Werken met Web Application Proxy
Gepubliceerd: augustus 2016
Deze inhoud is relevant voor de on-premises versie van de webtoepassingsproxy. Lees de inhoud over de Azure AD-toepassingsproxy om veilige toegang tot on-premises toepassingen via de cloud mogelijk te maken.
Webtoepassingsproxy is een nieuw RAS-functieservice in Windows Server® 2012 R2.Webtoepassingsproxy omgekeerde proxyfunctionaliteit biedt voor webtoepassingen binnen uw bedrijfsnetwerk waarmee gebruikers op het apparaat te krijgen van buiten het bedrijfsnetwerk.Webtoepassingsproxy toegang tot webtoepassingen met preauthenticates Active Directory Federation Services (AD FS), en fungeert ook als een AD FS proxy.
Om toegang tot toepassingen
Webtoepassingsproxy biedt organisaties de mogelijkheid voor selectief toegang tot toepassingen die worden uitgevoerd op servers binnen de organisatie voor eindgebruikers die zich buiten de organisatie. Het extern beschikbaar maken van een toepassing wordt publiceren genoemd. In tegenstelling tot traditionele VPN-oplossingen, bij het publiceren van toepassingen via Webtoepassingsproxy eindgebruikers kunnen toegang krijgen tot toepassingen die u publiceert. Echter, Webtoepassingsproxy kan ook worden geïmplementeerd met VPN als onderdeel van een implementatie externe toegang in uw organisatie. Zie ad72afff-bbb0-4c37-b4d8-2f68f790db70#Interoperability.
Toepassingen publiceren
Door publicatie via Webtoepassingsproxy kunnen eindgebruikers werken met de toepassingen van hun organisatie vanaf hun eigen apparaten, zodat ze voor hun werkzaamheden niet beperkt zijn tot bedrijfslaptops. Ze kunnen hun thuiscomputer, tablet of smartphone gebruiken. Bovendien zijn eindgebruikers niet vereist voor het installeren van extra software op hun apparaat toegang tot gepubliceerde toepassingen.Webtoepassingsproxy kan worden gebruikt op clients met een standaardbrowser, een Office-client of een krachtige client met OAuth (bijvoorbeeld Windows Store-apps).Webtoepassingsproxy fungeert als omgekeerde proxy voor alle toepassingen die ermee worden gepubliceerd, en daarom lijkt het voor de eindgebruiker alsof zijn/haar apparaat rechtstreeks verbinding maakt met de toepassing.
Toegang tot toepassingen
Webtoepassingsproxy moet altijd worden geïmplementeerd met AD FS. Hiermee kunt u gebruikmaken van de functies van AD FS, zoals, eenmalige aanmelding (SSO). Hierdoor kunnen gebruikers hun referenties één keer invoeren en op de volgende situaties voordoen ze niet moeten hun referenties invoeren. Eenmalige aanmelding wordt ondersteund door Webtoepassingsproxy beperkte delegering voor back endservers die gebruikmaken van op claims gebaseerde verificatie; bijvoorbeeld SharePoint-toepassingen op basis van claims en geïntegreerde Windows-verificatie met Kerberos. Geïntegreerde Windows-verificatie gebaseerde toepassingen kunnen worden gedefinieerd in AD FS als relying party trusts die uitgebreide verificatie en autorisatie-beleidsregels worden afgedwongen in aanvragen naar de toepassing kunnen definiëren.
Toepassingen beveiligen tegen externe bedreigingen
Webtoepassingsproxy fungeert als een blok tussen het Internet en uw zakelijke toepassingen. Bij veel organisaties vormen wanneer u implementeert Webtoepassingsproxy en publiceren van toepassingen via deze, deze toepassingen beschikbaar voor externe gebruikers op apparaten die geen lid zijn van uw domein; bijvoorbeeld persoonlijke laptops, tablets of smartphones. Deze apparaten geen lid zijn van domein worden gebruikt en als zodanig als niet-beheerde apparaten worden beschreven, zijn niet-vertrouwde binnen het bedrijfsnetwerk. Omdat u wilt dat uw gebruikers om toegang tot belangrijke informatie telkens wanneer en waar ze zich bevinden, moet u het beveiligingsrisico van gebruikers in staat toegang tot bedrijfsbronnen van deze apparaten niet-beheerde en niet-vertrouwde beperken.Webtoepassingsproxy biedt een aantal beveiligingsfuncties tot uw bedrijfsnetwerk beschermen tegen externe bedreigingen.Webtoepassingsproxy maakt gebruik van AD FS voor verificatie en autorisatie om ervoor te zorgen dat alleen gebruikers op apparaten die worden geverifieerd en gemachtigd bent uw zakelijke toepassingen kunnen openen.
