Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I Microsoft Entra-ID kan det snabbt bli ohanterligt att konfigurera ett stort antal lokala program och medför onödiga risker för konfigurationsfel om många av dem kräver samma inställningar. Med Microsoft Entra-programproxy kan du åtgärda problemet med hjälp av jokerteckenapplikationspublicering för att publicera och hantera många applikationer samtidigt. Lösningen tillhandahåller:
- Förenklad administrativ omkostnad
- Minskat antal potentiella konfigurationsfel
- Skydda åtkomsten till fler resurser
Den här artikeln innehåller den information du behöver för att konfigurera publicering av applikationer med jokertecken i din miljö.
Skapa en wildcard-applikation
Du kan skapa en jokerapplikation (*) om du har en grupp program med samma konfiguration. Potentiella kandidater för en jokerteckensansökan är applikationer som delar följande inställningar:
- Gruppen med användare som har åtkomst till dem
- Metoden för enkel inloggning (SSO)
- Åtkomstprotokollet (http, https)
Du kan publicera program med jokertecken om både interna och externa URL:er har följande format:
http(s)://*.<domän>
Exempel: http(s)://*.adventure-works.com.
Även om de interna och externa URL:erna kan använda olika domäner bör de enligt bästa praxis vara desamma. När du publicerar programmet visas ett fel om någon av URL:erna inte har något jokertecken.
Att skapa en wildcard-applikation följer samma applikationspubliceringsflöde som är tillgängligt för alla andra applikationer. Den enda skillnaden är att du inkluderar ett jokertecken i URL:erna och eventuellt SSO-konfigurationen.
Förutsättningar
Kom igång genom att kontrollera att kraven är uppfyllda.
Anpassade domäner
Anpassade domäner är valfria för alla andra program, men de är en förutsättning för wildcard-applikationer. När du skapar anpassade domäner måste du:
- Skapa en verifierad domän i Azure.
- Ladda upp ett TLS-certifikat (Transport Layer Security) i PFX-format (Personal Information Exchange) till programproxyn.
Du bör överväga att använda ett jokerteckencertifikat för att passa den applikation som du planerar att skapa.
Av säkerhetsskäl stöds jokertecken endast för program som använder en anpassad domän för den externa URL:en.
DNS-uppdateringar (Domain Name System)
När du använder anpassade domäner måste du skapa en DNS-post med en CNAME-post för den externa URL:en (till exempel *.adventure-works.com) som pekar på den externa URL:en för programproxyslutpunkten. För wildcard-applikationer måste CNAME-posten peka på den relevanta externa webbadressen.
<yourAADTenantId>.tenant.runtime.msappproxy.net
Bekräfta att du har konfigurerat CNAME korrekt, du kan använda nslookup på en av målslutpunkterna, expenses.adventure-works.comtill exempel . Ditt svar bör innehålla det redan nämnda aliaset (<yourAADTenantId>.tenant.runtime.msappproxy.net).
Använda anslutningsgrupper som tilldelats en annan molntjänstregion för programproxy än standardregionen
Om du har anslutningsappar installerade i regioner som skiljer sig från din standardklientregion är det fördelaktigt att ändra vilken region din anslutningsgrupp är optimerad för för att förbättra prestandaåtkomsten till dessa program. Mer information finns i Optimera anslutningsgrupper för att använda närmaste molntjänst för programproxy.
Om den anslutningsgrupp som tilldelats jokerteckenprogrammet använder en annan region än din standardregion måste du uppdatera CNAME-posten så att den pekar på en regional specifik extern URL. Använd följande tabell för att fastställa relevant URL:
| Tilldelad region för anslutning | Extern webbadress |
|---|---|
| Asien | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
| Australien | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
| Europa | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
| Nordamerika | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Att tänka på
Här är några överväganden som du bör ta hänsyn till för jokerteckenansökningar.
Godkända format
För jokerteckenprogram måste den interna URL:en formateras som http(s)://*.<domain>.
När du konfigurerar en extern URL måste du använda följande format: https://*.<custom domain>
Andra positioner i jokertecknet, flera jokertecken eller andra regexsträngar stöds inte och orsakar fel.
Exkludera program från wildcard
Du kan exkludera ett program från wildcard-applikationen genom att
- Publicera undantagsapplikationen som en vanlig applikation
- Aktivera jokertecknet endast för specifika program via dns-inställningarna
Att publicera ett program som ett regelbundet program är den bästa metoden för att undanta ett program från ett wildcard. Du bör publicera de exkluderade programmen innan programmen med jokertecken för att säkerställa att dina undantag tillämpas redan från början. Det mest specifika programmet har alltid företräde – ett program som publiceras som budgets.finance.adventure-works.com har företräde framför programmet *.finance.adventure-works.com, vilket i sin tur har företräde framför programmet *.adventure-works.com.
