Azure AD Application Proxy

  • Article

Po ukončení vývoje TMG a UAG existovaly dvě možnosti pro publikaci aplikací do Internetu (reverze proxy) – IIS ARR a Web Application Proxy v Windows 2012 R2.

Nyní se objevila třetí možnost Azure AD Application Proxy – reverze proxy as a service. To znamená, že můžeme využít pro publikaci OnPremises web aplikací Azure AD službu. Tato služba je součástí Azure AD Premium.

Architektura služby

Do interní sítě (LAN) je potřeba nainstalovat jeden nebo více „connectors“, které se připojí na Cloud službu a společně zajistí publikaci aplikací. „Connectors“ můžeme nainstalovat více pro dosažení rozložení zátěže a vysoké dostupnosti. Všechny „connectors“ musí mít spojení na interní publikované aplikace.

Z pohledu klienta se HTTP/S spojení ukončuje v MS Azure, tady se provede ověření pomocí Azure AD (volitelně). Pokud je vše v pořádku tak dojde k předání požadavku na jeden z „connectors“ a ten doručí požadovaná data cloud službě a ta následně doručí požadovaná data na klienta.

Je možné publikovat všechny webové http a https aplikace.

clip_image002

Hlavní výhody

Bezpečnost

„První na ráně“ je MS datacentrum – možné DDoS útoky a podobné záležitosti jsou směrovány do MS datacenter a nikoliv do prostředí zákazníka. Dále je možné využít např. Azure MFA pro více faktorové ověření i vůči OnPremises aplikacím, Azure AD bezpečností logy atp.

Uživatelský komfort

V rámci jednoho portálu je možné publikovat aplikace běžící v Azure, SaaS aplikace třetích stran i aplikace běžící na OnPremises infrastruktuře.

Jednoduchost nasazení

Typická implementace IIS ARR nebo WAP znamená instalace příslušné komponenty do DMZ a povolení komunikace na portu 80/443 z Internetu do DMZ a z DMZ do LAN. Pro implementaci Azure AD Application Proxy nic takového není potřeba, stačí pouze pokud má „connector“ povoleny příslušné porty směrem do Internetu. Žádná DMZ není vůbec potřeba!

Implementace

Co budeme potřebovat:

Azure subscription s Azure AD premium.

Windows 2012 R2 v rámci interní sítě pro instalaci „connectoru“. Tyto stroje musí mít povoleny minimálně tyto odchozí porty.

clip_image004

Postup implementace:

V Azure portálu povolíme Application Proxy. Toto je místo, kde můžeme centrálně na jednom místě povolit nebo zakázat publikaci aplikací. Pokud dojde k útoku na zdroje společnosti je možné rychle a jednoduše zakázat veškeré externí přístupy.

clip_image006

Dále z portálu stáhneme potřebný instalační balíček pro instalaci „connector“.

clip_image008

Spustíme instalaci

clip_image010

Connector musíme zaregistrovat. Účet pod, kterým budeme registrovat musí být globální admin v Azure AD, musí mít přidělenu licenci Azure AD Premium a nesmí to být Microsoft Account (LiveID).

clip_image012

clip_image014

Po úspěšném dokončení instalace „connectors“ můžeme v Azure portálu publikovat aplikaci.

Vybereme příslušné Azure AD – Applications - Add

clip_image016

V dalším kroku vybereme třetí možnost

clip_image018

Zadáme jméno publikované aplikace

clip_image020

V posledním kroku zadáme, zda požadujeme preauthentication a Internal URL. Externí URL je generováno automaticky.

clip_image022

Na závěr přiřadíme aplikaci uživateli nebo skupině uživatelů

clip_image024

Provedeme test

Zkusíme přistoupit na adresu https://exchange2010-czcloud.msappproxy.net/owa

Musíme se ověřit pomocí Azure AD účtu

clip_image026

A můžeme se zalogovat k OnPremises aplikaci – v tomto případě Exchange 2010.

clip_image028

Takto může vypadat aplikační portál – kombinace MS/Azure, SaaS aplikace třetích stran a publikované OnPremises aplikace

clip_image030

Co se připravuje

  • Custom domain publishing – např. app.contoso.com
  • Monitoring a správa „connectors“ z Azure portálu
  • Možnost publikace aplikací pomocí specifického „connector“
  • Rozšířený monitoring a auditing

- Ondřej Štefka, Microsoft