2017-01-19

Azure Active Directory - Part 7 (使用 Azure AD 應用程式 Proxy 啟用 SSO)

Azure AD Proxy 可以讓原本只部署在公司內部網路的應用程式提供遠端存取的功能,而不用 VPN (虛擬私人網路),DMZ (非軍事區),Reverse Proxy (反向代理伺服器) 的建置與管理成本,甚至不需額外開放防火牆,是不是很吸引人,就來看看該怎麼其中的眉角吧

Azure Active Directory Premium 或 Basic 才能使用


運作方式

  • 在網路內部安裝 connector (一個簡易 Windows Server Service)
  • connector 有負載平衡功能,有多個同時使用
  • connector 是無狀態服務
  • 服務流程圖

    AAD connector

    1. user 透過 Azure AD Proxy 使用應用程式會被導向 Azure AD 進行驗證
    2. 驗證成功會取得 token
    3. user 使用 token 透過 Azure AD Proxy 存取, Azure AD Proxy 會將 request 導向 connector
    4. connector 會模擬使用者取得 Kerberos ticket (Kerberos 限制委派)
    5. 內網 AD 取得 Kerberos ticket
    6. 應用程式驗證並處理 request
    7. 將處理後的 response 透過 Azure AD Proxy 傳給 user

啟用 Azure AD Proxy

  • 必要條件:
    • Azure Active Directory Premium 或 Basic 訂閱,且需為全域管理者

    • Windows Server 2012 R2 或 Windows 8.1 以上

    • 開啟 Proxy 防火牆

      port 說明
      80 啟用 http 對外輸出(安全性驗證啟用)
      443 對 Azure AD 啟用使用者驗證 (只用在 connector 註冊)
      10100–10120 啟用傳送回 Proxy 的 LOB HTTP 回應
      9352、5671 為連入 request 啟用 connector 到 Azure 服務之間的通訊。
      9350 (非必要) 對連入 request 可有較佳效能
      8080 啟用 connector 開機順序以及 connector 自動更新 (NT Authority\System)
      9090 啟用 connector 註冊 (只有在連接器註冊程序才需要)
      9091 啟用 connector 信任憑證自動更新
  1. 啟用應用程式 Proxy
    • Azure 傳統入口網站
      • Active Directory --> 目錄

        7groupowner

      • 設定 --> 應用程式 Proxy

        1setting_proxy

      • 立即下載

        2download

        3downloadpage

    • Azure Portal
      • Azure Active Directory

        7AAD

      • 企業應用程式 --> 應用程式 Proxy --> 啟用

        14proxy

      • 連接器

        15connector

        3downloadpage

  2. 安裝 proxy connector
    • 2-1. 執行上列步驟所下載的 AADApplicationProxyConnectorInstaller.exe

      4install

      5install

    • 2-2. Azure AD 全域管理員登入

      6login

      • 注意 使用者的網域名稱 e.g. 目錄為 yowko.com 管理者就應為 {admin}@yowko.com 不是 yowko@gmail.com

        7wronguser

      • 正確

        8correct

    • 2-3. 執行 connector 問題檢查

      9troubleshooter

      10shooter

      11shooter

      12shooter

      13done

    • 2-4. 如需解除安裝,需移除 Microsoft AAD Application Proxy ConnectorMicrosoft AAD Application Proxy Connector Updater 兩個 service,然後重新開機

參考資料

  1. 如何為內部部署應用程式提供安全的遠端存取
  2. 在 Azure 入口網站中啟用應用程式 Proxy

沒有留言:

張貼留言