Работа с прокси веб-приложения
Опубликовано: Август 2016
Данный материал относится к локальной версии прокси-сервера веб-приложения. Сведения о безопасном доступе к локальным приложениям через облако см. в содержимом прокси-сервера приложения Azure AD.
Прокси-сервер веб-приложения — Это новая служба роли удаленного доступа в Windows Server® 2012 R2.Прокси-сервер веб-приложения предоставляет функциональность обратного прокси-сервера для веб-приложений в корпоративной сети разрешить пользователям на любом устройстве, для доступа к ним из вне корпоративной сети.Прокси-сервер веб-приложения выполняет предварительную проверку подлинности доступа к веб-приложений с помощью Службы федерации Active Directory (AD FS), а также выполняет функции AD FS прокси-сервера.
Предоставление доступа к приложениям
Прокси-сервер веб-приложения предоставляет организациям возможность предоставления избирательный доступ к приложениям, выполняемым на серверах в организации для конечных пользователей, расположенных за пределами организации. Процесс, позволяющий предоставить доступ к приложению за пределами организации, называется публикацией. В отличие от традиционных решений VPN, при публикации приложений с помощью Прокси-сервер веб-приложения конечным пользователям можно получить доступ только к приложениям, которые публикуются. Тем не менее Прокси-сервер веб-приложения можно также развернуть в виртуальной частной сети как часть развертывания удаленного доступа в вашей организации. См. раздел ad72afff-bbb0-4c37-b4d8-2f68f790db70#Interoperability.
Публикация приложений
Публикация Прокси-сервер веб-приложения обеспечивает пользователям доступ к приложениям организации с собственных устройств. Таким образом, они могут использовать для работы не только корпоративные ноутбуки, но и домашние компьютеры, планшеты и смартфоны. Кроме того конечные пользователи не требуются для установки любого дополнительного программного обеспечения на своем устройстве для доступа к опубликованным приложениям.Прокси-сервер веб-приложения можно использовать на клиентах со стандартным браузером, клиентах Office и многофункциональных клиентах, использующих OAuth (например, для приложений Магазина Windows).Прокси-сервер веб-приложения служит обратным прокси-сервером для любого приложения, опубликованного через него, поэтому взаимодействие с пользователем будет таким же, как если бы устройство пользователя напрямую подключалось к приложению.
Доступ к приложениям
Прокси-сервер веб-приложения всегда должны быть развернуты с AD FS. Это позволяет использовать средства AD FS, такие как единый вход (SSO). Это позволяет пользователям вводить свои учетные данные и впоследствии они не должны будут вводить свои учетные данные. Единый вход поддерживается Прокси-сервер веб-приложения для внутренних серверов, использующих проверку подлинности на основе утверждений; например приложений на основе заявок в SharePoint и встроенная проверка подлинности Windows с помощью Kerberos, ограниченное делегирование. Интеграции приложений на основе проверки подлинности могут быть определены в Windows AD FS как доверия с проверяющей стороной, которые могут определить форматированного политики проверки подлинности и авторизации, которые применяются в запросах к приложению.
Защита приложения от внешних угроз
Прокси-сервер веб-приложения служит в качестве барьер между Интернетом и корпоративных приложений. Во многих организациях, при развертывании Прокси-сервер веб-приложения и публикации приложений с его помощью, эти приложения будут доступны для внешних пользователей на устройствах, которые не присоединены к домену; например, ноутбуки, планшетные ПК или смартфонов. Эти устройства не присоединенных к домену, и таким образом, они называются неуправляемых устройств и ненадежных в корпоративной сети. Так как требуется, чтобы пользователи могли получить доступ к важной информации, когда и где они находятся, необходимо ограничить риски, предоставления пользователям доступа к корпоративным ресурсам с этих устройств неуправляемые и ненадежными.Прокси-сервер веб-приложения предоставляет несколько функций безопасности для защиты сети организации от внешних угроз.Прокси-сервер веб-приложения использует AD FS для проверки подлинности и авторизации пользователей только на устройствах, проверки подлинности и авторизации получить доступ к корпоративным приложениям.
