의 자격 증명을 입력 하는 사용자 하며 이후 빌드 관리자 것은 하지 하는 데 자격 증명을 입력 합니다. SSO에서 지원되는지와 웹 응용 프로그램 프록시 클레임 기반 인증, 예를 들어 SharePoint 클레임 기반 응용 프로그램 및 Kerberos를 사용 하 여 Windows 통합 인증을 사용 하는 백 엔드 서버에 대 한 제한 된 위임 합니다. 통합 Windows 인증 기반 응용 프로그램에서 정의할 수 있습니다 AD FS 응용 프로그램에 대 한 요청에 적용 되는 풍부한 인증 및 권한 부여 정책을 정의할 수 있는 신뢰 당사자 트러스트로 합니다.
응용 프로그램 외부의 위협 으로부터 보호
웹 응용 프로그램 프록시 인터넷 및 회사 응용 프로그램 장벽으로 사용 됩니다. 대부분의 조직에서 배포할 때 웹 응용 프로그램 프록시 및 응용 프로그램을 통해 게시, 이러한 응용 프로그램 예, 개인 노트북, 태블릿 또는 스마트폰을 대 한 도메인에 가입 되지 않은 장치에서 외부 사용자에 게 사용할 수 있습니다. 이러한 장치 가입 되지 않은 도메인-및 관리 되지 않는 장치도 설명 및 회사 네트워크 내에서 신뢰할 수 없는 같은 합니다. 이므로 때마다 모든 위치에서 중요 한 정보에 액세스할 수 있으려면 사용자가 액세스를 허용 사용자가 회사 리소스에 이러한 관리 되지 않는 신뢰할 수 없는 장치에서의 보안 위험을 완화 해야 합니다.웹 응용 프로그램 프록시 다양 한 회사 네트워크 외부의 위협 으로부터 보호 하기 위해 보안 기능을 제공 합니다.웹 응용 프로그램 프록시 사용 하 여 AD FS 인증 및 권한 부여에 장치를 인증 하 고 권한이 있는 사용자만 회사 응용 프로그램에 액세스할 수 있는지 확인 합니다.
심층 방어
권장된 배포에서 웹 응용 프로그램 프록시 인터넷 연결 방화벽 및 회사 네트워크 방화벽 사이 경계 네트워크에 배포 됩니다. 그러나 자체에 방화벽에 의해 제공 되는 보호 외에도 웹 응용 프로그램 프록시 외부 위협 으로부터 응용 프로그램에 대 한 추가 보호를 제공 합니다.
게시 하는 주소로 전달 HTTPS 트래픽을 즉 도착할 때 웹 응용 프로그램 프록시, 트래픽을 종료 하 고 게시 된 응용 프로그램에 대 한 새 요청을 시작 합니다. 따라서 외부 장치 및 게시 된 응용 프로그램 간에 세션 수준 버퍼로 역할입니다. 즉, 사용자가 게시 된 응용 프로그램에 액세스 하는 경우 응용 프로그램에 직접 액세스 하지,을 통해 응용 프로그램은 액세스 하는 대신, 웹 응용 프로그램 프록시합니다.
에 도착 하는 다른 모든 트래픽을 웹 응용 프로그램 프록시 을 삭제 하 고 게시 된 응용 프로그램에 전달 되지 않습니다. 서비스 거부 공격을의 일부로 사용 될 수 있는 모든 잘못 된 HTTP 또는 HTTPS 요청이 포함 됩니다 일 공격, SSL 공격 등과 0입니다.
에 도착 하는 모든 인증 된 요청 웹 응용 프로그램 프록시 에서 인증 토큰을 포함 하 AD FS 받은 토큰을 토큰을 보내는 클라이언트에 대 한 원래 있는지 확인할 수 있도록 검사 됩니다. (작업 공간 연결 인증서)을 통해 장치를 인증할 때 장치를 식별 하는 토큰 내의 클레임에 해당 하는지 확인 하 여 이렇게 AD FS합니다.
인증 및 권한 부여
조직에서 응용 프로그램에 대 한 액세스를 보호 하려면 인증 및 권한 있는 사용자 에게만 액세스를 허용 하는 것이 좋습니다. 통해 응용 프로그램을 게시 하는 경우 웹 응용 프로그램 프록시, 의 사용을 통해 이렇게 AD FS, 인증을 제공 하 고 게시 된 응용 프로그램에 대 한 인증을 적용 합니다.
