Anleitung: Azure AD Application Proxy einrichten

Der App Proxy ist ein Azure-Dienst, mit dem man für eine lokal betrie­bene Anwen­dung einen von außerhalb erreich­baren HTTPS-End­punkt in der Cloud ver­öffent­lichen kann. Der Cloud-Service er­fordert die Instal­lation eines on-prem-Connectors und bietet zahl­reiche Optionen, um den Zugriff auf die Anwen­dung zu regeln.

Den Cloud-Service für den App-Proxy aktiviert man im Azure Portal unter Entra ID => Anwendungs­proxy. Hier erhält man die Meldung, dass man Entra ID Premium oder eine Basic-Lizenz benötigt, wenn man die kostenlose Variante verwendet.


Unter diesem Menüpunkt gibt es die beiden Optionen Connectordienst herunterladen und App konfigurieren.

Connector für App Proxy herunterladen

Die Meldung Der Anwendungsproxy ist für Ihren Mandanten zurzeit deaktiviert und die Tatsache, dass die Schaltfläche Anwendungsproxy aktivieren ausgegraut ist, bedeutet nur, dass der Connector noch nicht auf mindestens einem Gerät in Ihrem Netzwerk installiert ist.

Connector installieren

Die sinnvollste Vorgehensweise für die Inbetriebnahme ist, den Connector auf demjenigen Member-Server in der lokalen Domäne herunterzuladen, auf dem er installiert werden soll (ein Client funktioniert nicht).

In meinem Lab verwende ich einen Domain Controller, in der Praxis sollte man das aber nicht tun. In einem produktiven Szenario empfiehlt es sich zudem, Konnektoren auf mehreren Servern bereitzustellen.

Unternehmensanwendung hinzufügen

Nach erfolgreicher Installation können Sie die gewünschte lokale Anwendung, welche die Voraussetzungen für den App Proxy erfüllt, im Dialog Fügen Sie Ihre eigene lokale Anwendung hinzu konfigurieren.

Sie brauchen dazu im simpelsten Fall einen Namen und eine interne URL (dazu muss lokal ein DNS-Name konfiguriert sein). Aus dieser wird dann die vorgeschlagene externe URL abgeleitet.

Für mein Beispiel verwende ich die Web-basierte Konsole eines Synology-NAS (DSM). Diese muss von dem Server aus erreichbar sein, auf dem der Agent läuft.

Beim Parameter Vorauthentifizierung können Sie den Default-Eintrag Microsoft Entra ID übernehmen, um von der starken Entra-ID-Authentifizierung zu profitieren. Das gilt besonders dann, wenn die lokale Anwendung hier Schwächen aufweist.

Lokale App hinzufügen, die über den Proxy veröffentlicht werden soll

Damit ist zunächst nur gewährleistet, dass Ihre Benutzer bei der Anmeldung mit einem Entra-ID-Unter­nehmens­konto bis zur eigentlichen App gelangen, aber nicht, dass sich diese auch bei der App authen­tifizieren können. Diese könnte ja eventuell noch weitere Anforderungen stellen.

Bei einer modernen Web-Anwendung, die zum Beispiel Oauth oder SAML unterstützt, könnten Sie auch SSO mit der App-Registrierung verknüpfen. Der Vollständigkeit halber wäre hier noch der Eintrag Passthrough zu nennen, womit Sie aber auf alle Vorteile der Entra-ID-Vorab-Authenti­fizierung verzichten.

Sie müssen sich die veröffentlichte externe URL nicht merken, denn Sie finden sie später auch in der Konfiguration der neuen Unter­nehmens­anwendung in Entra ID wieder. Ein Klick auf Erstellen generiert diese zusammen mit der App-Registrierung und aktiviert den Dienst für den Anwendungsproxy in Entra ID.

Auf der Seite Connectors finden Sie anschließend eine neue Connectors-Gruppe namens Default, die den konfigurierten Connector auf unserem Windows Server enthält.

Ein erfolgreich in Betrieb genommener Connector für den App Proxy

Bei der angezeigten öffentlichen IP-Adresse handelt es sich um diejenige, über die der Connector nach außen kommuniziert. Bei einer NAT-Umgebung wäre das die IP-Adresse des Routers.

Unternehmensanwendung an Benutzer zuweisen

Nach dem Hinzufügen einer lokalen Anwendung im Anwendungsproxy-Dienst finden Sie im Entra ID-Portal eine neue Unter­nehmens­anwendung mit der zugehörigen App-Registrierung.

Das Web-Interface von Synology DSM als im Entra ID registrierte Unter­nehmens­anwendung

Hier könnten Sie jetzt direkt von der Übersichtsseite ausgehend der App Benutzer zuweisen oder weitere Features wie SSO oder den bedingten Zugriff einrichten.

Genau wie im Entra ID-Portal finden Sie auch hier ein Untermenü mit dem Namen Anwendungs­proxy. Hier können Sie die bei der Bereitstellung konfigurierte interne URL kontrollieren oder die externe URL vom Typ <aad-domain-name>.msappproxy.net abrufen. Haben Sie in Entra ID einen benutzerdefinierten Domänennamen registriert, könnten Sie auch diesen als Suffix nutzen.