Глубокая защита
Рекомендуемые развертывания Прокси-сервер веб-приложения развертывается в демилитаризованной зоне между брандмауэр с выходом в Интернет и брандмауэра корпоративной сети. Однако помимо защита, обеспечиваемая брандмауэры, Прокси-сервер веб-приложения обеспечивает дополнительную защиту для приложений от внешних угроз.
Именно прибытии трафика HTTPS направлены на адрес, опубликованный Прокси-сервер веб-приложения, он прекращает трафик и инициирует новых запросов к опубликованным приложениям. Таким образом, он действует как буфер уровня сеанса между внешними устройствами и опубликованные приложения. Другими словами, когда пользователи обращаются к опубликованным приложениям, они не напрямую обращаться к приложению, вместо этого они доступ к приложению через Прокси-сервер веб-приложения.
Любой трафик, который достигает Прокси-сервер веб-приложения удаляется и не перенаправлены к опубликованным приложениям. Это включает недопустимые запросы HTTP или HTTPS, которые могут использоваться как часть атак отказа в обслуживании, нулевое значение дня атак, SSL атак и т. д.
Любой запрос с проверкой подлинности, поступающих в Прокси-сервер веб-приложения содержащий маркер проверки подлинности из AD FS будет проверяться, чтобы убедиться в том, что клиент, отправляющий маркер предназначено маркера, полученного. Это делается путем проверки устройством (через сертификат присоединения к рабочему месту) соответствует утверждения в маркере, позволяющие отличить устройство при проверке подлинности для AD FS.
Проверка подлинности и авторизация
Чтобы защитить доступ к приложениям в организации, рекомендуется разрешить доступ только авторизованным и прошедшим проверку подлинности пользователям. При публикации приложений с помощью Прокси-сервер веб-приложения, это достигается с помощью объекта AD FS, который обеспечивает проверку подлинности и применяет авторизации для опубликованных приложений.
Примечание
Прокси-сервер веб-приложения также позволяет сквозной предварительной проверки подлинности, который позволяет публиковать приложения, которые не требуют предварительной проверки подлинности или которого клиенты не поддерживают возможности проверки подлинности.
Проверка подлинности пользователей и устройств
При публикации приложений с помощью Прокси-сервер веб-приложения, процесс, с помощью которого пользователи и устройства проходят проверку подлинности до получения доступа к приложениям называется предварительной проверки подлинности.Прокси-сервер веб-приложения поддерживает два вида предварительной проверки подлинности:
AD FS Предварительная проверка подлинности — при использовании AD FS для предварительной проверки подлинности, пользователь должен пройти проверку подлинности AD FS сервер перед Прокси-сервер веб-приложения перенаправляет пользователя к опубликованному веб-приложению. Это гарантирует, что весь трафик к опубликованной веб-приложениям проходит проверку подлинности.
Сквозной предварительной проверки подлинности, пользователям не требуется ввести учетные данные, прежде чем они подключаются к опубликованной веб-приложений.
Примечание
Сквозной предварительной проверки подлинности не оказывает влияния на ли приложение требует от пользователей предоставить учетные данные для приложения. То есть приложения, настроенного с помощью предварительной сквозной проверки подлинности не требуется вводить учетные данные в корпоративной сети, но может потребоваться пользователям вводить учетные данные для доступа к содержимому приложения.
Получать доступ к приложениям, опубликованным в Прокси-сервер веб-приложения, и использовать AD FS предварительной проверки подлинности конечных пользователей следует использовать один из следующих клиентов:
Любой клиент, поддерживающий перенаправления HTTP; Например веб-обозреватель.Прокси-сервер веб-приложения выполняет соответствующее действие на входящий запрос перенаправлять пользователя на адрес для проверки подлинности и обратно на исходный веб-адрес, это время с помощью проверки подлинности.
Широкие возможности клиентов, использующих HTTP basic, например, Exchange ActiveSync.
Любой клиент, использующего MSOFBA; например Word, Excel или PowerPoint. В этом случае пользователь пытается получить доступ к документу, список последних документов, хранящихся на сервере в корпоративной сети из.