참고
웹 응용 프로그램 프록시 또한 사전 인증 필요가 없습니다 또는 해당 클라이언트가 사용할 수 있는 인증 기능을 지원 하지 않는 응용 프로그램을 게시할 수 있는 통과 사전 인증을 수 있습니다.
사용자 및 장치 인증
통해 응용 프로그램을 게시 하는 경우 웹 응용 프로그램 프록시, 프로세스는 사용자와 장치는 하기 전에 인증 응용 프로그램에 액세스할 사전 인증 이라고 합니다.웹 응용 프로그램 프록시 두 가지 형태의 사전 인증을 지원합니다.
AD FS 사전 인증-사용 하는 경우 AD FS 사전 인증을 인증 하는 데 사용자 필요는 AD FS 하기 전에 서버 웹 응용 프로그램 프록시 게시 된 웹 응용 프로그램에 사용자를 리디렉션합니다. 이렇게 하면 게시 된 웹 응용 프로그램에 대 한 모든 트래픽을 인증 됩니다.
통과 사전 인증-사용자가 게시 된 웹 응용 프로그램에 연결 하려면 먼저 자격 증명을 입력 하지 않아도 됩니다.
참고
통과 사전 인증에 응용 프로그램의 응용 프로그램에 대 한 자격 증명을 제공 하는 사용자가 필요한 지 여부에 영향을 주지 않습니다. 즉, 통과 사전 인증을 사용 하 여 구성 하는 응용 프로그램 사용자가 회사 네트워크에 대 한 자격 증명을 입력 하지 않아도 되지만 사용자가 응용 프로그램 콘텐츠를 보려면 자격 증명을 입력 해야 할 수 있습니다.
하 여 게시 된 응용 프로그램을 간편 하 게 웹 응용 프로그램 프록시, 를 사용 하 여 AD FS 사전 인증 최종 사용자가 다음 클라이언트 중 하나를 사용 해야 합니다.
모든 클라이언트는 HTTP 리디렉션; 지원 예를 들어 웹 브라우저입니다.웹 응용 프로그램 프록시 들어오는 요청을 리디렉션할 사용자 인증 주소를 원래 웹 주소를 다시이 이번에는 인증 증명에 적절 한 조치를 수행 합니다.
리치 클라이언트 기본, HTTP를 사용 하는 예를 들어 Exchange ActiveSync입니다.
MSOFBA;를 사용 하는 모든 클라이언트 예를 들어 Word, Excel 또는 PowerPoint입니다. 이 경우 사용자는 회사 네트워크 내에 있는 서버에 저장 되어 있는 최근 문서 목록에서 문서에 액세스 하려고 합니다.
Windows 스토어 앱 및 인증에 대 한 웹 인증 브로커를 사용 하는 클라이언트 RESTful 응용 프로그램입니다. 파일을 열 수 있는 토큰을 얻은 자신의 장치에서 앱 AD FS 웹 인증 브로커를 통해 응용 프로그램에 대 한 후속 요청에서 HTTP 권한 부여 헤더에 토큰을 포함 합니다.
참고
게시 된 응용 프로그램에 액세스 하는 데 사용 하는 클라이언트에 따라 웹 응용 프로그램 프록시 요청을 처리 하는 방법을 결정 합니다.
인증 기능
사용 하는 경우 AD FS 인증을 위해 도움이 있습니다에서 모든 기능 하는 AD FS 제공 합니다.
작업 공간 연결-이의 새로운 기능인 AD FS 에서 Windows Server 2012 R2합니다. 사용자를 일반적으로 수 없는 도메인에 가입 된; 작업 공간에 장치를 조인할 수 있습니다. 예를 들어 개인 노트북, 태블릿 및 스마트폰 합니다. 이 기능을 사용 하는 경우는 AD FS 게시 된 응용 프로그램에 대 한 액세스 권한을 얻을 수 있는 등록 해야 하는 장치를 요구 하도록 개별 응용 프로그램 또는 관리자는 모든 응용 프로그램을 구성할 수 있습니다. 자세한 내용은 회사 응용 프로그램 전반에 SSO 및 연속된 두 번째 단계 인증을 위한 모든 장치의 작업 공간 연결를 참조하세요.