Krachtige bescherming
In de aanbevolen implementatie Webtoepassingsproxy wordt geïmplementeerd in een perimeternetwerk tussen een firewall verbonden met Internet en de firewall van een bedrijfsnetwerk. Naast de beveiliging door de firewalls zich echter Webtoepassingsproxy zorgt voor extra beveiliging voor uw toepassingen van externe bedreigingen.
Wanneer HTTPS-verkeer dat binnenkomt omgeleid naar een adres gepubliceerd door Webtoepassingsproxy, wordt het verkeer wordt beëindigd en nieuwe aanvragen naar de gepubliceerde toepassingen initieert. Het wordt daarom fungeert als een buffer niveau sessie tussen externe apparaten en gepubliceerde toepassingen. Dat wil zeggen, wanneer gebruikers toegang tot gepubliceerde toepassingen, zij kunnen niet rechtstreeks toegang tot de toepassing, in plaats daarvan ze toegang krijgen tot de toepassing via Webtoepassingsproxy.
Verkeer dat gedurende een aankomt Webtoepassingsproxy is verwijderd en niet is doorgestuurd naar de gepubliceerde toepassingen. Hierin is een ongeldige HTTP of HTTPS-aanvragen die kunnen worden gebruikt als onderdeel van denial of service-aanvallen nul dag aanvallen en SSL-aanvallen.
Geverifieerde verzoeken die daar toekomt Webtoepassingsproxy met een verificatietoken van AD FS worden gecontroleerd om ervoor te zorgen dat de token ontvangen is bedoeld voor de client verzenden van het token. Dit gebeurt door te controleren dat het apparaat (via het certificaat Workplace Join) met de claim binnen het token dat het apparaat overeenkomt wanneer geverifieerd naar geïdentificeerd AD FS.
Verificatie en autorisatie
Als u wilt beveiligen toegang tot toepassingen in uw organisatie, wordt aangeraden om toe te staan, alleen toegang tot geverifieerde en gemachtigde gebruikers. Bij het publiceren van toepassingen via Webtoepassingsproxy, dit wordt bewerkstelligd met behulp van AD FS, die zorgt voor verificatie en autorisatie voor de gepubliceerde toepassingen wordt afgedwongen.
Notitie
Webtoepassingsproxy u kunt ook pass-through preauthentication waarmee u toepassingen die niet nodig hebt vooraf-verificatie of waarvan clients bieden geen ondersteuning voor de beschikbare verificatiefuncties publiceert.
Verifiëren van gebruikers en apparaten
Bij het publiceren van toepassingen via Webtoepassingsproxy, het proces waarmee gebruikers en apparaten, worden geverifieerd voordat ze toegang tot toepassingen krijgen vooraf-verificatie wordt genoemd.Webtoepassingsproxy ondersteunt twee vormen van vooraf-verificatie:
AD FS vooraf-verificatie: wanneer u AD FS vooraf-verificatie, hoeft de gebruiker te verifiëren bij de AD FS server voordat Webtoepassingsproxy wordt de gebruiker wordt omgeleid naar de gepubliceerde webtoepassing. Dit zorgt ervoor dat alle verkeer naar uw gepubliceerde webtoepassingen wordt geverifieerd.
Pass-Through preauthentication: hoeven gebruikers referenties invoeren voordat ze verbinding met de gepubliceerde webtoepassingen maken.
Notitie
Pass-Through preauthentication heeft geen invloed op een toepassing vereist of gebruikers Geef referenties op voor de toepassing. Dat wil zeggen, een toepassing die is geconfigureerd met pass-through preauthentication vereist geen gebruikers moeten invoeren van referenties om toegang te krijgen tot het bedrijfsnetwerk bevinden, maar mogelijk moeten gebruikers in te voeren om de inhoud van de toepassing weer te geven.
Eenvoudig toegang tot toepassingen die zijn gepubliceerd door Webtoepassingsproxy, en gebruik AD FS eindgebruikers vooraf-verificatie moet een van de volgende clients gebruiken:
Elke client die ondersteuning biedt voor HTTP-omleidingen; bijvoorbeeld: een webbrowser.Webtoepassingsproxy Hiermee voert de passende maatregelen op de inkomende aanvraag voor het omleiden van de gebruiker naar een verificatie-adressen en terug naar de oorspronkelijke webadres ditmaal met het bewijs verificatie.
Rich clients die met behulp van HTTP basic bijvoorbeeld Exchange ActiveSync.
