Huvudbaserad enkel inloggning (SSO) för lokala appar med Microsoft Entra-programproxy

Microsoft Entra-programproxy har inbyggt stöd för enkel inloggning (SSO) åtkomst till program som använder rubriker för autentisering. Du konfigurerar huvudvärden som krävs av ditt program i Microsoft Entra-ID. Huvudvärdena skickas till programmet via programproxy. Fördelar med att använda inbyggt stöd för huvudbaserad autentisering med programproxy är:

  • Förenkla fjärråtkomsten till dina lokala appar – Programproxy förenklar din befintliga fjärråtkomstarkitektur. Du ersätter VPN-åtkomst (Virtual Private Network) till dessa appar. Du tar bort beroenden för lokala identitetslösningar för autentisering. Du effektiviserar upplevelsen för användare och de märker inte något annat när de använder företagsprogram. Användare kan arbeta var som helst på valfri enhet.

  • Ingen extra programvara eller ändringar i dina appar – Du använder dina befintliga privata nätverksanslutningar. Ingen extra programvara krävs.

  • Bred lista över tillgängliga attribut och transformeringar – Alla tillgängliga huvudvärden baseras på standardanspråk som utfärdas av Microsoft Entra-ID. Alla attribut och transformeringar som är tillgängliga för att konfigurera anspråk för SAML-program (Security Assertion Markup Language) eller OpenID Anslut(OIDC) är också tillgängliga som huvudvärden.

Förutsättningar

Aktivera programproxy och installera en anslutningsapp som har direkt nätverksåtkomst till dina program. Mer information finns i Lägga till ett lokalt program för fjärråtkomst via programproxy.

Funktioner som stöds

Tabellen innehåller vanliga funktioner som krävs för huvudbaserade autentiseringsprogram.

Krav Beskrivning
Federerad enkel inloggning I förautentiserat läge skyddas alla program med Microsoft Entra-autentisering och användarna har enkel inloggning.
Fjärråtkomst Programproxy ger fjärråtkomst till appen. Användare får åtkomst till programmet från Internet i alla webbläsare med hjälp av den externa url:en (Uniform Resource Locator). Programproxy är inte avsedd för allmän företagsåtkomst. Allmän företagsåtkomst finns i Microsoft Entra privatåtkomst.
Huvudbaserad integrering Programproxy hanterar SSO-integrering med Microsoft Entra-ID och skickar sedan identiteter eller andra programdata som HTTP-huvuden till programmet.
Programauktorisering Vanliga principer anges baserat på programmet som används, användarens gruppmedlemskap och andra principer. I Microsoft Entra-ID implementeras principer med villkorlig åtkomst. Principer för programauktorisering gäller endast för den första autentiseringsbegäran.
Uppgraderingsautentisering Principer definieras för att tvinga tillagd autentisering, till exempel för att få åtkomst till känsliga resurser.
Detaljerad auktorisering Ger åtkomstkontroll på URL-nivå. Tillagda principer kan tillämpas baserat på den URL som används. Den interna URL:en som konfigurerats för appen definierar omfånget för den app som principen tillämpas på. Principen som konfigurerats för den mest detaljerade sökvägen tillämpas.

Kommentar

Den här artikeln beskriver anslutningen mellan huvudbaserade autentiseringsprogram och Microsoft Entra-ID med hjälp av programproxy och är det rekommenderade mönstret. Alternativt finns det ett integrationsmönster som använder PingAccess med Microsoft Entra-ID för att aktivera rubrikbaserad autentisering. Mer information finns i Rubrikbaserad autentisering för enkel inloggning med programproxy och PingAccess.

Hur det fungerar

Så här fungerar rubrikbaserad enkel inloggning med programproxy.

  1. Administratören anpassar de attributmappningar som krävs av programmet i administrationscentret för Microsoft Entra.
  2. Programproxy säkerställer att en användare autentiseras med Hjälp av Microsoft Entra-ID.
  3. Molntjänsten för programproxy känner till vilka attribut som krävs. Tjänsten hämtar alltså motsvarande anspråk från den ID-token som togs emot under autentiseringen. Tjänsten översätter sedan värdena till nödvändiga HTTP-huvuden som en del av begäran till anslutningsprogrammet.
  4. Begäran skickas sedan vidare till anslutningsprogrammet, som sedan skickas till serverdelsprogrammet.
  5. Programmet tar emot huvudena och kan använda dessa huvuden efter behov.

Publicera programmet med programproxy

  1. Publicera programmet enligt anvisningarna i Publicera program med programproxy.

    • Det interna URL-värdet avgör programmets omfång. Du konfigurerar det interna URL-värdet i programmets rotsökväg och alla undersökvägar under roten får samma huvud och programkonfiguration.
    • Skapa ett nytt program för att ange en annan huvudkonfiguration eller användartilldelning för en mer detaljerad sökväg än det program som du konfigurerade. I det nya programmet konfigurerar du den interna URL:en med den specifika sökväg du behöver och konfigurerar sedan de specifika rubriker som behövs för den här URL:en. Programproxyn matchar alltid dina konfigurationsinställningar med den mest detaljerade sökvägen som angetts för ett program.
  2. Välj Microsoft Entra-ID som förautentiseringsmetod.

  3. Tilldela en testanvändare genom att gå till Användare och grupper och tilldela lämpliga användare och grupper.

  4. Öppna en webbläsare och navigera till den externa URL:en från inställningarna för programproxyn.

  5. Kontrollera att du kan ansluta till programmet. Även om du kan ansluta kan du inte komma åt appen ännu eftersom rubrikerna inte har konfigurerats.

Konfigurera enkel inloggning

Innan du kommer igång med enkel inloggning för huvudbaserade program installerar du en privat nätverksanslutning. Anslutningsappen måste kunna komma åt målprogrammen. Mer information finns i Självstudie: Microsoft Entra-programproxy.

  1. När programmet visas i listan över företagsprogram väljer du det och väljer Enkel inloggning.
  2. Ange läget för enkel inloggning till Rubrikbaserad.
  3. I Grundläggande konfiguration är Microsoft Entra-ID valt som standard.
  4. Välj redigeringspennan i Rubriker för att konfigurera rubriker som ska skickas till programmet.
  5. Välj Lägg till nytt huvud. Ange ett namn för rubriken och välj antingen Attribut eller Transformering och välj i listrutan vilket huvud programmet behöver.
  6. Välj Spara.

Testa din app

Programmet körs nu och är tillgängligt. Så här testar du appen:

  1. Rensa tidigare cachelagrade rubriker genom att öppna en ny webbläsare eller ett privat webbläsarfönster.
  2. Gå till den externa URL:en. Den här inställningen visas som extern URL i inställningarna för programproxy.
  3. Logga in med det testkonto som du tilldelade appen.
  4. Bekräfta att du kan läsa in och logga in i programmet med enkel inloggning.

Att tänka på

  • Programproxy ger fjärråtkomst till appar lokalt eller i ett privat moln. Programproxy rekommenderas inte för trafik som kommer från samma nätverk som det avsedda programmet.
  • Åtkomst till huvudbaserade autentiseringsprogram bör begränsas till endast trafik från anslutningsappen eller någon annan tillåten huvudbaserad autentiseringslösning. Åtkomstbegränsning utförs ofta med hjälp av en brandvägg eller IP-begränsning på programservern.

Nästa steg