SSO-자격 증명을 한 번 입력 하 고 모든 지원 되는 게시 된 응용 프로그램에 인증 될 수 있습니다. 자세한 내용은 회사 응용 프로그램 전반에 SSO 및 연속된 두 번째 단계 인증을 위한 모든 장치의 작업 공간 연결 섹션을 참조하십시오.
MFA (다단계 인증)-AD FS 사용자가 둘 이상의 인증 체계, 예를 들어 일회용 암호 또는 스마트 카드 인증 해야 하도록 구성할 수 있습니다. 자세한 내용은 추가 다단계 인증을 사용하여 중요한 응용 프로그램에 대한 위험 관리 섹션을 참조하십시오.
다단계 액세스 제어 등의 액세스 제어 AD FS 는 허가 발급 하거나 수 있는지 여부는 사용자 또는 사용자 그룹에 액세스할 수를 결정 하는 클레임을 거부 하는 데 사용 되는 권한 부여 클레임 규칙을 사용 하 여 구현 됩니다 AD FS-보안 리소스입니다. 권한 부여 규칙은 신뢰 당사자 트러스트에만 설정할 수 있습니다. 위의 기능을 모두 사용할 수, 필요에 따라 보다 엄격한 보안 기밀 응용 프로그램을 제공 하려면 또는 덜 기밀 응용 프로그램의 경우 무시 됩니다. 자세한 내용은 조건부 액세스 제어를 사용한 위험 관리 섹션을 참조하십시오.
통해 응용 프로그램을 게시 하는 경우 웹 응용 프로그램 프록시 구성 하지 않아도 됩니다는 AD FS 위에서 언급 한 인증 기능을 합니다. 이 통해 작업 공간에서 조인 하거나 인증 키오스크 등의 추가 요소를 제공할 수 없는 장치에 대 한 액세스를 제공할 수 있습니다.
웹 응용 프로그램 프록시에 대 한 기술 개요
사용 하려는 경우 웹 응용 프로그램 프록시 조직에 배포 하는 권장 프로그램 웹 응용 프로그램 프록시 서버에서 인터넷을 통해 또는 두 개의 방화벽, 인터넷에서 분리 하는 프런트 엔드 방화벽와 회사 네트워크에서 분리 하는 백 엔드 방화벽 간에 구분 하는 데는 프런트 엔드 방화벽으로 보호 합니다. 이 토폴로지에서 웹 응용 프로그램 프록시 인터넷에서 들어오는 수 있는 악의적인 사용자 로부터 보호 계층을 제공 합니다. 다른 서버가이 경계 네트워크에 있어야 하는 데 필요한 됩니다. 즉, 프로그램 AD FS 서버는 회사 네트워크에 있고 통해 연락할 수 있습니다 웹 응용 프로그램 프록시 해당 기본 제공을 사용 하 여 AD FS 프록시 기능입니다.
다음 다이어그램에서는 배포에 대 한 일반적인 토폴로지에서 웹 응용 프로그램 프록시 두 방화벽 사이 경계 네트워크에 있습니다.
웹 응용 프로그램 프록시 구성 저장소
웹 응용 프로그램 프록시 구성에 저장 된는 AD FS 조직의; 서버에에서 따라서 웹 응용 프로그램 프록시 서버에 대 한 연결에 필요는 AD FS 서버입니다. 또한 첫 번째 구성 후 웹 응용 프로그램 프록시 서버를 추가로 설치할 수 있습니다 웹 응용 프로그램 프록시 서버 클러스터 배포를 만듭니다. 클러스터에서 새 서버에 역할 서비스를 설치한 경우 구성을 자동으로 전송 됩니다 새 서버에 완료 한 후의 웹 응용 프로그램 프록시 구성 마법사.
이후 웹 응용 프로그램 프록시 에 구성을 저장는 AD FS 로컬로 것이 없는 서버 구성 정보를 저장 합니다.
AD FS 프록시 기능
웹 응용 프로그램 프록시 역할 서비스는 또한는 AD FS 프록시입니다. 즉, 웹 응용 프로그램 프록시 를 수신 하는 끝점의 모든는 AD FS 를 수신 대기 합니다.웹 응용 프로그램 프록시 또한 인터넷에서 모든 요청을 전달 AD FS 에서 응답 AD FS 인터넷에 있습니다.웹 응용 프로그램 프록시 역할 서비스에 대 한 대체 되는 AD FS 프록시 역할입니다.
