Working with Web Application Proxy
Publicerat: september 2016
Det här innehållet är relevant för den lokala versionen av webbapplikationsproxy. För att aktivera skyddad åtkomst till lokala program över molnet, se Azure AD Application Proxyinnehåll.
Proxy för webbprogram är en ny rolltjänst för fjärråtkomst i Windows Server® 2012 R2.Proxy för webbprogram ger funktioner för omvänd proxy för webbprogram i företagets nätverk så att användare på alla enheter för att komma åt dem från utanför företagsnätverket.Proxy för webbprogram preauthenticates åtkomst till webbprogram med hjälp av Active Directory Federation Services (AD FS), och även som en AD FS proxy.
Ger åtkomst till program
Proxy för webbprogram ger organisationer möjlighet att ge selektiv åtkomst till program som körs på servrar i organisationen till slutanvändare som finns utanför organisationen. Processen som gör programmet tillgängligt externt kallas för publicering. Till skillnad från traditionell VPN-lösningar, när du publicerar program via Proxy för webbprogram slutanvändare kan få åtkomst till program som du har publicerat. Dock Proxy för webbprogram kan också distribueras med VPN som en del av en distribution av fjärråtkomst i din organisation. Se Interoperability with Other Remote Access Products.
Publicera program
Proxy för webbprogram-publicering låter slutanvändare få åtkomst till sin organisations program från sina egna enheter, så att användare inte begränsas till sina företags-laptops för att kunna arbeta. De kan använda sig av sina hemdatorer, läsplattor, eller sin smartphone. Dessutom kan behöver användare inte installera ytterligare programvara på sin enhet för att komma åt publicerade program.Proxy för webbprogram kan användas på klienter med en standard-webbläsare, en Officeklient eller en klient som använder sig av OAuth (exempelvis appar från Windows Store).Proxy för webbprogram agerar som en omvänd proxy för alla program som publiceras genom den, som sådan är användarupplevelsen densamma som om slutanvändarens enhet ansluter direkt till programmet.
Få åtkomst till program
Proxy för webbprogram alltid måste distribueras med AD FS. Detta gör att du kan utnyttja funktionerna för AD FS, t ex enkel inloggning (SSO). Användare kan ange sina autentiseringsuppgifter en gång och vid senare tillfällen, de kommer inte att behöva ange sina autentiseringsuppgifter. Enkel inloggning stöds av Proxy för webbprogram begränsad delegering för backend-servrar som använder Anspråksbaserad autentisering, till exempel anspråksbaserad SharePoint-program och integrerad Windows-autentisering med Kerberos. Integrerad Windows-autentisering-baserade program kan definieras i AD FS som förlitande partsförtroenden som kan definiera omfattande autentisering och auktorisering principer som tillämpas på begäran till programmet.
Skydda program från externa hot
Proxy för webbprogram fungerar som ett hinder mellan Internet och företagets program. I många organisationer när du distribuerar Proxy för webbprogram och publicera program genom den, programmen ska vara tillgängliga för externa användare på enheter som inte är anslutna till domänen, till exempel personliga bärbara datorer, surfplattor eller smartphones. Dessa enheter inte är domänanslutna och som de beskrivs som icke-hanterade enheter och är inte är betrodda i företagsnätverket. Eftersom du vill att användarna ska kunna komma åt viktig information när och var de är placerade, måste du minska det en risken för att tillåta att användarna åtkomst till företagets resurser från dessa ohanterade och ej betrodda enheter.Proxy för webbprogram innehåller ett antal säkerhetsfunktioner för att skydda företagets nätverk från externa hot.Proxy för webbprogram använder AD FS för autentisering och auktorisering så att endast användare på enheter som autentisering och har behörighet har åtkomst till företagets program.
Ett djupgående försvar
I den rekommenderade distributionen Proxy för webbprogram distribueras i ett perimeternätverk mellan en Internetaktiverade brandvägg och en brandvägg i företagsnätverket. Dock förutom skyddet av brandväggar själva Proxy för webbprogram ger ytterligare skydd för dina program från externa hot.
När HTTPS-trafik som tas emot dirigeras till en adress som publiceras av Proxy för webbprogram, den avslutas trafiken och initierar nya begäranden till publicerade program. Det fungerar därför som en session-nivå buffert mellan externa enheter och publicerade program. Det vill säga när användare kommer åt publicerade program, de inte direkt åtkomst till programmet, i stället de åtkomst till program via Proxy för webbprogram.
All trafik som når Proxy för webbprogram är släppas och inte vidarebefordras till de publicerade program. Detta inkluderar alla Ogiltig HTTP eller HTTPS-begäranden som kan användas som en del av DOS-attacker noll dag attacker, SSL-attacker och så vidare.
En begäran som når Proxy för webbprogram som innehåller ett autentiseringstoken från AD FS ska kontrolleras för att se till att den token som tagits emot är avsedd för klienten skickar token. Detta görs genom att kontrollera att enheten (via Workplace Join-certifikat) motsvarar kravet inom den token som identifieras enheten när autentiseras för AD FS.
