Applicazioni con caratteri jolly nel proxy dell'applicazione Microsoft Entra
In Microsoft Entra ID, la configurazione di un numero elevato di applicazioni locali può diventare rapidamente non gestibile e introduce rischi non necessari per gli errori di configurazione se molti di essi richiedono le stesse impostazioni. Con il proxy dell'applicazione Microsoft Entra, è possibile risolvere questo problema usando la pubblicazione di applicazioni con caratteri jolly per pubblicare e gestire più applicazioni contemporaneamente. Questa soluzione consente di:
- Semplificare il carico amministrativo.
- Ridurre il numero di potenziali errori di configurazione.
- Accedere in modo sicuro ad altre risorse.
Questo articolo offre le informazioni necessarie per configurare la pubblicazione di applicazioni con carattere jolly nell'ambiente in uso.
È possibile creare un'applicazione con carattere jolly (*) se è presente un gruppo di applicazioni con la stessa configurazione. Potenziali candidati per la creazione di un'applicazione con carattere jolly sono le applicazioni che condividono le impostazioni seguenti:
- Il gruppo di utenti che possono accedere a tali applicazioni
- Il metodo SSO
- Il protocollo di accesso (http, https)
È possibile pubblicare applicazioni con caratteri jolly se il formato degli URL sia interni che esterni è il seguente:
http(s)://*.<domain>
Ad esempio: http(s)://*.adventure-works.com
.
Anche se gli URL interni ed esterni possono usare domini diversi, la procedura consigliata è quella di usare lo stesso dominio. Quando si pubblica l'applicazione, viene visualizzato un errore se uno degli URL non contiene un carattere jolly.
La creazione di un'applicazione con carattere jolly è basata sullo stesso flusso di pubblicazione disponibile per tutte le altre applicazioni. L'unica differenza è che viene incluso un carattere jolly negli URL e potenzialmente nella configurazione SSO.
Per iniziare, assicurarsi di aver soddisfatto questi requisiti.
Mentre i domini personalizzati sono facoltativi per tutte le altre applicazioni, per le applicazioni con carattere jolly costituiscono un prerequisito. Per creare domini personalizzati è necessario:
- Creare un dominio verificato in Azure.
- Caricare un certificato TLS/SSL nel formato PFX nel proxy dell'applicazione.
Può essere opportuno usare un certificato con carattere jolly corrispondente all'applicazione che si intende creare.
Per motivi di sicurezza, questo requisito è obbligatorio e non saranno supportati caratteri jolly per le applicazioni che non possono usare un dominio personalizzato per l'URL esterno.
Quando si usano domini personalizzati, è necessario creare una voce DNS con un record CNAME per l'URL esterno ,ad esempio , *.adventure-works.com
che punta all'URL esterno dell'endpoint proxy dell'applicazione. Per le applicazioni con caratteri jolly, il record CNAME deve puntare all'URL esterno pertinente:
<yourAADTenantId>.tenant.runtime.msappproxy.net
Per verificare la corretta configurazione del record CNAME, è possibile usare nslookup su uno degli endpoint di destinazione, ad esempio expenses.adventure-works.com
. La risposta deve includere l'alias già menzionato (<yourAADTenantId>.tenant.runtime.msappproxy.net
).
Uso dei gruppi di connettori assegnati a un'area del servizio cloud del proxy di applicazione diversa dall'area predefinita
Se sono installati connettori in aree diverse dall'area del tenant predefinita, è utile modificare l'area in cui è ottimizzato il gruppo di connettori per migliorare le prestazioni di accesso a queste applicazioni. Per altre informazioni, vedere Ottimizzare i gruppi di connettori per usare il servizio cloud proxy applicazione più vicino.
Se il gruppo di connettori assegnato all'applicazione con caratteri jolly usa un'area diversa rispetto all'area predefinita, sarà necessario aggiornare il record CNAME in modo che punti a un URL esterno specifico dell'area. Usare la tabella seguente per determinare l'URL pertinente:
Area assegnata dal connettore | URL esterno |
---|---|
Asia | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
Australia | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
Europa | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
America del Nord | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Ecco alcune considerazioni da tenere in considerazione per le applicazioni con caratteri jolly.
Per le applicazioni con carattere jolly, il campo URL interno deve contenere un valore con formato http(s)://*.<domain>
.
Quando si configura un valore nel campo URL esterno, è necessario usare il formato seguente: https://*.<custom domain>
Altre posizioni del carattere jolly, altre stringhe regex o caratteri jolly multipli non sono supportati e possono causare errori.
Per escludere un'applicazione da un'applicazione con carattere jolly, è possibile:
- Pubblicare l'applicazione di eccezione come applicazione normale.
- Abilitare il carattere jolly solo per applicazioni specifiche tramite le impostazioni DNS.
La pubblicazione di un'applicazione come applicazione normale è il metodo preferito per escludere un'applicazione da un'applicazione con carattere jolly. È necessario pubblicare le applicazioni escluse prima delle applicazioni con carattere jolly per garantire che le eccezioni vengano applicate fin dall'inizio. L'applicazione più specifica avrà sempre la precedenza. Un'applicazione pubblicata come budgets.finance.adventure-works.com
ha la precedenza sull'applicazione *.finance.adventure-works.com
, che a sua volta ha la precedenza sull'applicazione *.adventure-works.com
.