Elke client die gebruikmaakt van MSOFBA; bijvoorbeeld, Word, Excel, of PowerPoint. In dit geval probeert een gebruiker toegang tot een document uit de lijst met recente documenten die is opgeslagen op een server in het bedrijfsnetwerk.
Windows Store-apps en RESTful toepassingen met clients die de Broker Web-verificatie voor verificatie gebruiken. Een gebruiker kan een app op hun apparaat met een token uit verkrijgt openen AD FS via de Broker Web verificatie en die token in de HTTP-autorisatie-header in de volgende aanvragen naar de app bevat.
Notitie
Afhankelijk van de client gebruikt voor toegang tot de gepubliceerde toepassing Webtoepassingsproxy beslist bij het verwerken van de aanvraag.
Verificatiefuncties
Bij het gebruik van AD FS voor verificatie, kunt u ook profiteren van alle functies die AD FS biedt:
Workplace Join: dit is een nieuwe functie in AD FS in Windows Server 2012 R2. Gebruikers apparaten toevoegen aan de werkplek die normaal niet domein; bijvoorbeeld, persoonlijke laptops, tablets en smartphones. Wanneer deze functie is ingeschakeld, de AD FS administrator alle toepassingen kunt configureren of afzonderlijke toepassingen om te vereisen dat apparaten worden geregistreerd voordat ze toegang tot krijgen kunnen gepubliceerde toepassingen. Zie Werkplek koppelen vanaf elk apparaat voor eenmalige aanmelding en naadloze authenticatie op basis van een tweede factor tussen bedrijfstoepassingen voor meer informatie.
Eenmalige aanmelding: Hiermee kunnen gebruikers één keer referenties invoeren en op alle ondersteunde gepubliceerde toepassingen worden geverifieerd. Zie Werkplek koppelen vanaf elk apparaat voor eenmalige aanmelding en naadloze authenticatie op basis van een tweede factor tussen bedrijfstoepassingen.
Multi-factor authentication (MFA):AD FS kunnen worden geconfigureerd voor de gebruikers moeten zich verifiëren met meer dan één verificatieschema; bijvoorbeeld een eenmalig wachtwoord of een smartcard. Zie Risico's voor gevoelige toepassingen beheren met Multi-Factor Authentication.
Multifactor access control: toegangsbeheer AD FS wordt geïmplementeerd met claim autorisatieregels die worden gebruikt voor het uitgeven van een toestaan of weigeren die bepaalt of een gebruiker of een groep gebruikers zijn toegestaan voor toegang tot AD FS-bronnen beveiligd of niet. Autorisatieregels kunnen alleen worden ingesteld voor vertrouwensrelaties van relying party's. Alle bovenstaande functies kunnen worden gecombineerd, zoals vereist strengere beveiliging bieden voor vertrouwelijke toepassingen en genegeerd voor minder vertrouwelijke toepassingen. Zie Risico's beheren met voorwaardelijk toegangsbeheer.
Bij het publiceren van toepassingen via Webtoepassingsproxy hoeft u geen te configureren de AD FS verificatiefuncties hierboven genoemde. Hiermee kunt u voor toegang tot apparaten die niet kunnen deelnemen aan de werkplek of extra factoren voor verificatie, zoals kiosken bieden.
Technisch overzicht Webtoepassingsproxy
Als u beslist gebruiken Webtoepassingsproxy in uw organisatie, raden wij u implementeert de Webtoepassingsproxy servers achter een firewall frontend voor het scheiden van het Internet, of tussen twee firewalls; een frontend firewall het scheiden van het Internet en een back-end-firewall het scheiden van het bedrijfsnetwerk. In deze topologie Webtoepassingsproxy voorziet in een laag bescherming tegen kwaadwillende gebruikers die afkomstig is van het Internet. Er zijn geen andere servers zijn vereist om te vinden in deze perimeternetwerk; dat wil zeggen, de AD FS servers bevinden zich in het bedrijfsnetwerk en kan alleen worden bereikt Webtoepassingsproxy met behulp van de ingebouwde AD FS proxyfunctionaliteit.
Het volgende diagram toont een standaardtopologie voor het implementeren van Webtoepassingsproxy in een perimeternetwerk tussen twee firewalls.
.jpeg "Topologie webtoepassingsproxy")
Web Application Proxy configuratie Storage.
De Webtoepassingsproxy configuratie wordt opgeslagen op de AD FS servers in uw organisatie; daarom Webtoepassingsproxy servers vereisen de verbinding met de AD FS servers. Bovendien na het configureren van de eerste Webtoepassingsproxy server, kunt u aanvullende Webtoepassingsproxy servers voor het maken van een implementatie van het cluster. Wanneer u de functieservice op de nieuwe server in het cluster installeert, de configuratie wordt automatisch overgebracht naar de nieuwe server na het voltooien van de Webtoepassingsproxy configuratiewizard.