Autentisering och auktorisering
Om du vill skydda åtkomst till program i organisationen, rekommenderas att tillåta åtkomst till autentiserade och auktoriserade användare. När du publicerar program via Proxy för webbprogram, detta uppnås genom AD FS, vilket ger autentisering och tillämpar auktorisering för publicerade program.
Anteckning
Proxy för webbprogram Du kan också vidarekopplad förautentisering där du kan publicera program som inte kräver förautentisering eller vars klienter stöder inte funktioner för autentisering.
Autentisera användare och enheter
När du publicerar program via Proxy för webbprogram, processen som användare och enheter autentiseras innan de får tillgång till program kallas förautentisering.Proxy för webbprogram stöder två typer av förautentisering:
AD FS förautentisering – när du använder AD FS för förautentisering kan användaren krävs för att autentisera till den AD FS -servern innan Proxy för webbprogram omdirigeras användaren till det publicerade webbprogrammet. Detta garanterar att all trafik till din publicerade webbprogram autentiseras.
Vidarekopplad förautentisering – användarna behöver inte ange autentiseringsuppgifter innan de kan ansluta till publicerade webbprogram.
Anteckning
Vidarekopplad förautentisering påverkar inte om ett program kräver att användaren ange autentiseringsuppgifter för programmet. Kräver inte användare att ange autentiseringsuppgifter för att komma åt företagets nätverk som inte är ett program som har konfigurerats med vidarekopplad förautentisering, men kan kräva att användarna att ange autentiseringsuppgifter för att visa innehållet för programmet.
Enkelt åtkomst till program som publicerats av Proxy för webbprogram, och använda AD FS förautentisering slutanvändarna ska använda någon av följande klienter:
Alla klienter som har stöd för HTTP-omdirigeringar; till exempel en webbläsare.Proxy för webbprogram Utför lämplig åtgärd för inkommande begäran om att omdirigera användaren till en adress för autentisering och tillbaka till den ursprungliga webbadressen, med bevis för autentisering.
Rich-klienter som använder HTTP grundläggande, till exempel Exchange ActiveSync.
Alla klienter som använder MSOFBA; till exempel Word, Excel och PowerPoint. I så fall måste försöker en användare komma åt ett dokument från listan senast använda dokument som är lagrad på en server i företagsnätverket.
Windows Store-appar och RESTful program med klienter som använder Internet Authentication Service Broker för autentisering. En användare kan öppna en app på sin enhet som hämtar ett token från AD FS via Internet Authentication Service Broker, och inkluderar denna token i HTTP-autentiseringshuvud i efterföljande förfrågningar till appen.
Anteckning
Beroende på klienten används för åtkomst till det publicerade programmet Proxy för webbprogram bestämmer sig för att behandla begäran.
Funktioner för autentisering
När du använder AD FS för autentisering, du också utnyttja alla funktioner som AD FS ger:
Arbetsplats – det här är en ny funktion i AD FS i Windows Server 2012 R2. Den tillåter användare att ansluta enheter till arbetsplatsen skulle normalt sett inte domänanslutna; personliga bärbara datorer, surfplattor och Smartphone. När den här funktionen är aktiverad på AD FS -administratören kan konfigurera alla program eller enskilda program kräver enheter registreras innan de kan komma åt publicerade program. Mer information finns i Ansluta till arbetsytan från valfri enhet för SSO och sömlös second-factorautentisering för företagets program.
Enkel inloggning – det här kan du ange autentiseringsuppgifter en gång och autentiseras alla publicerade program som stöds. Se Ansluta till arbetsytan från valfri enhet för SSO och sömlös second-factorautentisering för företagets program.
Multifaktorautentisering (MFA) –AD FS kan konfigureras så att användare måste autentiseras med mer än en autentiseringsschema, till exempel ett engångslösenord eller ett smartkort. Se Hantera risker med ytterligare multifaktorautentisering för känsliga program.
Multi-Factor access control – åtkomstkontroll i AD FS implementeras med regler för krav som används för att utfärda ett tillstånd eller neka anspråk som avgör om en användare eller en grupp av användare ska kunna komma åt AD FS-skyddade resurser eller inte. Auktoriseringsregler kan endast anges för den beroende partens förtroenden. Alla ovanstående funktioner kan kombineras, vilket krävs för att göra strängare konfidentiell program eller ignoreras för mindre konfidentiell program. Se Hantera risker med villkorlig åtkomstkontroll.
När du publicerar program via Proxy för webbprogram du behöver inte konfigurera den AD FS autentiseringsfunktioner som nämns ovan. På så sätt kan du ge åtkomst till enheter som inte kan ansluta till arbetsplatsen eller ger ytterligare autentiseringsfaktorer, till exempel informationsdatorerna.
