Trabalhando com o Proxy de aplicativo Web
Publicado: setembro de 2016
Este conteúdo é relevante para a versão local do Proxy de aplicativo Web. Para habilitar o acesso seguro a aplicativos locais pela nuvem, consulte o conteúdo de Proxy de aplicativo do Azure AD.
Proxy de aplicativo Web é um novo serviço de função de acesso remoto em Windows Server ® 2012 R2.Proxy de aplicativo Web fornece funcionalidade de proxy reverso para aplicativos web dentro da rede corporativa permitir que os usuários em qualquer dispositivo para acessá-los de fora da rede corporativa.Proxy de aplicativo Web pré-autentica o acesso aos aplicativos web usando AD FS (Serviços de Federação do Active Directory), e também funciona como um AD FS proxy.
Fornecer acesso a aplicativos
Proxy de aplicativo Web fornece às organizações a capacidade de fornecer acesso seletivo a aplicativos executados em servidores dentro da organização para os usuários finais localizados fora da organização. O processo de tornar o aplicativo disponível externamente é conhecido como publicação. Diferentemente das soluções tradicionais de VPN, quando você publicar aplicativos por meio de Proxy de aplicativo Web os usuários finais podem obter acesso somente aos aplicativos que você publicar. No entanto, Proxy de aplicativo Web também podem ser implantados com VPN como parte de uma implantação de acesso remoto na sua organização. Consulte Interoperability with Other Remote Access Products.
Publicando aplicativos
A publicação do Proxy de aplicativo Web permite que os usuários finais acessem aplicativos da organização a partir de seus próprios dispositivos, de forma que, para que os usuários não fiquem limitados a laptops corporativos para trabalhar, eles possam usar seu computador doméstico, tablet ou smartphone. Além disso, os usuários finais não precisam instalar algum software adicional em seus dispositivos para acessar os aplicativos publicados. O Proxy de aplicativo Web pode ser usado em clientes com um navegador padrão, um cliente do Office ou um cliente avançado usando OAuth (por exemplo, aplicativos da Windows Store). O Proxy de aplicativo Web serve como um proxy reverso para qualquer aplicativo que seja publicado por ele e, como tal, a experiência do usuário final é idêntica a como se o dispositivo do usuário final se conectasse diretamente ao aplicativo.
Acesso a aplicativos
Proxy de aplicativo Web sempre deve ser implantado com AD FS. Isso permite que você aproveite os recursos de AD FS, como o logon único (SSO). Isso permite que os usuários insiram suas credenciais uma vez e em ocasiões subsequentes, eles não serão solicitados a digitar suas credenciais. O SSO é suportado pelo Proxy de aplicativo Web para servidores de back-end que usam autenticação baseada em declarações; por exemplo aplicativos do SharePoint baseada em declarações e autenticação integrada do Windows usando o Kerberos, a delegação restrita. Integrada do Windows, aplicativos baseados na autenticação podem ser definidos em AD FS como terceira parte confiável que pode definir políticas de autenticação e autorização avançadas que são aplicadas em solicitações para o aplicativo.
Proteger os aplicativos contra ameaças externas
Proxy de aplicativo Web serve como uma barreira entre a Internet e seus aplicativos corporativos. Em muitas organizações, quando você implanta Proxy de aplicativo Web e publicar aplicativos através dele, os aplicativos estarão disponíveis para usuários externos em dispositivos que não estão associados ao seu domínio; por exemplo, pessoas laptops, tablets ou smartphones. Esses dispositivos não são ingressaram no domínio e, assim, eles são descritos como dispositivos não gerenciados e não dentro da rede corporativa. Como você deseja que os usuários sejam capazes de acessar informações importantes quando e onde eles estão localizados, você deve reduzir o risco de segurança de permitir aos usuários acesso aos recursos corporativos desses dispositivos não gerenciados e não confiáveis.Proxy de aplicativo Web Fornece uma série de recursos de segurança para proteger sua rede corporativa contra ameaças externas.Proxy de aplicativo Web usa AD FS para autenticação e autorização para garantir que apenas os usuários em dispositivos que autenticarem e estão autorizados podem acessar seus aplicativos corporativos.