Приложения для магазина Windows и приложений RESTful с клиентами, использующими веб-брокер проверки подлинности для проверки подлинности. Пользователь может открыть приложение на мобильном устройстве, который получает маркер из AD FS через веб-брокер проверки подлинности и включает токен в заголовок авторизации HTTP в последующих запросов к приложению.
Примечание
В зависимости от клиента, используемый для доступа к опубликованным приложением Прокси-сервер веб-приложения принимает решения о способе обработки запроса.
Возможности проверки подлинности
При использовании AD FS для проверки подлинности, можно также использовать преимущества всех функций, AD FS предоставляет:
Присоединение к рабочему месту — это новая функция в AD FS в Windows Server 2012 R2. Благодаря этому пользователи могут присоединять устройства к рабочему месту, обычно не является присоединенных к домену; Например ноутбуки, планшетные ПК и смартфоны. Если эта функция включена, AD FS администратор может настроить все приложения или отдельных приложений, требуется устройства для регистрации, прежде чем они смогут получить доступ к публикации приложений. Дополнительные сведения см. в разделе присоединение к рабочему месту с любого устройства для единого входа и эффективная двухфакторная аутентификация в приложениях компании.
Единый вход — это позволяет один раз ввести учетные данные и пройти проверку подлинности для всех поддерживаемых опубликованных приложений. См. раздел присоединение к рабочему месту с любого устройства для единого входа и эффективная двухфакторная аутентификация в приложениях компании.
Многофакторная проверка подлинности (MFA) —AD FS можно настроить требовать от пользователей проходить проверку подлинности с более чем одна схема проверки подлинности; например, одноразовый пароль или смарт-карты. См. раздел управление рисками для уязвимых приложений с помощью дополнительной многофакторной проверки подлинности.
Многофакторное управление доступом — управление доступом в AD FS реализуется с помощью правил авторизации утверждений, которые используются для выдачи разрешения или отклонения заявки, которые определяют, будет ли пользователь или группа пользователей может получить доступ к AD FS-защищенным ресурсам. Правила авторизации можно настроить только в отношениях доверия с проверяющей стороной. Все выше функции могут объединяться, при необходимости, для предоставления более строгие безопасности конфиденциальных приложениям или игнорируется для приложений менее конфиденциальной. См. раздел Управление рисками с использованием условного управления доступом.
При публикации приложений с помощью Прокси-сервер веб-приложения не требуются для настройки AD FS функции проверки подлинности, упомянутых выше. Это позволяет предоставить доступ к устройствам, которые не удалось присоединиться к рабочей области, или предоставить дополнительные факторы проверки подлинности, например киоски.
Технический обзор прокси приложений Web
Если вы решите использовать Прокси-сервер веб-приложения в организации, мы рекомендуем вам установить ваш Прокси-сервер веб-приложения серверы за брандмауэром переднего плана, чтобы отделить его от Интернета или между двумя брандмауэрами; клиентским брандмауэром, чтобы отделить его от Интернета и серверный брандмауэр, чтобы отделить его от корпоративной сети. В этой топологии Прокси-сервер веб-приложения обеспечивает необходимый уровень защиты от атак злоумышленников, которые могут поступать из Интернета. Необходимы другие серверы не должны размещаться в этой сети периметра; то есть вашей AD FS серверы находятся в корпоративной сети и может быть достигнуто только через Прокси-сервер веб-приложения с помощью встроенного AD FS функции прокси-сервера.
На следующей схеме показаны типичные топологии развертывания Прокси-сервер веб-приложения в демилитаризованной зоне между двумя брандмауэрами.
.jpeg "Топология прокси-службы веб-приложения")
Веб-хранилища конфигурации прокси-сервера приложений
Прокси-сервер веб-приложения Конфигурация хранится на AD FS серверах в организации; таким образом, Прокси-сервер веб-приложения серверов требуется подключение к AD FS серверы. Кроме того, после настройки первого Прокси-сервер веб-приложения сервера, можно установить дополнительные Прокси-сервер веб-приложения Развертывание кластера серверов. При установке службы роли на новом сервере в кластере конфигурации автоматически переносится на новый сервер после завершения Прокси-сервер веб-приложения Мастер настройки.
