Applicazioni con caratteri jolly nel proxy dell'applicazione Microsoft Entra

In Microsoft Entra ID, la configurazione di un numero elevato di applicazioni locali può diventare rapidamente non gestibile e introduce rischi non necessari per gli errori di configurazione se molti di essi richiedono le stesse impostazioni. Con il proxy dell'applicazione Microsoft Entra, è possibile risolvere questo problema usando la pubblicazione di applicazioni con caratteri jolly per pubblicare e gestire più applicazioni contemporaneamente. Questa soluzione consente di:

  • Semplificare il carico amministrativo.
  • Ridurre il numero di potenziali errori di configurazione.
  • Accedere in modo sicuro ad altre risorse.

Questo articolo offre le informazioni necessarie per configurare la pubblicazione di applicazioni con carattere jolly nell'ambiente in uso.

Creare un'applicazione con carattere jolly

È possibile creare un'applicazione con carattere jolly (*) se è presente un gruppo di applicazioni con la stessa configurazione. Potenziali candidati per la creazione di un'applicazione con carattere jolly sono le applicazioni che condividono le impostazioni seguenti:

  • Il gruppo di utenti che possono accedere a tali applicazioni
  • Il metodo SSO
  • Il protocollo di accesso (http, https)

È possibile pubblicare applicazioni con caratteri jolly se il formato degli URL sia interni che esterni è il seguente:

http(s)://*.<domain>

Ad esempio: http(s)://*.adventure-works.com.

Anche se gli URL interni ed esterni possono usare domini diversi, la procedura consigliata è quella di usare lo stesso dominio. Quando si pubblica l'applicazione, viene visualizzato un errore se uno degli URL non contiene un carattere jolly.

La creazione di un'applicazione con carattere jolly è basata sullo stesso flusso di pubblicazione disponibile per tutte le altre applicazioni. L'unica differenza è che viene incluso un carattere jolly negli URL e potenzialmente nella configurazione SSO.

Prerequisiti

Per iniziare, assicurarsi di aver soddisfatto questi requisiti.

Domini personalizzati

Mentre i domini personalizzati sono facoltativi per tutte le altre applicazioni, per le applicazioni con carattere jolly costituiscono un prerequisito. Per creare domini personalizzati è necessario:

  1. Creare un dominio verificato in Azure.
  2. Caricare un certificato TLS/SSL nel formato PFX nel proxy dell'applicazione.

Può essere opportuno usare un certificato con carattere jolly corrispondente all'applicazione che si intende creare.

Per motivi di sicurezza, questo requisito è obbligatorio e non saranno supportati caratteri jolly per le applicazioni che non possono usare un dominio personalizzato per l'URL esterno.

Aggiornamenti del DNS

Quando si usano domini personalizzati, è necessario creare una voce DNS con un record CNAME per l'URL esterno ,ad esempio , *.adventure-works.comche punta all'URL esterno dell'endpoint proxy dell'applicazione. Per le applicazioni con caratteri jolly, il record CNAME deve puntare all'URL esterno pertinente:

<yourAADTenantId>.tenant.runtime.msappproxy.net

Per verificare la corretta configurazione del record CNAME, è possibile usare nslookup su uno degli endpoint di destinazione, ad esempio expenses.adventure-works.com. La risposta deve includere l'alias già menzionato (<yourAADTenantId>.tenant.runtime.msappproxy.net).

Uso dei gruppi di connettori assegnati a un'area del servizio cloud del proxy di applicazione diversa dall'area predefinita

Se sono installati connettori in aree diverse dall'area del tenant predefinita, è utile modificare l'area in cui è ottimizzato il gruppo di connettori per migliorare le prestazioni di accesso a queste applicazioni. Per altre informazioni, vedere Ottimizzare i gruppi di connettori per usare il servizio cloud proxy applicazione più vicino.