Defesa em profundidade
Na implantação recomendada, Proxy de aplicativo Web é implantado em uma rede de perímetro entre um firewall da Internet e um firewall de rede corporativa. No entanto, além da proteção oferecida pelos firewalls, Proxy de aplicativo Web fornece proteção adicional para seus aplicativos contra ameaças externas.
Quando o tráfego HTTPS chega que é direcionado para um endereço publicado por Proxy de aplicativo Web, ele encerra o tráfego e inicia novas solicitações para os aplicativos publicados. Portanto, ele atua como um buffer de nível de sessão entre dispositivos externos e aplicativos publicados. Isto é, quando os usuários acessam aplicativos publicados, eles não acessam o aplicativo diretamente, em vez disso, eles acessarem o aplicativo por meio de Proxy de aplicativo Web.
Qualquer outro tráfego que chega ao Proxy de aplicativo Web será descartado e não são encaminhadas para os aplicativos publicados. Isso inclui qualquer solicitação ilegal de HTTP ou HTTPS que pode ser usada como parte de ataques negação de serviço, zero ataques do dia, ataques SSL e assim por diante.
Qualquer solicitação autenticada que chega ao Proxy de aplicativo Web que contém um token de autenticação AD FS será verificado para certificar-se de que o token recebido foi criado para o cliente que envia o token. Isso é feito verificando-se que o dispositivo (por meio do certificado do ingresso) corresponde à declaração dentro do token que identificou o dispositivo quando autenticados para AD FS.
Autenticação e autorização
Para proteger o acesso a aplicativos em sua organização, é recomendável para permitir acesso somente aos usuários autenticados e autorizados. Quando você publicar aplicativos por meio de Proxy de aplicativo Web, isso é feito por meio do uso de AD FS, que fornece autenticação e impõe a autorização para os aplicativos publicados.
Dica
Proxy de aplicativo Web também permite a pré-autenticação de passagem, o que permite que você publique aplicativos que não exigir pré-autenticação ou cujos clientes não suportam os recursos de autenticação disponíveis.
Autenticação de usuários e dispositivos
Quando você publicar aplicativos por meio de Proxy de aplicativo Web, o processo pelo qual os usuários e dispositivos são autenticados antes que elas acessem aplicativos é conhecido como pré-autenticação.Proxy de aplicativo Web oferece suporte a duas formas de pré-autenticação:
AD FS pré-autenticação — ao usar AD FS para pré-autenticação, o usuário é necessária para autenticar para o AD FS servidor antes de Proxy de aplicativo Web redireciona o usuário para o aplicativo web publicado. Isso garante que todo o tráfego para aplicativos web publicados é autenticado.
Pré-autenticação de passagem — os usuários não precisarão inserir credenciais antes de se conectarem a aplicativos web publicados.
Dica
Pré-autenticação de passagem não tem impacto sobre se um aplicativo requer que os usuários forneçam credenciais para o aplicativo. Ou seja, um aplicativo configurado com a pré-autenticação de passagem não exigem que os usuários a inserir credenciais para entrar na rede corporativa, mas pode exigir que os usuários a inserir credenciais para exibir o conteúdo do aplicativo.
Para acessar facilmente aplicativos publicados por Proxy de aplicativo Web, e usar AD FS pré-autenticação usuários finais devem usar um dos seguintes clientes:
Qualquer cliente que dá suporte a redirecionamentos HTTP; Por exemplo, um navegador da web.Proxy de aplicativo Web executa a ação apropriada na solicitação de entrada para redirecionar o usuário para um endereço de autenticação e de volta para o endereço da web original, dessa vez com a prova de autenticação.
Clientes de sofisticados que usam HTTP básica, por exemplo, o Exchange ActiveSync.
Qualquer cliente que usa MSOFBA; Por exemplo, Word, Excel ou PowerPoint. Nesse caso, um usuário tenta acessar um documento em sua lista de documentos recentes que é armazenada em um servidor na rede corporativa.
