Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Entra-programproxy har inbyggt stöd för single sign-on (SSO) åtkomst till applikationer som använder rubriker för autentisering. Du konfigurerar huvudvärden som krävs av ditt program i Microsoft Entra-ID. Huvudvärdena skickas till programmet via programproxy. Fördelar med att använda inbyggt stöd för huvudbaserad autentisering med programproxy är:
Förenkla fjärråtkomst till dina lokala appar – Programproxy förenklar din befintliga fjärråtkomstarkitektur. Du ersätter VPN-åtkomst (Virtual Private Network) till dessa appar. Du tar bort beroenden för lokala identitetslösningar för autentisering. Du effektiviserar upplevelsen för användare och de märker inte något annat när de använder företagsprogram. Användare kan arbeta var som helst på valfri enhet.
Inga extra program eller ändringar i dina appar – Du använder dina befintliga privata nätverksanslutningar. Ingen extra programvara krävs.
Bred lista över tillgängliga attribut och transformeringar – Alla tillgängliga huvudvärden baseras på standardanspråk som utfärdas av Microsoft Entra-ID. Alla attribut och transformeringar som är tillgängliga för att konfigurera anspråk för SAML-program (Security Assertion Markup Language) eller OpenID Connect (OIDC) är också tillgängliga som huvudvärden.
Förutsättningar
Aktivera programproxy och installera en anslutningsapp som har direkt nätverksåtkomst till dina program. Mer information finns i Lägg till ett lokalt program för fjärråtkomst via programproxy.
Funktioner som stöds
Tabellen innehåller vanliga funktioner som krävs för huvudbaserade autentiseringsprogram.
| Krav | Beskrivning |
|---|---|
| Federerad enkel inloggning (SSO) | I förautentiserat läge skyddas alla program med Microsoft Entra-autentisering och användarna har enkel inloggning. |
| Fjärråtkomst | Programproxy ger fjärråtkomst till appen. Användare får åtkomst till programmet från Internet i alla webbläsare med hjälp av den externa url:en (Uniform Resource Locator). Programproxy är inte avsedd för allmän företagsåtkomst. Allmän företagsåtkomst finns i Microsoft Entra Private Access. |
| Rubrikbaserad integrering | Programproxy hanterar SSO-integrering med Microsoft Entra-ID och skickar sedan identiteter eller andra programdata som HTTP-huvuden till programmet. |
| Programauktorisering | Vanliga principer anges baserat på programmet som används, användarens gruppmedlemskap och andra principer. I Microsoft Entra-ID implementeras principer med hjälp av villkorlig åtkomst. Principer för programauktorisering gäller endast för den första autentiseringsbegäran. |
| Steg-upp-autentisering | Principer definieras för att tvinga tillagd autentisering, till exempel för att få åtkomst till känsliga resurser. |
| Detaljerad auktorisering | Ger åtkomstkontroll på URL-nivå. Tillagda principer kan tillämpas baserat på url:en som används. Den interna URL:en som konfigurerats för appen definierar omfånget för den app som principen tillämpas på. Policyn som konfigurerats för den mest specifika sökvägen tillämpas. |
Notera
Den här artikeln beskriver anslutningen mellan huvudbaserade autentiseringsprogram och Microsoft Entra-ID med hjälp av programproxy och är det rekommenderade mönstret. Alternativt finns det ett integrationsmönster som använder PingAccess med Microsoft Entra-ID för att aktivera rubrikbaserad autentisering. Mer information finns i Header-baserad autentisering för enkel inloggning med programproxy och PingAccess.
Så här fungerar det
- Administratören anpassar de attributmappningar som krävs av programmet i administrationscentret för Microsoft Entra.
- Programproxy säkerställer att en användare autentiseras med Hjälp av Microsoft Entra-ID.
- Molntjänsten för programproxy är medveten om de attribut som krävs. Så tjänsten hämtar motsvarande påståenden från ID-token mottagen under autentiseringen. Tjänsten översätter sedan värdena till nödvändiga HTTP-huvuden som en del av begäran till anslutningsappen.
- Begäran skickas sedan vidare till anslutningsappen, som sedan skickas till serverdelsprogrammet.
- Programmet tar emot rubrikerna och kan använda dessa rubriker efter behov.
Publicera programmet med applikationsproxy
Publicera programmet enligt anvisningarna i Publicera program med programproxy.
- Det interna URL-värdet avgör programmets omfång. Du konfigurerar det interna URL-värdet i rotvägen för applikationen, och alla underliggande delvägar under roten får samma header och applikationskonfiguration.
- Skapa ett nytt program för att ange en annan huvudkonfiguration eller användartilldelning för en mer detaljerad sökväg än det program som du konfigurerade. I det nya programmet konfigurerar du den interna URL:en med den specifika sökväg du behöver och konfigurerar sedan de specifika rubriker som behövs för den här URL:en. Programproxyn matchar alltid dina konfigurationsinställningar med den mest detaljerade sökvägen som angetts för ett program.
Välj Microsoft Entra-ID som förautentiseringsmetod.
Tilldela en testanvändare genom att gå till Användare och grupper och tilldela lämpliga användare och grupper.
Öppna en webbläsare och gå till den externa URL:en från programproxyinställningarna.
Kontrollera att du kan ansluta till programmet. Även om du kan ansluta kan du inte komma åt appen ännu eftersom rubrikerna inte har konfigurerats.
Konfigurera enkel inloggning
Innan du kommer igång med enkel inloggning för huvudbaserade program installerar du en privat nätverksanslutning. Anslutningen måste kunna komma åt målprogrammen. Mer information finns i Handledning: Microsoft Entra-programproxy.
- När programmet visas i listan över företagsprogram väljer du det och väljer Enkel inloggning.
- Ange läget för enkel inloggning till Rubrikbaserad.
- I Basic Configurationväljs Microsoft Entra-IDsom standard.
- Välj redigeringspennan i Rubriker för att konfigurera rubriker som ska skickas till programmet.
- Välj Lägg till nytt huvud. Ange ett namn för rubriken och välj antingen Attribute eller Transformation och välj i listrutan vilken rubrik programmet behöver.
- Mer information om listan över tillgängliga attribut finns i Anspråksanpassningar – Attribut.
- Mer information om den tillgängliga omvandlingslistan finns i Anspråksanpassningar – Anspråkstransformationer.
- Du kan lägga till ett grupphuvud. Mer information om hur du konfigurerar grupper som ett värde finns i: Konfigurera gruppanspråk för program.
- Välj Spara.
Testa din app
Programmet körs nu och är tillgängligt. Så här testar du appen:
- Rensa tidigare cachelagrade rubriker genom att öppna en ny webbläsare eller ett privat webbläsarfönster.
- Gå till den externa URL:en. Den här inställningen visas som extern URL i inställningarna för programproxy.
- Logga in med det testkonto som du tilldelade appen.
- Bekräfta att du kan ladda och logga in i programmet med SSO.
Överväganden
- Programproxy ger fjärråtkomst till appar lokalt eller i ett privat moln. Programproxy rekommenderas inte för trafik som kommer från samma nätverk som det avsedda programmet.
- Åtkomst till huvudbaserade autentiseringsprogram bör begränsas till endast trafik från anslutningsappen eller någon annan tillåten huvudbaserad autentiseringslösning. Åtkomstbegränsning utförs ofta med hjälp av en brandvägg eller IP-begränsning på programservern.