前言
https://ithelp.ithome.com.tw/articles/10213973
成本評估
Application Proxy 依下列定價面向計費:
Azure Active Directory 共有四種版本:Free、Office 365 應用程式版本、Premium P1 及 Premium P2。Azure 訂用帳戶即包含免費版。您可以透過 Microsoft Enterprise 合約、開放大量授權計劃與雲端方案提供者計劃取得 Premium 版本。
Azure 及 Office 365 訂閱者也可以線上購買 Azure Active Directory Premium P1 與 P2。於此處登入購買。
企業版本類型一次滿足
常見E1 / E3 / E5 功能比較(本次驗證為 E5 約NT$1,135.00 每個用戶/月)
總結上述功能需求需要以下任意授權才能開始使用
- Azure AD Premium P2
- Enterprise Mobility + Security (EMS) E5
- Microsoft 365 M5
Application Proxy Q&A
偵錯應用程式 Proxy 連接器如果異常問題如何著手
- 連接器問題流程圖
應用程式問題流程圖
服務架構
Application Proxy 透過 Azure AD 安全驗證模式對你所需的內/外部應用程式供"SSO"單一登入方式運行。
- 用戶端透過網站端點點選所需應用程式後,系統會將用戶導向到 Azure AD 驗證入口。
- 待用戶帳密驗證成功登入後,Azure AD 會對用戶端裝置發送暫時性的信任權杖。
- 用戶再將將權杖傳送到 Application Proxy,透過此服務來取出權杖的 UPN 和 SPN。進而要求傳送至 Application Proxy Connect 之中。
- 而如已設定 SSO 則 Connect 會代替用戶來對所需驗證的應用程式進行登入驗證。
- 最後透過 Application Proxy 回應 Connect 進而回傳給用戶來達到暢通使用應用程式的目的。
前置作業
- 測試可以透過免費 90 天的 Office 356 管道自行依條件申請即可.(此申請帳戶需要在 AAD為全域管理員權限)
- 或是直接透過建立此功能時提示啟用試用30天Azure AD Premium P2 版本,實務上 P1 版本即有此功能。
簡易實測環境
圖1. 想使用 Application Proxy 前需要有上述前置作業的授權已經啟用
圖2. 兩種皆可試用只是E5的免費試用管道有90天,而AAD P2只有30天,請自行斟酌
圖3. 示範就直接透過啟用AAD Premium P2授權
圖4. 開始針對所需的帳戶進行授權指派
圖5. 決定有哪些帳戶要用以及授權內的功能依需求刪減,預設就是全部勾選均能做測試
開始進行正式實驗,我希望把我的內部網站系統可以透過Azure來做驗證把關的動作
圖6. 請先下載Proxy Connector
圖7. 確定所能支援的OS版本無誤就下載此軟體
圖8. 找一台地端VM(我臨時用台DC來做連接服務),開始安裝
圖9. 安裝過程會要求Azure帳戶登入驗證
圖10. 驗證過了之後就會繼續安裝
圖11. 等待數分鐘安裝完成
圖12. 有另一台我地端的VM作為網站服務
圖13. 網站測試無誤
圖14. 新增要示範驗證的內部網站(URL如果不在自己肚子上請用完整FQDN)
PS:等等要測試請記住外部URL呈現的畫面是否就是帶入內部網站頁面
圖15. 完成後就會把此網站服務註冊上去
圖16. 註冊完畢後記得要先驗證是否能透過Proxy真的能連接開啟內部網站(點選開始應用程式)
圖17. 測試網站呈現畫面無誤
圖18. 改用Apps Panel登入也已經看到剛剛註冊的網站(Template-introspect)
圖19. 執行後就直接開啟網站沒有問題,這功能能有很多安全應用可以導入
Invisible computing 