Aangezien Webtoepassingsproxy slaat de configuratie op de AD FS servers er geen lokaal opgeslagen configuratie-informatie.
AD FS-Proxy-functionaliteit
De Webtoepassingsproxy functieservice is ook een AD FS proxy. Dat wil zeggen Webtoepassingsproxy luistert naar alle de eindpunten die AD FS luistert naar.Webtoepassingsproxy verzendt ook verzoeken van het Internet naar AD FS en antwoorden van AD FS met het Internet. Merk op dat de Webtoepassingsproxy functieservice ASP.NET is een vervanging voor de AD FS proxy-rol.
Maken van een proxy in uw organisatie voor uw federatieve Service extra extra beveiliging lagen aan uw AD FS implementatie. Overweeg de implementatie van Webtoepassingsproxy in uw organisatie perimeternetwerk wanneer u wilt:
Voorkomen dat externe clientcomputers rechtstreeks toegang hebben tot uw AD FS servers. Door het implementeren van een Webtoepassingsproxy server in uw perimeternetwerk u effectief isoleert uw AD FS servers.Webtoepassingsproxy servers hebt geen toegang tot de persoonlijke sleutels die worden gebruikt voor het produceren van tokens.
Geef een handige manier om te onderscheiden van de aanmeldingspagina-ervaring voor gebruikers die afkomstig zijn uit het Internet in plaats van gebruikers die afkomstig zijn uit uw bedrijfsnetwerk met geïntegreerde Windows-verificatie.
Web Application Proxy beheren
Webtoepassingsproxy maakt gebruik van een aantal hulpprogramma's en functies van Windows Server 2012 R2 zodat u eenvoudig installeren, implementeren en beheren in uw zakelijke implementaties.
Webtoepassingsproxy is een functieservice in Windows Server 2012 R2. Hiermee kunt u eenvoudig installeren Webtoepassingsproxy in uw implementatie met behulp van Serverbeheer of Windows PowerShell.
Webtoepassingsproxy is geïntegreerd in de console van beheer van externe toegang, zodat u voor het beheren van uw Webtoepassingsproxy servers en andere technologieën voor externe toegang, zoals DirectAccess en VPN-met dezelfde console voor beheer van externe toegang.
Webtoepassingsproxy biedt volledige functionaliteit via een set met Windows PowerShell opdrachten en een Windows Management Instrumentation (WMI) API.
Om te helpen oplossen, Webtoepassingsproxy:
Hiermee worden gebeurtenissen in het Windows-gebeurtenislogboek.
Maakt een aantal prestatiemeteritems.
Heeft een specifieke Best Practices Analyzer (BPA).
Interoperabiliteit met andere producten van externe toegang
Webtoepassingsproxy is een functieservice van de RAS-functie in Windows Server 2012 R2. U kunt installeren Webtoepassingsproxy side-by-side met externe toegang in de volgende scenario's:
DirectAccess |
VPN |
Webtoepassingsproxy |
|---|---|---|
Implementatie met één server |
Implementatie met één server |
Implementatie met één server |
Implementatie op meerdere locaties |
Implementatie met meerdere servers |
Niet ondersteund op dezelfde server |
Niet ondersteund op dezelfde server |
Implementatie met meerdere servers |
Implementatie met meerdere servers |
Clusterimplementatie1 |
Implementatie met meerdere servers |
Implementatie met meerdere servers2 |
Notitie
1—In een reeds bestaande DirectAccess-clusterimplementatie kunt u Webtoepassingsproxy alleen installeren via Windows PowerShell.
2—In een reeds bestaande Webtoepassingsproxy-implementatie met meerdere servers kunt u DirectAccess alleen installeren via Windows PowerShell.
Webtoepassingsproxy levert toepassing publiceren, vergelijkbaar naar Forefront Unified Access Gateway (UAG). Echter, Webtoepassingsproxy samenwerkt met andere servers en een gestroomlijnde implementatie opgeven. Dit helpt u te concentreren op het configureren van alleen de vereiste onderdelen van uw implementatie. Het verdient aanbeveling dat voor elke nieuwe implementaties waarvoor toepassing publishing mogelijkheden voor de scenario's die hierboven worden beschreven, moet u Webtoepassingsproxy.
Zie ook
Plannen voor het publiceren van toepassingen met behulp van Webtoepassingsproxy