Teknisk översikt för Web Application Proxy
När du vill använda Proxy för webbprogram i din organisation, rekommenderar vi att du distribuerar din Proxy för webbprogram servrar bakom en brandvägg för klientdel att skilja den från Internet, eller mellan två brandväggar; en klientdel Brandvägg för att skilja den från Internet och en backend-Brandvägg för att skilja den från företagets nätverk. I den här topologin Proxy för webbprogram tillhandahåller ett skydd mot obehöriga användare som kommer från Internet. Inga andra servrar måste finnas i den här perimeternätverket. som inte är din AD FS servrar finns i företagsnätverket och endast kan nås Proxy för webbprogram med hjälp av inbyggda AD FS proxyfunktionalitet.
I följande diagram visas en vanlig topologi för distribution av Proxy för webbprogram i ett perimeternätverk mellan två brandväggar.
.jpeg "Topologin i Webbprogramproxy")
Web Application Proxy Configuration Storage
Den Proxy för webbprogram konfigurationen lagras på den AD FS servrar i din organisation, därför Proxy för webbprogram servrar kräver anslutning till den AD FS servrar. Dessutom när du har konfigurerat först Proxy för webbprogram server, kan du installera ytterligare Proxy för webbprogram servrar för att skapa en klusterdistribution. När du installerar rolltjänsten på den nya servern i klustret konfigurationen överförs automatiskt till den nya servern när du har slutfört den Proxy för webbprogram konfigurationsguiden.
Eftersom Proxy för webbprogram lagrar konfigurationen på den AD FS servrar som den har inga lokalt lagrade konfigurationsinformation.
Funktioner i AD FS-Proxy
Den Proxy för webbprogram rolltjänsten är också ett AD FS proxy. Det vill säga Proxy för webbprogram lyssnar på alla slutpunkterna som AD FS lyssnar på.Proxy för webbprogram även vidarebefordrar alla förfrågningar från Internet för att AD FS och svar från AD FS till Internet. Observera att den Proxy för webbprogram rolltjänsten ersätter den AD FS proxy roll.
Skapa en proxy i din organisation för federationstjänsten lägger till ytterligare säkerhet lager till din AD FS distribution. Överväg att distribuera Proxy för webbprogram i organisationens perimeternätverk när du vill:
Förhindra att externa klientdatorer direkt åtkomst till din AD FS servrar. Genom att distribuera en Proxy för webbprogram server i perimeternätverket du effektivt isolera din AD FS servrar.Proxy för webbprogram servrar har inte åtkomst till privata nycklar som används för att skapa token.
Ange ett bekvämt sätt att skilja upplevelsen av inloggning för användare som kommer från Internet till skillnad från användare som kommer från företagets nätverk med integrerad Windows-autentisering.
Hantera Web Application Proxy
Proxy för webbprogram använder ett antal verktyg och funktioner som tillhandahålls av Windows Server 2012 R2 så att du kan enkelt installera, distribuera och hantera den i ditt företag distributioner.
Proxy för webbprogram är en rolltjänst i Windows Server 2012 R2. Detta kan du enkelt installera Proxy för webbprogram i distributionen med Serverhanteraren eller Windows PowerShell.
Proxy för webbprogram är integrerat i konsolen Fjärråtkomsthantering så att du kan hantera dina Proxy för webbprogram servrar och andra tekniker för fjärråtkomst, till exempel DirectAccess och VPN från samma Remote Access Management-konsolen.
Proxy för webbprogram innehåller alla funktioner genom en uppsättning Windows PowerShell kommandon och en Windows Management Instrumentation (WMI) API.
Att underlätta felsökning, Proxy för webbprogram:
Skriver händelser till händelseloggen i Windows.
Exponerar ett antal prestandaräknare.
Har en särskild Best Practices Analyzer (BPA).
Samverkan med andra produkter för fjärråtkomst
Proxy för webbprogram är en rolltjänst i rollen fjärråtkomst i Windows Server 2012 R2. Du kan installera Proxy för webbprogram sida-vid-sida med fjärråtkomst i följande scenarier:
| DirectAccess | VPN | Proxy för webbprogram |
|---|---|---|
| Distribution i enskild server | Distribution i enskild server | Distribution i enskild server |
| Multisitedistribution | Distribution i flera servrar | Stöds inte på samma server |
| Stöds inte på samma server | Distribution i flera servrar | Distribution i flera servrar |
| Klusterdistribution1 | Distribution i flera servrar | Distribution i flera servrar2 |
Anteckning
1 – I en befintlig DirectAccess-klusterdistribution kan du installera Proxy för webbprogram endast med Windows PowerShell.
2 – I en befintlig distribution av flera Proxy för webbprogram-servrar kan du installera DirectAccess endast med Windows PowerShell.
Proxy för webbprogram innehåller program publishing, liknande till Forefront Unified åtkomst Gateway (UAG). Dock Proxy för webbprogram samverkar med andra servrar och tjänster för att ange en mer effektiv distribution. Detta hjälper dig att koncentrera dig på att konfigurera bara de nödvändiga delarna av din distribution. Vi rekommenderar att för alla nya distributioner där du vill publicera funktioner i programmet för scenarier som beskrivs ovan, bör du använda Proxy för webbprogram.