레이어를 추가 보안을 추가 하는 페더레이션 서비스에 대 한 조직에서 프록시를 만드는 사용자 AD FS 배포 합니다. 배포 하는 것이 좋습니다. 웹 응용 프로그램 프록시 하려는 경우 해당 조직의 경계 네트워크에:
외부 클라이언트 컴퓨터에서 직접 액세스 하지 못하게 프로그램 AD FS 서버입니다. 배포 하 여 한 웹 응용 프로그램 프록시 경계 네트워크에 서버를 효과적으로 해결할 프로그램 AD FS 서버입니다.웹 응용 프로그램 프록시 서버에 토큰을 생성 하는 데 사용 되는 개인 키에 대 한 액세스를 사용할 필요가 없습니다.
Windows 통합 인증을 사용 하 여 회사 네트워크에서 생성 되는 사용자와는 달리 인터넷에서 들어오는 사용자를 위해 로그인 환경을 구분 하는 편리한 방법을 제공 합니다.
웹 응용 프로그램 프록시를 관리합니다.
웹 응용 프로그램 프록시 다양 한 도구와에서 제공 하는 기능을 사용 하 여 Windows Server 2012 R2 쉽게 설치할 수 있도록, 배포 하 고 회사 배포 방법을 관리 합니다.
웹 응용 프로그램 프록시 역할 서비스는 Windows Server 2012 R2합니다. 이렇게 하면 쉽게 설치할 수 있습니다 웹 응용 프로그램 프록시 사용 하 여 배포의 서버 관리자 또는 Windows PowerShell합니다.
웹 응용 프로그램 프록시 관리할 수 있도록 하는 원격 액세스 관리 콘솔에 통합 되어 사용자 웹 응용 프로그램 프록시 서버와 DirectAccess 및 VPN 원격 액세스 관리 콘솔에서와 같은 다른 원격 액세스 기술입니다.
웹 응용 프로그램 프록시 전체 기능 집합을 통해 제공 Windows PowerShell 명령 및 Windows Management Instrumentation (WMI) API입니다.
문제 해결, 지원 하기 위해 웹 응용 프로그램 프록시:
Windows 이벤트 로그에 이벤트를 기록합니다.
성능 카운터의 수를 표시합니다.
전용된 분석기 BPA (모범 사례)에 있습니다.
다른 제품에 원격 액세스와의 상호 운용성
웹 응용 프로그램 프록시 원격 액세스 역할의 역할 서비스 Windows Server 2012 R2합니다. 설치할 수 있습니다 웹 응용 프로그램 프록시 --와 함께 원격 액세스는 다음과 같은 시나리오에서:
DirectAccess | VPN | 웹 응용 프로그램 프록시 |
---|---|---|
단일 서버 배포 | 단일 서버 배포 | 단일 서버 배포 |
다중 사이트 배포 | 다중 서버 배포 | 같은 서버에서 지원되지 않음 |
같은 서버에서 지원되지 않음 | 다중 서버 배포 | 다중 서버 배포 |
클러스터 배포1 | 다중 서버 배포 | 다중 서버 배포2 |
참고
1 - 기존 DirectAccess 클러스터 배포에서는 웹 응용 프로그램 프록시을 통해서만 Windows PowerShell를 설치할 수 있습니다.
2 - 기존 다중 서버 웹 응용 프로그램 프록시 배포에서는 Windows PowerShell을 통해서만 DirectAccess를 설치할 수 있습니다.
웹 응용 프로그램 프록시 응용 프로그램 게시 기능을 제공 하려면 Forefront UAG Unified Access Gateway ()와 유사 합니다. 그러나 웹 응용 프로그램 프록시 다른 서버와 더 효율적인된 배포를 제공 하는 서비스와 상호 작용 합니다. 이 배포의 필수 부분에만 구성 하는 데 집중할 수 있습니다. 위에서 설명한 시나리오에 대 한 응용 프로그램 게시 기능을 필요로 하는 새 배포를 위해 사용 해야 한다는 것이 좋습니다. 웹 응용 프로그램 프록시합니다.