Поскольку Прокси-сервер веб-приложения хранит свою конфигурацию на AD FS серверах, он не имеет локально хранятся сведения о конфигурации.
Функциональность AD FS прокси-сервера
Прокси-сервер веб-приложения Также является службой роли AD FS прокси-сервера. То есть Прокси-сервер веб-приложения ожидает передачи данных для всех конечных точек, AD FS прослушивает.Прокси-сервер веб-приложения также перенаправляет запросы на любой из Интернета AD FS и ответы от AD FS к Интернету. Обратите внимание, что Прокси-сервер веб-приложения служба роли — это замена для AD FS роль прокси-сервера.
Создание прокси-сервера в организации для обеспечения дополнительной безопасности добавляет службы федерации слоев вашей AD FS развертывания. Следует рассмотреть возможность развертывания Прокси-сервер веб-приложения в демилитаризованной зоне организации при необходимости:
Предотвратить прямой доступ к внешних клиентских компьютеров к AD FS серверы. Развертывание Прокси-сервер веб-приложения сервера в сети периметра, эффективно изолировать вашей AD FS серверов.Прокси-сервер веб-приложения серверы не имеют доступа к закрытым ключам, которые используются для создания маркеров.
Предоставляют удобный способ различения вход для пользователей, поступающих из Интернета, в отличие от пользователей, поступающих от корпоративной сети с использованием встроенной проверки подлинности Windows.
Управление прокси веб-приложения
Прокси-сервер веб-приложения использует ряд средств и функций, предоставляемых Windows Server 2012 R2 позволяет легко устанавливать, развертывания и управления его в своей корпоративной среде.
Прокси-сервер веб-приложения Служба роли в Windows Server 2012 R2. Это позволяет легко устанавливать Прокси-сервер веб-приложения развертывания с помощью Диспетчер серверов или Windows PowerShell.
Прокси-сервер веб-приложения интегрирована в консоль управления удаленным доступом, позволяя управлять своей Прокси-сервер веб-приложения серверов и других технологий удаленного доступа, такие как DirectAccess и VPN-Подключение из одной консоли управления удаленным доступом.
Прокси-сервер веб-приложения обеспечивает полную функциональность посредством набора Windows PowerShell команды и Windows Management Instrumentation (WMI) API.
Для облегчения устранения неполадок Прокси-сервер веб-приложения:
Записывает события в журнал событий Windows.
Предоставляет ряд счетчиков производительности.
Имеется выделенный лучшие анализатора соответствия рекомендациям (BPA).
Взаимодействие с другими продуктами удаленного доступа
Прокси-сервер веб-приложения -Это служба роли удаленного доступа в роли Windows Server 2012 R2. Можно установить Прокси-сервер веб-приложения side-by-side с удаленным доступом в следующих сценариях:
DirectAccess |
VPN |
Прокси-сервер веб-приложения |
|---|---|---|
Развертывание с одним сервером |
Развертывание с одним сервером |
Развертывание с одним сервером |
Многосайтовое развертывание |
Развертывание с несколькими серверами |
Не поддерживается на одном и том же сервере |
Не поддерживается на одном и том же сервере |
Развертывание с несколькими серверами |
Развертывание с несколькими серверами |
Кластерное развертывание1 |
Развертывание с несколькими серверами |
Развертывание с несколькими серверами2 |
Примечание
1 — в существующем кластерном развертывании DirectAccess можно установить Прокси-сервер веб-приложения только с использованием Windows PowerShell.
2 — в существующем развертывании Прокси-сервер веб-приложения с несколькими серверами можно установить DirectAccess только с использованием Windows PowerShell.
Прокси-сервер веб-приложения Предоставляет приложение публикации возможности, аналогичные для Forefront Unified Access Gateway (UAG). Однако Прокси-сервер веб-приложения взаимодействует с другими серверами и службами для упрощения развертывания. Это позволяет сосредоточиться на настройке необходимые части вашего развертывания. Рекомендуется все новые развертывания, где требуются возможности публикации приложения для сценариев, описанных выше, следует использовать для Прокси-сервер веб-приложения.
См. также
Планирование публикации приложений с помощью прокси-службы веб-приложения