Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На основе имен сервисных принципалов, ограниченное делегирование Kerberos (KCD) обеспечивает делегирование между ресурсами. Для этого требуется, чтобы администраторы домена создавали делегирования и ограничиваются одним доменом. Ресурсно-ориентированный KCD можно использовать для предоставления аутентификации Kerberos для веб-приложения с пользователями в нескольких доменах в лесу Active Directory.
Прокси приложения Microsoft Entra может предоставлять единый вход (SSO) и удаленный доступ к приложениям на основе KCD, которым требуется билет Kerberos для доступа и ограниченного делегирования Kerberos (KCD).
Чтобы включить единый вход в локальные приложения KCD, использующие встроенную проверку подлинности Windows (IWA), предоставьте соединителям частной сети разрешение на олицетворения пользователей в Active Directory. Соединитель частной сети использует это разрешение для отправки и получения маркеров от имени пользователей.
Когда следует использовать KCD
Используйте KCD, если требуется предоставить удаленный доступ, защитить с помощью предварительной проверки подлинности и предоставить единый вход локальным приложениям IWA.
Компоненты системы
- Пользователь: Обращается к устаревшему приложению, которое обслуживает прокси приложения.
- Веб-обозреватель: Компонент, с которым пользователь взаимодействует для доступа к внешнему URL-адресу приложения.
- Идентификатор Microsoft Entra: Проверяет подлинность пользователя.
- Служба прокси приложения: Выступает в качестве обратного прокси-сервера для отправки запросов от пользователя в локальное приложение. Он находится в идентификаторе Microsoft Entra. Прокси приложения может применять политики условного доступа.
- Соединитель частной сети: Устанавливается на локальных серверах Windows для обеспечения подключения к приложению. Возвращает ответ на идентификатор Microsoft Entra. Выполняет согласование KCD с Active Directory, имитируя пользователя для получения маркера Kerberos для приложения.
- Active Directory: Отправляет маркер Kerberos для приложения в соединитель частной сети.
- Устаревшие приложения: Приложения, получающие запросы пользователей от прокси приложения. Устаревшие приложения возвращают ответ к частному сетевому соединителю.
Реализация проверки подлинности Windows (KCD) с помощью идентификатора Microsoft Entra
Ознакомьтесь со следующими ресурсами, чтобы узнать больше о реализации проверки подлинности Windows (KCD) с помощью идентификатора Microsoft Entra.
- Единый вход на основе Kerberos (SSO) в Microsoft Entra ID с помощью Application Proxy описывает предварительные требования и шаги настройки.
- Руководство. Добавление локального приложения — прокси приложения в идентификатор Microsoft Entra позволяет подготовить среду для использования с прокси приложениями.
Дальнейшие шаги
- Обзор протокола проверки подлинности и синхронизации Microsoft Entra описывает интеграцию с протоколами проверки подлинности и синхронизации. Интеграция проверки подлинности позволяет использовать идентификатор Microsoft Entra и его функции безопасности и управления с небольшими изменениями в приложениях, использующих устаревшие методы проверки подлинности. Интеграция синхронизации позволяет синхронизировать данные пользователей и группировать с идентификатором Microsoft Entra, а затем использовать возможности управления Microsoft Entra. Некоторые шаблоны синхронизации позволяют автоматическую поставку.
- Общие сведения о едином входе в локальное приложение с помощью Application Proxy описывает, как единый вход позволяет пользователям получать доступ к приложению без проверки подлинности несколько раз. Единый вход осуществляется в облаке с использованием Microsoft Entra ID, что позволяет службе или соединителю выдать себя за пользователя для выполнения аутентификационных запросов из приложения.
- Единый вход с помощью языка разметки SAML для локальных приложений через прокси-сервер приложений Microsoft Entra описывает, как предоставить удалённый доступ к локальным приложениям, защищённым аутентификацией SAML через Application Proxy.