Jokerteckenprogram i Microsoft Entra-programproxyn
I Microsoft Entra-ID kan det snabbt bli ohanterligt att konfigurera ett stort antal lokala program och medför onödiga risker för konfigurationsfel om många av dem kräver samma inställningar. Med Microsoft Entra-programproxy kan du åtgärda problemet med hjälp av jokerteckenprogrampublicering för att publicera och hantera många program samtidigt. Det här är en lösning som gör att du kan:
- Förenkla dina administrativa kostnader
- Minska antalet potentiella konfigurationsfel
- Gör det möjligt för användarna att på ett säkert sätt komma åt fler resurser
Den här artikeln innehåller den information du behöver för att konfigurera publicering av jokerteckenprogram i din miljö.
Skapa ett jokerteckenprogram
Du kan skapa ett jokerteckenprogram (*) om du har en grupp program med samma konfiguration. Potentiella kandidater för ett jokerteckenprogram är program som delar följande inställningar:
- Gruppen med användare som har åtkomst till dem
- SSO-metoden
- Åtkomstprotokollet (http, https)
Du kan publicera program med jokertecken om både interna och externa URL:er har följande format:
http(s)://*.<domän>
Exempel: http(s)://*.adventure-works.com.
Även om de interna och externa URL:erna kan använda olika domäner bör de enligt bästa praxis vara desamma. När du publicerar programmet visas ett fel om någon av URL:erna inte har något jokertecken.
Att skapa ett jokerteckenprogram baseras på samma programpubliceringsflöde som är tillgängligt för alla andra program. Den enda skillnaden är att du inkluderar ett jokertecken i URL:erna och eventuellt SSO-konfigurationen.
Förutsättningar
Kom igång genom att kontrollera att du uppfyller dessa krav.
Anpassade domäner
Anpassade domäner är valfria för alla andra program, men de är en förutsättning för jokerteckenprogram. När du skapar anpassade domäner måste du:
- Skapa en verifierad domän i Azure.
- Ladda upp ett TLS/SSL-certifikat i PFX-format till programproxyn.
Du bör överväga att använda ett jokerteckencertifikat för att matcha det program som du planerar att skapa.
Av säkerhetsskäl är detta ett hårt krav och vi stöder inte jokertecken för program som inte kan använda en anpassad domän för den externa URL:en.
DNS-uppdateringar
När du använder anpassade domäner måste du skapa en DNS-post med en CNAME-post för den externa URL:en (till exempel *.adventure-works.com) som pekar på den externa URL:en för programproxyslutpunkten. För jokerteckenprogram måste CNAME-posten peka på relevant extern URL:
<yourAADTenantId>.tenant.runtime.msappproxy.net
För att bekräfta att du har konfigurerat CNAME korrekt kan du använda nslookup på en av målslutpunkterna, till exempel expenses.adventure-works.com. Ditt svar bör innehålla det redan nämnda aliaset (<yourAADTenantId>.tenant.runtime.msappproxy.net).
Använda anslutningsgrupper som tilldelats en annan molntjänstregion för programproxy än standardregionen
Om du har anslutningsappar installerade i regioner som skiljer sig från din standardklientregion är det fördelaktigt att ändra vilken region din anslutningsgrupp är optimerad för för att förbättra prestandaåtkomsten till dessa program. Mer information finns i Optimera anslutningsgrupper för att använda närmaste molntjänst för programproxy.
Om anslutningsgruppen som tilldelats jokerteckenprogrammet använder en annan region än din standardregion måste du uppdatera CNAME-posten så att den pekar på en regional specifik extern URL. Använd följande tabell för att fastställa relevant URL:
| Anslutningsapp tilldelad region | Extern URL |
|---|---|
| Asien | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
| Australien | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
| Europa | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
| Nordamerika | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Att tänka på
Här följer några överväganden som du bör ta hänsyn till för jokerteckenprogram.
Godkända format
För jokerteckenprogram måste den interna URL:en formateras som http(s)://*.<domain>.
När du konfigurerar en extern URL måste du använda följande format: https://*.<custom domain>
Andra positioner i jokertecknet, flera jokertecken eller andra regexsträngar stöds inte och orsakar fel.
Exkluderande program från jokertecknet
Du kan exkludera ett program från jokerteckenprogrammet genom att
- Publicera undantagsprogrammet som vanligt program
- Aktivera jokertecknet endast för specifika program via dns-inställningarna
Att publicera ett program som vanligt program är den bästa metoden för att undanta ett program från ett jokertecken. Du bör publicera de exkluderade programmen innan jokerteckenprogrammen för att säkerställa att dina undantag tillämpas från början. Det mest specifika programmet har alltid företräde – ett program som publiceras som budgets.finance.adventure-works.com har företräde framför programmet *.finance.adventure-works.com, som i sin tur har företräde framför programmet *.adventure-works.com.