Du kan också begränsa jokertecknet till att endast fungera för specifika program via DNS-hanteringen. Som bäst bör du skapa CNAME-posten som innehåller ett jokertecken och matchar utformningen av den externa URL du konfigurerat. Du kan dock istället rikta specifika applikations-URL:er mot jokertecken. I stället för *.adventure-works.com, peka hr.adventure-works.com, expenses.adventure-works.comoch travel.adventure-works.com individually till 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net.
Om du använder det här alternativet behöver du också en annan CNAME-post för värdet AppId.domain, till exempel 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com, som också pekar på samma plats. Du hittar AppId på egenskapssidan för den wildcard-applikationen.
Ange startsidans URL för panelen MyApps
Jokerteckenprogrammet representeras med bara en panel i Panelen MyApps. Som standard är den här panelen dold. Så här visar du panelen och får användarna att landa på en specifik sida:
- Följ riktlinjerna för att ange en webbadress till startsidan.
- Ange Visa program till sant på sidan för programegenskaper.
Kerberos-begränsad delegering
För program som använder kerberos-begränsad delegering (KCD) som SSO-metod behöver SPN (Service Principal Name) som anges för SSO-metoden ett jokertecken. SPN kan till exempel vara: HTTP/*.adventure-works.com. Du måste fortfarande ha de individuella SPN:erna konfigurerade på dina backend-servrar (till exempel HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).
Scenario 1: Allmänt jokerteckenanvändning
I det här scenariot har du tre olika program som du vill publicera:
expenses.adventure-works.comhr.adventure-works.comtravel.adventure-works.com
Alla tre programmen:
- Används av alla dina användare
- Använda integrerad Windows-autentisering
- Ha samma egenskaper
Du kan publicera wildcardapplikationen med hjälp av de steg som beskrivs i Publicera program med hjälp av Microsoft Entra-programproxy. Det här scenariot förutsätter:
- En hyresgäst med följande ID:
aaaabbbb-0000-cccc-1111-dddd2222eeee - En verifierad domän med namnet
adventure-works.com. - En CNAME-post som pekar från
*.adventure-works.comtill00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net.
Efter de dokumenterade stegen skapar du en ny programproxyapplikation i din klientorganisation. I det här exemplet finns jokertecknet i följande fält:
Intern URL:
Extern webbadress:
Intern applikation SPN
Genom att publicera wildcard-applikationen kan du nu komma åt dina tre program genom att navigera till de URL:er du är van vid (till exempel travel.adventure-works.com).
Konfigurationen implementerar följande struktur:
| Färg | beskrivning |
|---|---|
| Blått | Program som uttryckligen har publicerats och synligt i administrationscentret för Microsoft Entra. |
| Grått | Program som du kan komma åt via det överordnade programmet. |
Scenario 2: Allmän användning av jokertecken med undantag
Förutom de tre allmänna programmen finns det ett annat program, , finance.adventure-works.comsom endast ska vara tillgängligt för Ekonomi-divisionen. Med den aktuella programstrukturen skulle ditt ekonomiprogram vara tillgängligt via wildcard-applikationen och för alla anställda. För att göra ändringen undantar du ditt program från jokertecknet genom att konfigurera Finance som ett separat program med mer restriktiva behörigheter.
Kontrollera att det finns en CNAME-post som pekar finance.adventure-works.com på den programspecifika slutpunkten, som anges på programproxysidan för programmet. I scenariot finance.adventure-works.com pekar på https://finance-awcycles.msappproxy.net/.
Efter de dokumenterade stegen kräver scenariot följande inställningar:
I den interna URL:en ska du ange finans i stället för ett jokertecken.
I den externa URL specificerar du ekonomi istället för en wildcard.
Internt program-SPN som du anger ekonomi i stället för ett jokertecken.
Den här konfigurationen implementerar följande scenario:
URL:en finance.adventure-works.com är specifik. URL:en *.adventure-works.com är inte specifik. Den mer specifika URL:en har företräde. Användare som navigerar till finance.adventure-works.com får erfarenheten som anges i applikationen Ekonomiresurser. Endast ekonomianställda kan komma åt finance.adventure-works.com.
Om du har flera applikationer publicerade för finans och du har finance.adventure-works.com som en verifierad domän, kan du publicera ytterligare en wildcard-applikation *.finance.adventure-works.com. Eftersom domänen är mer specifik än den allmänna *.adventure-works.comhar den företräde om en användare kommer åt ett program i ekonomidomänen.
Nästa steg
- Mer information om anpassade domäner finns i Arbeta med anpassade domäner i Microsoft Entra-programproxy.
- Mer information om att publicera program finns i Publicera program med Microsoft Entra-programproxy