Использование WAP в качестве обратного веб-прокси

XP: 100

10 мин

Прокси веб-приложений — это роль службы удаленного доступа. Эта служба ролей работает как обратный веб-прокси и предоставляет пользователям, расположенным в Интернете, доступ к внутренним корпоративным веб-приложениям или серверам шлюза удаленных рабочих столов. Прокси веб-приложений может использовать AD FS для предварительной проверки подлинности интернет-пользователей и функционировать в качестве прокси-сервера AD FS для публикации приложений, поддерживающих утверждения.

Примечание

Приложение с поддержкой утверждений может использовать любую информацию о пользователе, например членстве в группах, адресе электронной почты, отделе или компании в рамках авторизации пользователей.

Перед установкой прокси веб-приложения необходимо развернуть AD FS в качестве предварительного условия. Прокси веб-приложения использует AD FS для служб проверки подлинности. Одной из функций, предоставляемых AD FS, является функция единого входа, что означает, что если пользователи вводят свои учетные данные для доступа к корпоративному веб-приложению один раз, они не будут предложено ввести свои учетные данные еще раз для последующего доступа к корпоративному веб-приложению. Вы также можете использовать AD FS для проверки подлинности пользователей в прокси веб-приложения, прежде чем пользователи взаимодействуют с приложением.

Размещение прокси-сервера веб-приложения в сети периметра между двумя устройствами брандмауэра является типичной конфигурацией. Сервер AD FS и приложения, опубликованные в корпоративной сети, а также контроллеры домена и другие внутренние серверы, защищены вторым брандмауэром. Этот сценарий обеспечивает безопасный доступ к корпоративным приложениям для пользователей, расположенных в Интернете, и одновременно защищает корпоративную ИТ-инфраструктуру от угроз безопасности в Интернете.

Схема, отображающая типичную архитектуру WAP.

Параметры проверки подлинности для прокси-сервера веб-приложения

При настройке приложения в прокси-сервере веб-приложения необходимо выбрать тип предварительной проверки подлинности. Вы можете выбрать предварительную проверку подлинности AD FS или сквозную предварительную проверку подлинности. Предварительная проверка подлинности AD FS обеспечивает дополнительные возможности и преимущества, но предварительная проверка подлинности совместима со всеми веб-приложениями.

Предварительная авторизация AD FS

Предварительная проверка подлинности AD FS использует AD FS для веб-приложений, использующих проверку подлинности на основе утверждений. Когда пользователь инициирует подключение к корпоративному веб-приложению, первая точка входа, к которому подключается пользователь, является прокси веб-приложения. Прокси-сервер веб-приложения предварительно выполняет проверку подлинности пользователя на сервере AD FS. Если проверка подлинности выполнена успешно, прокси-сервер веб-приложения устанавливает подключение к веб-серверу в корпоративной сети, в которой размещено приложение.

С помощью предварительной проверки подлинности AD FS убедитесь, что только авторизованные пользователи могут отправлять пакеты данных в веб-приложение. Это предотвращает возможность злоумышленников воспользоваться недостатками веб-приложений до проверки подлинности. Предварительная авторизация AD FS значительно сокращает область атаки для веб-приложения.

Сквозная предварительная проверка подлинности

Сквозная предварительная проверка подлинности не использует AD FS для проверки подлинности, и прокси-сервер веб-приложения также не выполняет предварительную проверку подлинности пользователя. Вместо этого пользователь подключается к веб-приложению через прокси веб-приложения. Прокси-сервер веб-приложения перестраивает пакеты данных по мере их доставки в веб-приложение, что обеспечивает защиту от недостатков, таких как неправильные пакеты. Однако часть данных пакета передается в веб-приложение. Веб-приложение отвечает за проверку подлинности пользователей.

Преимущества предварительной проверки подлинности AD FS

Предварительная проверка подлинности AD FS обеспечивает следующие преимущества для сквозной предварительной проверки подлинности:

Единый вход. Позволяет пользователям, предварительно прошедшим проверку подлинности ad FS, вводить учетные данные только один раз. Если пользователи впоследствии получают доступ к другим приложениям, которые используют AD FS для проверки подлинности, их не будут повторно запрашивать вводить свои учетные данные.
Многофакторная проверка подлинности (MFA). MFA позволяет настроить несколько типов учетных данных для укрепления безопасности. Например, можно настроить систему таким образом, чтобы пользователи вводили имя пользователя и пароль вместе с смарт-картой.
Управление многофакторным доступом. Многофакторные средства управления доступом, используемые в организациях, которые хотят укрепить безопасность при публикации веб-приложений путем реализации правил утверждений авторизации. Правила настроены таким образом, чтобы они выдают разрешение или отказ в доступе, что определяет, разрешен ли пользователю или группе доступ к веб-приложению, использующему предварительную проверку подлинности AD FS.

Публикация приложений с помощью веб-прокси

После установки службы роли прокси веб-приложения настройте ее с помощью мастера конфигурации прокси веб-приложения в консоли управления удаленным доступом. Когда мастер настройки прокси-сервера веб-приложения завершит работу, он создает консоль прокси веб-приложения, которую можно использовать для дальнейшего управления и настройки прокси-сервера веб-приложения.

Мастер настройки прокси-сервера веб-приложения требует ввести следующие сведения во время начального процесса настройки:

Имя AD FS. Чтобы найти это имя, откройте консоль управления AD FS и в разделе "Изменить свойства службы федерации" найдите значение в поле имени службы федерации.
Учетные данные учетной записи локального администратора для AD FS.
Сертификат прокси-сервера AD FS. Это сертификат, который прокси веб-приложения будет использовать для функциональных возможностей прокси-сервера AD FS.

Совет

Сертификат прокси-сервера AD FS должен содержать название AD FS в поле субъекта сертификата, так как мастер настройки прокси-сервера веб-приложения требует этого. Кроме того, поле альтернативных имен субъекта сертификата должно содержать имя AD FS.

После завершения Мастера настройки веб-прокси, можно опубликовать веб-приложение через консоль веб-прокси или командлеты Windows PowerShell. Кмдлеты Windows PowerShell для управления опубликованными приложениями:

Add-WebApplicationProxyApplication
Get-WebApplicationProxyApplication
Set-WebApplicationProxyApplication

При публикации веб-приложения необходимо указать следующие сведения:

Тип предварительной аутентификации, например, сквозная аутентификация.
Заявка на публикацию.
Внешний URL-адрес приложения, например https://lon-svr1.adatum.com.
Сертификат, имя субъекта которого охватывает внешний URL-адрес, например lon-svr1.adatum.com.
URL-адрес внутреннего сервера, который вводится автоматически при вводе внешнего URL-адреса.

Следующий урок: Оценка модуля

Предыдущий Следующая

Нужна помощь? Обратитесь к руководству по устранению неполадок или предоставьте отзыв, сообщив о конкретной проблеме.