Du kan också begränsa jokertecknet till att endast fungera för specifika program via DNS-hanteringen. Vi rekommenderar att du skapar en CNAME-post som innehåller ett jokertecken och matchar formatet för den externa URL som du har konfigurerat. Du kan dock i stället peka specifika program-URL:er till jokertecken. I stället för *.adventure-works.com, peka hr.adventure-works.comoch expenses.adventure-works.com travel.adventure-works.com individually till 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net.
Om du använder det här alternativet behöver du också en annan CNAME-post för värdet AppId.domain, till exempel 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com, som också pekar på samma plats. Du hittar AppId på sidan för programegenskaper i jokerteckenprogrammet.
Ange startsidans URL för panelen MyApps
Jokerteckenprogrammet representeras med bara en panel i Panelen MyApps. Som standard är den här panelen dold. Så här visar du panelen och får användarna att landa på en specifik sida:
- Följ riktlinjerna för att ange en webbadress till startsidan.
- Ange Visa program till sant på sidan för programegenskaper.
Kerberos-begränsad delegering
För program som använder kerberos-begränsad delegering (KCD) som SSO-metod behöver SPN som anges för SSO-metoden ett jokertecken. SPN kan till exempel vara: HTTP/*.adventure-works.com. Du måste fortfarande ha de enskilda SPN:erna konfigurerade på serverdelsservrarna (till exempel HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).
Scenario 1: Allmänt jokerteckenprogram
I det här scenariot har du tre olika program som du vill publicera:
expenses.adventure-works.comhr.adventure-works.comtravel.adventure-works.com
Alla tre programmen:
- Används av alla dina användare
- Använda integrerad Windows-autentisering
- Ha samma egenskaper
Du kan publicera jokerteckenprogrammet med hjälp av stegen som beskrivs i Publicera program med hjälp av Microsoft Entra-programproxy. Det här scenariot förutsätter:
- En klientorganisation med följande ID:
aaaabbbb-0000-cccc-1111-dddd2222eeee - En verifierad domän med namnet
adventure-works.comhar konfigurerats. - En CNAME-post som pekar på
*.adventure-works.com00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.nethar skapats.
Efter de dokumenterade stegen skapar du ett nytt programproxyprogram i klientorganisationen. I det här exemplet finns jokertecknet i följande fält:
Intern URL:
Extern URL:
Internt program-SPN:
Genom att publicera jokerteckenprogrammet kan du nu komma åt dina tre program genom att navigera till de URL:er som du är van vid (till exempel travel.adventure-works.com).
Konfigurationen implementerar följande struktur:
| Färg | beskrivning |
|---|---|
| Blått | Program som uttryckligen har publicerats och synligt i administrationscentret för Microsoft Entra. |
| Grått | Program som du kan komma åt via det överordnade programmet. |
Scenario 2: Allmänt jokerteckenprogram med undantag
I det här scenariot har du utöver de tre allmänna programmen ett annat program, , finance.adventure-works.comsom endast ska vara tillgängligt för Ekonomi-divisionen. Med den aktuella programstrukturen skulle ditt ekonomiprogram vara tillgängligt via jokerteckenprogrammet och av alla anställda. Om du vill ändra detta undantar du ditt program från jokertecknet genom att konfigurera Finance som ett separat program med mer restriktiva behörigheter.
Kontrollera att det finns en CNAME-post som pekar finance.adventure-works.com på den programspecifika slutpunkten, som anges på programproxysidan för programmet. I det här scenariot finance.adventure-works.com pekar på https://finance-awcycles.msappproxy.net/.
Efter de dokumenterade stegen kräver det här scenariot följande inställningar:
I den interna URL:en anger du ekonomi i stället för ett jokertecken.
I den externa URL:en anger du ekonomi i stället för ett jokertecken.
Internt program-SPN som du anger ekonomi i stället för ett jokertecken.
Den här konfigurationen implementerar följande scenario:
URL:en finance.adventure-works.com är specifik. URL:en *.adventure-works.com är inte specifik. Den mer specifika URL:en har företräde. Användare som navigerar för att finance.adventure-works.com få den erfarenhet som anges i programmet Ekonomiresurser. I det här fallet kan endast ekonomianställda komma åt finance.adventure-works.com.
Om du har flera program publicerade för ekonomi och du har finance.adventure-works.com som en verifierad domän kan du publicera ett annat jokerteckenprogram *.finance.adventure-works.com. Eftersom detta är mer specifikt än det allmänna *.adventure-works.comhar det företräde om en användare kommer åt ett program i ekonomidomänen.
Nästa steg
- Mer information om anpassade domäner finns i Arbeta med anpassade domäner i Microsoft Entra-programproxy.
- Mer information om att publicera program finns i Publicera program med Microsoft Entra-programproxy