Sie finden hier außerdem sämtliche Einstellungen wieder, die Sie bei der Bereitstellung getätigt haben, etwa zur Vorauthentifizierung, die zugehörige Connector-Gruppe und ggf. das SSL-Zertifikat. Außerdem können Sie Ihre Anwendung von hier in den Wartungsmodus versetzen.

Die Einstellungen für den Anwendungsproxy einer Unternehmensanwendung

Im Menü Eigenschaften Ihrer Unter­nehmens­anwendung können Sie erkennen, dass der Schiebeschalter bei Aktiviert für die Benutzeranmeldung standardmäßig auf Ja gestellt ist. Dadurch können nur Benutzer auf diese App zugreifen, denen Sie diese explizit zugewiesen haben. Das sollte für die meisten Unternehmen das gewünschte Verhalten sein. Mit der Option Nein hätte niemand in Ihrer Organisation Zugriff.

Um der App Benutzer zuzuweisen, navigieren Sie zum Menü Benutzer und Gruppen und wählen dort den oder die gewünschten Benutzer und oder Gruppen aus.

Benutzer zur Unternehmensanwendung zuweisen

Zur Überprüfung öffnen Sie in der Entra-ID-Benutzerverwaltung das Blade des Users und wechseln zu Anwendungen.

Alle einem bestimmten Nutzer zugewiesenen Anwendungen

Zugriff auf App testen

Sie können nun die Erreichbarkeit ihrer lokalen Anwendung mit Hilfe der externen URL testen.

Aufruf der lokalen App über die externe URL

Dabei wird zunächst die Entra-ID-Authentifizierung durchlaufen. Der Zugriff kann nicht nur durch direkte Navigation zur Anwendungs-URL (externe URL) erfolgen, sondern auch über die im Menü Eigenschaften angezeigte URL für den Benutzerzugriff. Der Nutzer findet seine Apps aber auch im Portal Meine Apps.

Berechtigte Apps tauchen je nach Konfiguration auch im myApplications-Portal des Nutzers auf.

In den Eigenschaften der Unter­nehmens­anwendung gibt es einen weiteren Schalter mit dem Namen Zuweisung erforderlich, der per Default auf Ja steht. In diesem Fall muss der Benutzer diese Anwendung zugewiesen bekommen, bevor er darauf zugreifen kann.

Alle Einstellungen für eine Unternehmensanwendung

Bei Nein könnten sich alle Benutzer Ihrer Organisation anmelden und sogar andere Apps bzw. Dienste könnten das Zugriffs-Token abrufen. Die Option wirkt sich aber nicht darauf aus, ob eine Anwendung im Portal Meine Apps sichtbar ist oder nicht. Dort erscheint sie definitiv nur, wenn sie einem Benutzer oder einer Gruppe zugewiesen wurde.

Wirksam ist die Option zudem nur für Apps, die in der Unter­nehmens­anwendung unter Einmaliges Anmelden einen der folgenden SSO-Modi konfiguriert haben:

  • SAML
  • OpenID Connect
  • OAuth 2.0
  • WS-Verbund für die Benutzeranmeldung

Außerdem greift sie für Anwendungen mit aktivierter Azure AD-Vorauthentifizierung sowie bei solchen, für die andere Anwendungen oder Dienste Zugriffs-Token anfordern.

Die Option hat keine Auswirkungen auf den Zugriff der Benutzer auf die App, wenn die Anwendung für einen anderen Modus für Single Sign-On konfiguriert ist. Wir haben für unsere Synology-Demo-App bisher keinen SSO-Modus konfiguriert.

Ganz unten im Menü Eigenschaften gibt es schließlich noch die Option Für Benutzer sichtbar. Sie ist dafür verantwortlich, dass die zugewiesenen Benutzer die Anwendung in Meine Apps und im O365-App-Startfeld sehen.

Mit Nein können zugewiesene Benutzer die App immer noch über die direkte URL zugreifen, aber nicht mehr in ihrem Portal sehen. Schließlich können Sie hier noch ein individuelles Logo für jede App festlegen.

Zusammenfassung

Microsoft positioniert den App Proxy als Alternative zu einem VPN. Im Vergleich zu diesem bietet es einige Vorteile, darunter die starken Authentifizierungs­verfahren des Azure AD und die Absicherung des Zugriffs über Conditional Access.

Um den Dienst in Betrieb nehmen zu können, muss der Connector zumindest auf einem Server im lokalen Netzwerk installiert werden. Die konfigurierten Anwendungen erhalten dann eine externe URL, die je nach Konfiguration zu einer Vor-Authentifizierung führt.

Nach der Einrichtung einer App bietet der App Proxy zahlreiche Optionen für die Zuweisung der Anwendung an Benutzer und die Steuerung des Zugriffs.

Source link

Loading...