Se il gruppo di connettori assegnato all'applicazione con caratteri jolly usa un'area diversa rispetto all'area predefinita, sarà necessario aggiornare il record CNAME in modo che punti a un URL esterno specifico dell'area. Usare la tabella seguente per determinare l'URL pertinente:

Area assegnata dal connettore URL esterno
Asia <yourAADTenantId>.asia.tenant.runtime.msappproxy.net
Australia <yourAADTenantId>.aus.tenant.runtime.msappproxy.net
Europa <yourAADTenantId>.eur.tenant.runtime.msappproxy.net
America del Nord <yourAADTenantId>.nam.tenant.runtime.msappproxy.net

Considerazioni

Ecco alcune considerazioni da tenere in considerazione per le applicazioni con caratteri jolly.

Formati accettati

Per le applicazioni con carattere jolly, il campo URL interno deve contenere un valore con formato http(s)://*.<domain>.

Per l'URL interno, usare il formato http(s)://*.<dominio>

Quando si configura un valore nel campo URL esterno, è necessario usare il formato seguente: https://*.<custom domain>

Per l'URL esterno, usare il formato https://*.<dominio personalizzato>

Altre posizioni del carattere jolly, altre stringhe regex o caratteri jolly multipli non sono supportati e possono causare errori.

Esclusione di applicazioni dall'applicazione con carattere jolly

Per escludere un'applicazione da un'applicazione con carattere jolly, è possibile:

  • Pubblicare l'applicazione di eccezione come applicazione normale.
  • Abilitare il carattere jolly solo per applicazioni specifiche tramite le impostazioni DNS.

La pubblicazione di un'applicazione come applicazione normale è il metodo preferito per escludere un'applicazione da un'applicazione con carattere jolly. È necessario pubblicare le applicazioni escluse prima delle applicazioni con carattere jolly per garantire che le eccezioni vengano applicate fin dall'inizio. L'applicazione più specifica avrà sempre la precedenza. Un'applicazione pubblicata come budgets.finance.adventure-works.com ha la precedenza sull'applicazione *.finance.adventure-works.com, che a sua volta ha la precedenza sull'applicazione *.adventure-works.com.

È anche possibile limitare l'uso del carattere jolly ad applicazioni specifiche tramite la gestione del DNS. Come procedura consigliata, è necessario creare una voce CNAME contenente un carattere jolly e corrispondente al formato dell'URL esterno configurato. Tuttavia, è possibile in alternativa puntare gli URL di applicazioni specifiche sui caratteri jolly. Ad esempio, anziché *.adventure-works.com, puntare hr.adventure-works.com, expenses.adventure-works.com e travel.adventure-works.com individually su 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net.

Se si usa questa opzione, è necessaria anche un'altra voce CNAME per il valore AppId.domain, ad esempio 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com, che punti sullo stesso percorso. È possibile trovare l'AppId nella pagina delle proprietà dell'applicazione con caratteri jolly.

Impostazione dell'URL della home page del pannello App

L'applicazione con carattere jolly è rappresentata con un solo riquadro nel pannello App. Per impostazione predefinita, questo riquadro è nascosto. Per visualizzare il riquadro e consentire agli utenti di accedere a una pagina specifica:

  1. Seguire le linee guida per l'impostazione dell'URL di una home page.
  2. Impostare Show Application (Mostra applicazione) su true nella pagina delle proprietà dell'applicazione.

Delega vincolata Kerberos

Per le applicazioni che usano la delega vincolata Kerberos (KCD) come metodo SSO, il nome SPN elencato per il metodo SSO richiede un carattere jolly. Ad esempio, il nome dell'entità servizio può essere HTTP/*.adventure-works.com. È comunque necessario configurare i singoli nomi dell'entità servizio nei server back-end (ad esempio, HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).

Scenario 1: Applicazione con carattere jolly generica

In questo scenario sono presenti tre diverse applicazioni da pubblicare:

  • expenses.adventure-works.com
  • hr.adventure-works.com
  • travel.adventure-works.com

Tutte e tre le applicazioni:

  • Vengono usate da tutti gli utenti.
  • Usare i autenticazione di Windows integrati
  • Hanno le stesse proprietà.