Aplicativos da Windows Store e aplicativos RESTful com os clientes que usam o agente de autenticação da Web para autenticação. Um usuário pode abrir um aplicativo em seu dispositivo que obtém um token do AD FS via Web Authentication Broker e inclui esse token no cabeçalho de autorização HTTP nas solicitações subseqüentes para o aplicativo.
Dica
Dependendo do cliente usado para acessar o aplicativo publicado, Proxy de aplicativo Web decide como processar a solicitação.
Recursos de autenticação
Quando você usa AD FS para autenticação, você também se beneficiar de todos os recursos que AD FS fornece:
Ingresso — esse é um novo recurso no AD FS em R2 do Windows Server 2012. Ele permite que os usuários ingressem dispositivos no local de trabalho que normalmente não é associado a um domínio; Por exemplo, pessoas laptops, tablets e smartphones. Quando esse recurso está habilitado, o AD FS administrador pode configurar todos os aplicativos, ou aplicativos individuais, para exigir que os dispositivos sejam registrados para que possam ter acesso a aplicativos publicados. Para obter mais informações, consulte ingresso no Local de Trabalho em qualquer dispositivo de SSO e autenticação de dois fatores contínua em aplicativos da empresa.
SSO, isso permite que os usuários insiram credenciais uma vez e ser autenticado para todos os aplicativos publicados com suporte. Consulte ingresso no Local de Trabalho em qualquer dispositivo de SSO e autenticação de dois fatores contínua em aplicativos da empresa.
A autenticação multifator (MFA) —AD FS pode ser configurado para exigir que os usuários se autentiquem com mais de um esquema de autenticação; por exemplo, uma senha única ou um cartão inteligente. Consulte gerencie riscos com Multi-Factor Authentication adicional para aplicativos confidenciais.
Controle de acesso de vários fatores, controle de acesso no AD FS é implementado com regras de declaração de autorização que são usadas para emitir uma permissão ou negar as declarações que determinarão se um usuário ou um grupo de usuários terá permissão para acessar AD FS-recursos protegidos ou não. As regras de autorização só podem ser definidas em objetos de confiança da terceira parte confiável. Todos os recursos acima podem ser combinados, conforme necessário, para fornecer segurança mais rígida para aplicativos confidenciais ou ignorados para aplicativos menos confidenciais. Consulte Gerenciar riscos com Controle de Acesso Condicional.
Quando você publicar aplicativos por meio de Proxy de aplicativo Web não é necessário configurar o AD FS recursos de autenticação mencionado acima. Isso permite que você forneça acesso a dispositivos que não são capazes de ingressar no espaço de trabalho ou fornecer fatores adicionais de autenticação, como quiosques.
Visão técnica geral de Proxy de aplicativo Web
Quando você optar por usar Proxy de aplicativo Web na sua organização, é recomendável que você implante seu Proxy de aplicativo Web servidores atrás de um firewall front-end para separá-lo da Internet ou entre dois firewalls; um firewall front-end para separá-lo da Internet e um firewall de back-end para separá-lo da rede corporativa. Nessa topologia, Proxy de aplicativo Web fornece uma camada de proteção contra usuários mal-intencionados que podem ser provenientes da Internet. Não há outros servidores são necessários a ser localizado na rede de perímetro; ou seja, sua AD FS servidores estão localizados na rede corporativa e somente pode ser alcançados por meio de Proxy de aplicativo Web usando seu interno AD FS funcionalidade de proxy.
O diagrama a seguir mostra uma topologia típica para a implantação de Proxy de aplicativo Web em uma rede de perímetro entre dois firewalls.
.jpeg "Topologia do Proxy de aplicativo Web")
Armazenamento de configuração de Proxy de aplicativo Web
O Proxy de aplicativo Web configuração é armazenada no AD FS servidores na sua organização; portanto, Proxy de aplicativo Web servidores exigem conectividade com a AD FS servidores. Além disso, depois de configurar o primeiro Proxy de aplicativo Web server, você pode instalar adicionais Proxy de aplicativo Web servidores para criar uma implantação de cluster. Quando você instala o serviço de função no novo servidor no cluster, a configuração é automaticamente transferida para o novo servidor depois de concluir o Proxy de aplicativo Web Assistente de configuração.
