Microsoft Entra ID 具有应用程序代理服务,使用户能够通过使用其 Microsoft Entra 帐户登录来访问本地应用程序。 若要详细了解应用程序代理,请参阅什么是应用代理?。 本教程将准备与应用程序代理配合使用的环境。 准备好环境后,使用 Microsoft Entra 管理中心将本地应用程序添加到租户。
本教程介绍以下操作:
- 在 Windows 服务器上安装和验证连接器,并将其注册到应用程序代理。
- 将本地应用程序添加到 Microsoft Entra 租户。
- 验证测试用户可以使用 Microsoft Entra 帐户登录到该应用程序。
先决条件
若要将本地应用程序添加到 Microsoft Entra ID,需要:
- 一个 Microsoft Entra ID P1 或 P2 订阅。
- 一个应用程序管理员帐户。
- 一组与本地目录同步的用户标识。 或者直接在 Microsoft Entra 租户中创建它们。 标识同步允许 Microsoft Entra ID 在授予用户对应用代理发布的应用程序的访问权限之前对用户进行预身份验证。 同步还提供必要的用户标识符信息以执行单一登录 (SSO)。
- 了解 Microsoft Entra 中的应用程序管理,请参阅查看 Microsoft Entra 中的企业应用程序。
- 了解单一登录 (SSO),请参阅了解单一登录。
安装和验证 Microsoft Entra 专用网络连接器
应用程序代理使用与 Microsoft Entra 专用访问相同的连接器。 该连接器称为 Microsoft Entra 专用网络连接器。 若要了解如何安装和验证连接器,请参阅如何配置连接器。
一般备注
Microsoft Entra 应用程序代理终结点的公共域名系统(DNS)记录是链式 CNAME 记录,指向 A 记录。 以这种方式设置记录可确保容错和灵活性。 Microsoft Entra 专用网络连接器始终访问带有域后缀 *.msappproxy.net 或 *.servicebus.windows.net 的主机名。 但是,在名称解析过程中,CNAME 记录可能包含具有不同主机名和后缀的 DNS 记录。 由于存在差异,必须确保设备可解析链中的所有记录并允许连接到已解析的 IP 地址,这取决于设置 - 连接器服务器、防火墙和出站代理。 由于链中的 DNS 记录有时可能会更改,因此我们无法提供 DNS 记录的任何列表。
如果在不同区域中安装连接器,则应通过选择具有每个连接器组的最近的应用程序代理云服务区域来优化流量。 若要了解详细信息,请参阅使用 Microsoft Entra 应用程序代理优化流量流。
如果你的组织使用代理服务器连接到 Internet,则需要为应用程序代理配置代理服务器。 有关详细信息,请参阅使用现有的本地代理服务器。
将本地应用添加到 Microsoft Entra ID
将本地应用程序添加到 Microsoft Entra ID。
至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用。
选择新建应用程序。
选择“添加本地应用程序”按钮,该按钮显示在“本地应用程序”部分的中间位置。 也可以在页面顶部选择“创建自己的应用程序”,然后选择“配置应用程序代理以安全地远程访问本地应用程序”。
在添加自己的本地应用程序部分中,提供有关应用程序的以下信息:
字段 说明 名称 显示在“我的应用”和 Microsoft Entra 管理中心的应用程序名称。 维护模式 选择是否要启用维护模式并暂时禁用所有用户对应用程序的访问。 内部 URL 用于从专用网络内部访问应用程序的 URL。 可以提供后端服务器上要发布的特定路径,而服务器的其余部分则不发布。 通过这种方式,可以在同一服务器上将不同站点发布为不同应用,并为每个站点提供其自己的名称和访问规则。
如果发布路径,请确保它包含应用程序的所有必要映像、脚本和样式表。 例如,如果你的应用位于https://yourapp/app,并使用位于https://yourapp/media的映像,则应发布https://yourapp/作为路径。 此内部 URL 不一定是用户看到的登陆页面。 有关详细信息,请参阅为发布的应用设置自定义主页。外部 URL 用户从网络外部访问应用时使用的地址。 如果你不想使用默认的应用程序代理域,请参阅 Microsoft Entra 应用程序代理中的自定义域。 预身份验证 应用程序代理在向用户授予应用程序访问权限之前如何验证用户。
