fbpx

Blog: Azure AD Application Proxy

Anyplace, anytime, anywhere. Een beetje moderne (web)applicatie conformeert zich wel aan die drie keywoorden. Maar wat nou als je een webapplicatie hebt die on-premise wordt gehost? Hoe zorg je ervoor dat je eindgebruikers ook bij die applicatie kunnen, ook terwijl ze bijvoorbeeld op hun iPad of privé laptop zitten? Door: Roel Everink Azure AD Application Proxy doet precies dat! Het kan je on-premise webapplicaties ontsluiten via het Internet. En het beste is nog wel dat dit mogelijk is zonder inbound firewall poorten te openen. En als je applicatie het ondersteunt kan er ook gebruik worden gemaakt van Single Sign-on met Azure AD als pre-authenticatie provider. Hiervoor moet er een agent geïnstalleerd worden op een on-premise server, die een verbinding opzet van binnen naar buiten. Net zoals bij Azure Active Directory pass-through authenticatie. Deze zijn ook goed met elkaar te combineren: aanmelden op Azure AD middels pass-through authenticatie, om vervolgens via Azure AD Application Proxy en de agent single sign-on in te loggen op je on-premise webapplicaties. Het verschil met pass-through authenticatie is dat die agent wordt gebruikt om gebruikers met on-premise credentials te authenticeren bij Azure AD. De Azure AD Application Proxy agent wordt gebruikt voor het doorsturen van je authenticatie verzoek naar een on-premise applicatie. En ja, dit is ook mogelijk met Active Directory Federation Services (ADFS). Maar voor een ADFS farm heb je al snel nodig: * 2 ADFS servers (voor redundancy) * 2 Web Application Servers (voor redundancy) * SQL server cluster * SSL Certificaten Met een Azure AD Application Proxy oplossing heb je enkel 2 servers (voor redundancy, want 1 is geen) nodig voor de Application Proxy Connector. Deze servers moeten verbinding kunnen maken naar de Application Proxy in de cloud (via TCP poorten 80 en 443), en naar de applicatie(s) die je wilt ontsluiten. Daarnaast heb je voor je gebruikers minimaal een Azure Active Directory Basic abonnement nodig. Deze kost $1 per gebruiker per maand, en is sowieso nuttig op het moment dat je Microsoft cloud diensten afneemt. Toch een aanzienlijk verschil met de ADFS oplossing. Ook het beheer is een stuk eenvoudiger, want alles wordt gemanaged via de Azure portal.

Hoe werkt het?

1. De gebruiker gaat naar de URL om de webapplicatie via de Application Proxy te benaderen. Dit kan de Office 365 portal zijn (myapps.microsoft.com) of een eigen applicatie portaal, waarin een link naar de webapplicatie is opgenomen. 2. (in geval van Single Sign-On) De Application Proxy stuurt het verzoek voor pre-authenticatie naar de Azure AD authenticatieservice. Hierbij kan ook gebruik worden gemaakt van MultiFactor authenticatie. Azure AD maakt een authenticatie token aan, en stuurt deze naar de gebruiker. 3. Het token wordt vervolgens doorgestuurd naar de Application Proxy. 4. Application Proxy valideert het token en leest de User Principal Name (UPN) uit. Dit is de inlognaam van de gebruiker, bijv. roel@ad.resultaatgroep.nl. Vervolgens wordt het verzoek met de UPN en de Service Principal Name (SPN) naar de connector verstuurd over een beveiligd kanaal. Een SPN is een soort adres waarop een service te bereiken is. 5. De connector die on-premise staat doet zich voor als de gebruiker (dit heet impersonate) en vraagt een Kerberos token (toegangsticket) voor de applicatie. 6. Active Directory stuurt het Kerberos token naar de connector. 7. De connector stuurt het originele verzoek met het Kerberos token dat het van AD heeft gekregen naar de applicatie. 8. De applicatie stuurt de reactie naar de connector, die het terugstuurt naar de Application Proxy, en uiteindelijk de gebruiker. Zoals je ziet, een heel stappenplan wat er gebeurt. Uiteindelijk komt het erop neer dat je je aanmeldt bij Azure Active Directory. En middels Single Sign-On kom je via de connector uit bij de on-premise applicatie.

De voordelen? De Application Proxy kan dus een hoop voordelen opleveren bij het ontsluiten van je on-premise webapplicaties via het Internet.

  • Beveiligde authenticatie via Azure Active Directory
  • Ondersteuning voor Multi Factor Authenticatie
  • Geen onderhoud, de Application Proxy Connector werkt zichzelf bij
  • Hoge schaalbaarheid En uw on-premise webapplicaties veilig ontsloten. Anyplace, anytime, anywhere.

Interesse? Interesse in deze functionaliteit?

Neem dan contact op met ResultaatGroep!