È possibile pubblicare l'applicazione con caratteri jolly usando i passaggi descritti in Pubblicare applicazioni usando il proxy dell'applicazione Microsoft Entra. Questo scenario presuppone che:

  • Sia presente un tenant con l'ID seguente: aaaabbbb-0000-cccc-1111-dddd2222eeee
  • Sia stato configurato un dominio verificato con nome adventure-works.com
  • Sia stata creata una voce CNAME che punta *.adventure-works.com su 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net

Seguendo le procedure descritte è possibile creare un nuovo proxy dell'applicazione nel tenant. In questo esempio il carattere jolly è presente nei campi seguenti:

  • URL interno:

    Esempio: carattere jolly nell'URL interno

  • URL esterno:

    Esempio: carattere jolly nell'URL esterno

  • Nome dell'entità servizio dell'applicazione interna:

    Esempio: Carattere jolly nella configurazione del nome SPN

Con la pubblicazione dell'applicazione con carattere jolly è ora possibile accedere alle tre applicazioni passando agli URL che si conoscono (ad esempio, travel.adventure-works.com).

La configurazione implementa la struttura seguente:

Mostra la struttura implementata dalla configurazione di esempio

Color Descrizione
Blu Applicazioni pubblicate e visibili in modo esplicito nell'interfaccia di amministrazione di Microsoft Entra.
Grigio Le applicazioni a cui è possibile accedere tramite l'applicazione padre.

Scenario 2: Applicazione con carattere jolly generica con un'eccezione

In questo scenario, oltre alle tre applicazioni generiche, è presente un'altra applicazione, finance.adventure-works.com, che deve essere accessibile solo dal reparto finanziario. Con la struttura corrente, l'applicazione finanziaria è accessibile da tutti i dipendenti attraverso l'applicazione con carattere jolly. Per modificare questa impostazione, è necessario escludere l'applicazione dall'applicazione con carattere jolly configurando l'applicazione finanziaria come separata e dotata di autorizzazioni più restrittive.

Assicurarsi che esista un record CNAME che punti finance.adventure-works.com all'endpoint specifico dell'applicazione, specificato nella pagina proxy dell'applicazione per l'applicazione. Per questo scenario, finance.adventure-works.com punta a https://finance-awcycles.msappproxy.net/.

Secondo le procedure descritte, questo scenario richiede le impostazioni seguenti:

  • Nel campo URL interno è necessario impostare finance anziché un carattere jolly.

    Esempio: Impostare finance invece di un carattere jolly nell'URL interno

  • Nel campo URL esterno è necessario impostare finance anziché un carattere jolly.

    Esempio: Impostare finance anziché un carattere jolly nell'URL esterno

  • Nel campo Nome dell'entità servizio dell'applicazione interna è necessario impostare finance anziché un carattere jolly.

    Esempio: Impostare finance anziché un carattere jolly nella configurazione del nome SPN

Questa configurazione implementa lo scenario seguente:

Mostra la configurazione implementata dallo scenario di esempio

L'URL finance.adventure-works.com è specifico. L'URL *.adventure-works.com non è specifico. L'URL più specifico ha la precedenza. Gli utenti che accedono a finance.adventure-works.com sperimentano l'applicazione in base alle impostazioni specificate in Finance Resources. In questo caso, solo i dipendenti del reparto finanziario possono accedere a finance.adventure-works.com.

Se sono state pubblicate più applicazioni per il dominio finance e finance.adventure-works.com è un dominio verificato, è possibile pubblicare un'altra applicazione con carattere jolly *.finance.adventure-works.com. Poiché si tratta di un'applicazione più specifica rispetto alla generica *.adventure-works.com, ha la precedenza se un utente accede a un'applicazione del dominio finance.

Passaggi successivi