Uma vez que Proxy de aplicativo Web armazena sua configuração no AD FS servidores não tem nenhuma localmente armazenadas informações de configuração.
Funcionalidade do AD FS Proxy
O Proxy de aplicativo Web também o serviço de função é um AD FS proxy. Ou seja, Proxy de aplicativo Web atende a todos os pontos de extremidade que AD FS escuta.Proxy de aplicativo Web também encaminha as solicitações da Internet para AD FS e respostas de AD FS à Internet. Observe que o Proxy de aplicativo Web serviço de função é uma substituição para o AD FS função de proxy.
Criando um proxy na sua organização para seu serviço de Federação adiciona segurança adicional de camadas a sua AD FS implantação. Considere a implantação Proxy de aplicativo Web na rede de perímetro da sua organização quando você deseja:
Impedir que computadores clientes externos acessem diretamente o AD FS servidores. Implantando um Proxy de aplicativo Web servidor na rede de perímetro, você efetivamente de isolar seus AD FS servidores.Proxy de aplicativo Web servidores não têm acesso às chaves particulares usadas para gerar tokens.
Fornecem uma maneira conveniente para diferenciar a experiência de logon para os usuários que são provenientes da Internet em oposição aos usuários que são provenientes de sua rede corporativa usando a autenticação integrada do Windows.
Gerenciando o Proxy de aplicativo Web
Proxy de aplicativo Web usa um número de ferramentas e recursos fornecidos pelo R2 do Windows Server 2012 para que você possa facilmente instalar, implantar e gerenciá-lo em implantações corporativas.
Proxy de aplicativo Web é um serviço de função no R2 do Windows Server 2012. Isso permite que você facilmente instale Proxy de aplicativo Web em sua implantação usando Gerenciador do Servidor ou Usando o Windows PowerShell.
Proxy de aplicativo Web é integrado ao console de gerenciamento de acesso remoto, permitindo que você gerencie seu Proxy de aplicativo Web servidores e outras tecnologias de acesso remoto, como o DirectAccess e VPN a partir do mesmo console de gerenciamento de acesso remoto.
Proxy de aplicativo Web fornece funcionalidade completa por meio de um conjunto de Usando o Windows PowerShell comandos e uma API do Windows Management Instrumentation (WMI).
Para ajudar a solucionar o problema, Proxy de aplicativo Web:
Grava os eventos no log de eventos do Windows.
Expõe um número de contadores de desempenho.
Tem um dedicado Best Practices Analyzer (BPA).
Interoperabilidade com outros produtos de acesso remoto
Proxy de aplicativo Web é um serviço de função da função de acesso remoto no R2 do Windows Server 2012. Você pode instalar Proxy de aplicativo Web -lado a lado com acesso remoto nos seguintes cenários:
| DirectAccess | VPN | Proxy de aplicativo Web |
|---|---|---|
| Implantação de servidor único | Implantação de servidor único | Implantação de servidor único |
| Implantação multissite | Implantação de vários servidores | Sem suporte no mesmo servidor |
| Sem suporte no mesmo servidor | Implantação de vários servidores | Implantação de vários servidores |
| Implantação de cluster1 | Implantação de vários servidores | Implantação de vários servidores2 |
Dica
1—Em uma implantação de cluster pré-existente do DirectAccess, você pode instalar o Proxy de aplicativo Web apenas usando o Usando o Windows PowerShell.
2—Em uma implantação pré-existente de vários servidores Proxy de aplicativo Web, você pode instalar o DirectAccess apenas usando o Usando o Windows PowerShell.
Proxy de aplicativo Web fornece aplicativos recursos de publicação, semelhantes ao Forefront Unified Access Gateway (UAG). No entanto, Proxy de aplicativo Web interage com outros servidores e serviços para fornecer uma implantação mais simplificada. Isso ajuda você a se concentrar em como configurar apenas as partes necessárias da sua implantação. É recomendável que, para qualquer novas implantações em que exigem recursos de publicação de aplicativo para os cenários descritos acima, você deve usar Proxy de aplicativo Web.
Consulte também
Planejando publicar aplicativos usando o proxy de aplicativo Web