È anche possibile limitare l'uso del carattere jolly ad applicazioni specifiche tramite la gestione del DNS. Come procedura consigliata, è necessario creare una voce CNAME contenente un carattere jolly e corrispondente al formato dell'URL esterno configurato. Tuttavia, è possibile in alternativa puntare gli URL di applicazioni specifiche sui caratteri jolly. Ad esempio, anziché *.adventure-works.com
, puntare hr.adventure-works.com
, expenses.adventure-works.com
e travel.adventure-works.com individually
su 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net
.
Se si usa questa opzione, è necessaria anche un'altra voce CNAME per il valore AppId.domain
, ad esempio 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com
, che punti sullo stesso percorso. È possibile trovare l'AppId nella pagina delle proprietà dell'applicazione con caratteri jolly.
L'applicazione con carattere jolly è rappresentata con un solo riquadro nel pannello App. Per impostazione predefinita, questo riquadro è nascosto. Per visualizzare il riquadro e consentire agli utenti di accedere a una pagina specifica:
- Seguire le linee guida per l'impostazione dell'URL di una home page.
- Impostare Show Application (Mostra applicazione) su true nella pagina delle proprietà dell'applicazione.
Per le applicazioni che usano la delega vincolata Kerberos (KCD) come metodo SSO, il nome SPN elencato per il metodo SSO richiede un carattere jolly. Ad esempio, il nome dell'entità servizio può essere HTTP/*.adventure-works.com
. È comunque necessario configurare i singoli nomi dell'entità servizio nei server back-end (ad esempio, HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com
).
In questo scenario sono presenti tre diverse applicazioni da pubblicare:
expenses.adventure-works.com
hr.adventure-works.com
travel.adventure-works.com
Tutte e tre le applicazioni:
- Vengono usate da tutti gli utenti.
- Usare i autenticazione di Windows integrati
- Hanno le stesse proprietà.
È possibile pubblicare l'applicazione con caratteri jolly usando i passaggi descritti in Pubblicare applicazioni usando il proxy dell'applicazione Microsoft Entra. Questo scenario presuppone che:
- Sia presente un tenant con l'ID seguente:
aaaabbbb-0000-cccc-1111-dddd2222eeee
- Sia stato configurato un dominio verificato con nome
adventure-works.com
- Sia stata creata una voce CNAME che punta
*.adventure-works.com
su00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net
Seguendo le procedure descritte è possibile creare un nuovo proxy dell'applicazione nel tenant. In questo esempio il carattere jolly è presente nei campi seguenti:
URL interno:
URL esterno:
Nome dell'entità servizio dell'applicazione interna:
Con la pubblicazione dell'applicazione con carattere jolly è ora possibile accedere alle tre applicazioni passando agli URL che si conoscono (ad esempio, travel.adventure-works.com
).
La configurazione implementa la struttura seguente:
Color | Descrizione |
---|---|
Blu | Applicazioni pubblicate e visibili in modo esplicito nell'interfaccia di amministrazione di Microsoft Entra. |
Grigio | Le applicazioni a cui è possibile accedere tramite l'applicazione padre. |
In questo scenario, oltre alle tre applicazioni generiche, è presente un'altra applicazione, finance.adventure-works.com
, che deve essere accessibile solo dal reparto finanziario. Con la struttura corrente, l'applicazione finanziaria è accessibile da tutti i dipendenti attraverso l'applicazione con carattere jolly. Per modificare questa impostazione, è necessario escludere l'applicazione dall'applicazione con carattere jolly configurando l'applicazione finanziaria come separata e dotata di autorizzazioni più restrittive.
Assicurarsi che esista un record CNAME che punti finance.adventure-works.com
all'endpoint specifico dell'applicazione, specificato nella pagina proxy dell'applicazione per l'applicazione. Per questo scenario, finance.adventure-works.com
punta a https://finance-awcycles.msappproxy.net/
.
Secondo le procedure descritte, questo scenario richiede le impostazioni seguenti:
Nel campo URL interno è necessario impostare finance anziché un carattere jolly.
Nel campo URL esterno è necessario impostare finance anziché un carattere jolly.
Nel campo Nome dell'entità servizio dell'applicazione interna è necessario impostare finance anziché un carattere jolly.
Questa configurazione implementa lo scenario seguente:
L'URL finance.adventure-works.com
è specifico. L'URL *.adventure-works.com
non è specifico. L'URL più specifico ha la precedenza. Gli utenti che accedono a finance.adventure-works.com
sperimentano l'applicazione in base alle impostazioni specificate in Finance Resources. In questo caso, solo i dipendenti del reparto finanziario possono accedere a finance.adventure-works.com
.
Se sono state pubblicate più applicazioni per il dominio finance e finance.adventure-works.com
è un dominio verificato, è possibile pubblicare un'altra applicazione con carattere jolly *.finance.adventure-works.com
. Poiché si tratta di un'applicazione più specifica rispetto alla generica *.adventure-works.com
, ha la precedenza se un utente accede a un'applicazione del dominio finance.
- Per altre informazioni sui domini personalizzati, vedere Uso di domini personalizzati in Microsoft Entra application proxy.
- Per altre informazioni sulla pubblicazione di applicazioni, vedere Pubblicare applicazioni con il proxy dell'applicazione Microsoft Entra