Microsoft Entra ID - 应用程序代理重定向用户以使用 Microsoft Entra ID 登录,从而验证用户对目录和应用程序的权限。 建议将此选项保留为默认值,以便可以利用条件访问和多重身份验证等 Microsoft Entra 安全功能。 必须使用 Microsoft Entra ID 通过 Microsoft Defender for Cloud Apps 来监视应用程序。
直通 - 用户无需对 Microsoft Entra ID 进行身份验证即可访问应用程序。 仍可在后端设置身份验证要求。连接器组 连接器处理对应用程序的远程访问,借助连接器组可按区域、网络或用途组织连接器和应用。 如果尚未创建任何连接器组,应用将分配到默认。
如果应用程序使用 WebSocket 进行连接,组中的所有连接器必须为 1.5.612.0 或更高版本。根据需要配置其他设置。 对于大多数应用程序,应保留这些设置的默认状态。
字段 说明 后端应用程序超时 仅当应用程序身份验证和连接速度较慢时,才将此值设置为长。 默认情况下,后端应用程序超时的长度为 85 秒。 设置太长时,后端超时将增加到 180 秒。 使用仅限 HTTP 的 Cookie 选择此项可让应用程序代理 Cookie 在 HTTP 响应标头中包含 HTTPOnly 标志。 如果使用远程桌面服务,请将此选项保持未选中状态。 使用永久性 Cookie 将此选项保持未选中状态。 仅对无法在进程之间共享 cookie 的应用程序使用此设置。 有关 Cookie 设置的详细信息,请参阅用于在 Microsoft Entra ID 中访问本地应用程序的 Cookie 设置。 转换标头中的 URL 请将此选项保持选中状态,除非应用程序要求在身份验证请求中包含原始主机标头。 转换应用程序主体中的 URL 请将此选项保持未选中状态,除非具有指向其他本地应用程序的硬编码 HTML 链接且不使用自定义域。 有关详细信息,请参阅使用应用程序代理进行链接转换。
如果你打算使用 Microsoft Defender for Cloud Apps 监视此应用程序,请选择此项。 有关详细信息,请参阅使用 Microsoft Defender for Cloud Apps 和 Microsoft Entra ID 配置实时应用程序访问监视。验证后端 TLS 证书 选择此选项可为应用程序启用后端传输层安全性(TLS)证书验证。 选择“添加”。
测试应用程序
现在,可以测试是否正确添加了应用程序。 在以下步骤中,你要将一个用户帐户添加到应用程序,然后尝试登录。
添加用于测试的用户
将用户添加到应用程序之前,请验证该用户帐户是否有权从企业网络内部访问应用程序。
添加测试用户:
- 选择企业应用程序,然后选择要测试的应用程序。
- 选择“入门”,然后选择“分配用于测试的用户”。
- 在用户和组下,选择添加用户。
- 在添加分配下,选择用户和组。 用户和组部分将随即显示。
- 选择要添加的帐户。
- 依次选择选择、分配。
测试登录
若要测试对应用程的d身份验证:
- 从要测试的应用程序中,选择“应用程序代理”。
- 在页面顶部,选择测试应用程序以对应用程序运行测试并检查是否存在任何配置问题。
- 请确保首先启动应用程序以测试登录到应用程序,然后下载诊断报告以查看有关任何检测到的问题的解决方案指南。
有关故障排除信息,请参阅根据错误消息排查应用程序代理问题。
清理资源
完成后,请不要忘记删除在本教程中创建的任何资源。
故障排除
了解常见问题及其排查方法。
创建应用程序/设置 URL
查看错误详细信息,获取有关如何修复应用程序的信息和建议。 大多数的错误消息都包含建议的修复方法。 为避免常见的错误,请验证:
- 是有权创建应用程序代理应用程序的管理员
- 内部 URL 唯一
- 外部 URL 唯一
- URL 以 http 或 https 开头,以“/”结尾
- URL 应为域名,而非 IP 地址
在创建应用程序时,错误消息应显示在右上角。 还可以选择通知图标以查看错误消息。
上传自定义域证书
自定义域允许指定外部 URL 的域。 若要使用自定义域,需上传该域的证书。 有关使用自定义域和证书的详细信息,请参阅在 Microsoft Entra 应用程序代理中使用自定义域。
如果在上传证书时遇到问题,请在门户中查找错误消息,以获取证书问题的其他信息。 常见的证书问题包括:
- 证书已过期
- 证书已自签名
- 证书缺少私钥
尝试上传证书时,右上角显示错误消息。 还可以选择通知图标以查看错误消息。