iT邦幫忙

0

Azure Application Proxy 安裝設定手冊

Application Proxy 架構

https://ithelp.ithome.com.tw/upload/images/20190326/201118719zGxgKoF5t.png

1. 環境準備

  • 訂閱需求: Azure AD basic 或 Premium 以上

  • Tenant 帳號需求: Tenant Admin

  • Windows Server - Application Proxy 安裝需準備 Windows Server 2012 R2 以上版本, 若考慮高可用性, 需安裝兩台以上的 Application Proxy 主機

  • Windows Server 加入網域需求: 若需啟用 Windows 認證單一簽入(SSO), Application Proxy Server 需要加入網域

  • AD domain admin 帳號需求: 使用 Windows 整合式驗證方式, 須設定 Kerberos Constrained Delegation (KCD), 需具有 AD 管理權限的帳號

  • 網路防火牆需求: 須開放 Outbound TCP 443 與 80 port

    若需設置白名單請參考以下的 URL 設置:

    URL How it's used
    *.msappproxy.net *.servicebus.windows.net Communication between the connector and the Application Proxy cloud service
    mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 Azure uses these URLs to verify certificates
    login.windows.net login.microsoftonline.com The connector uses these URLs during the registration process.
  • 若需設定 IP 白名單, 請參考 Azure DataCenter IP ranges.

2. 安裝 Application Proxy Connector

2.1 Application Proxy Connector Server TLS 設定

Application Proxy Connector 安裝前需將 Windows Server 啟用 TLS 1.2, 請在註冊機碼中加入以下的機碼, 新增完成後需要重新開機.

  • 將以下的內容儲存為 .reg 檔案, 並且在 Windows Server 中双擊滑鼠執行
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] 
"DisabledByDefault"=dword:00000000 
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] 
"DisabledByDefault"=dword:00000000 
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001

2.2 安裝 Application Proxy Connector

(1) 使用 Azure Tenant Admin 登入 Azure Portal

(2) 選取 Azure Active Directory >> Application Proxy >> Download connector service 下載最新版本 Application Proxy Connector (AADApplicationProxyConnectorInstaller.exe)

https://ithelp.ithome.com.tw/upload/images/20190326/20111871VkWbQWdH4k.png

(3) 執行 AADApplicationProxyConnectorInstaller.exe 根據安裝精靈步驟進行安裝

​ A. 執行安裝精靈

https://ithelp.ithome.com.tw/upload/images/20190326/20111871ggcuf4KoeA.png

https://ithelp.ithome.com.tw/upload/images/20190326/201118718EokwARwY3.png

​ B. 安裝過程中需使用 Tenant Admin 登入進行 Application Proxy Connector 註冊安裝

https://ithelp.ithome.com.tw/upload/images/20190326/20111871z0YrZxkcpo.png

​ C. 安裝完成後若有對外連線需透過 Web Proxy, 需另外執行 ConfigureOutBoundProxy.ps1 進行修改 config 設定

https://ithelp.ithome.com.tw/upload/images/20190326/20111871tjZNO3j8og.png

(4) 設定 Web Proxy, 請使用 RunAs Administrator 開啟 C:\Program Files\Microsoft AAD App Proxy Connector\ConfigureOutBoundProxy.ps1

​ A. 執行 ConfigureOutBoundProxy.ps1

​ B. 輸入 Proxy Server Url (例如: http://proxy.contoso.com:8888)

https://ithelp.ithome.com.tw/upload/images/20190326/20111871vMAYZb8MYx.png

https://ithelp.ithome.com.tw/upload/images/20190326/201118717mhcbJrmOy.png

​ C. 執行完成後, 重新啟動 Microsoft AAD Application Proxy Connector 服務

https://ithelp.ithome.com.tw/upload/images/20190326/20111871GQCc4fnqWh.png

(5) 從 Azure Portal > Azure Active Directory > Application Proxy 檢查 Connector 是否為 Active 狀態

https://ithelp.ithome.com.tw/upload/images/20190326/20111871c7P0OlrcVi.png

3. 新增設定 Enterprise Application

3.1 新增 On-Premise Application

(1) Azure Active Directory > Enterprise application > New application 新增應用程式

https://ithelp.ithome.com.tw/upload/images/20190326/20111871L7zIjlE7KI.png

(2) 選取 On-Premises application

https://ithelp.ithome.com.tw/upload/images/20190326/201118719XMeMmvMk7.png

(3) 設定 App 名稱, 對應的內部 Url (例如: http://app01), 如果需要設定為自定義網域名稱, 請選擇對應的網域 (選取自定義網域後續需要在 DNS Server 上加入對應的 CNAME 紀錄, 並需要匯入含私鑰的 pfx 格式公開憑證), Pre Authentication 部分如果要使用 Azure Active Directory 登入時使用 MFA 以及 Conditional Access 功能, 請選擇為 Azure Active Directory 方式

https://ithelp.ithome.com.tw/upload/images/20190326/20111871O2YLm7TV30.png

(4) 如果使用自定義網域設定完成後, 需要匯入憑證

https://ithelp.ithome.com.tw/upload/images/20190326/20111871bLE5z6ukSx.png

(5) 如果使用自定義網域設定完成後, 需要在 DNS Server 中加入一筆 CNAME 對應 (apptest-yourtenantname.msappproxy.net)

https://ithelp.ithome.com.tw/upload/images/20190326/201118717Rb5jk3VJC.png

3.2 設定 Kerberos Constrained Delegation (KCD)

應用程式使用 Windows 整合式驗證需要做單一簽入 (SSO) 時, 需要進行 KCD 設置

(1) 在 On-Prem 環境中的任一台網域成員主機, 使用 Domain 管理者帳號進行設置:

說明: 內部應用程式 internal url 為 **http://app.contoso.com**, 主機名稱為 app01

setspn -A HTTP/app.contoso.com app01

https://ithelp.ithome.com.tw/upload/images/20190326/20111871BomkkZeYcn.jpg

(2) 在 On-Prem 環境中的 DC 中 Search Application Proxy Connector 主機, 選取 Delegation 後, 選取 Trust this computer for delegation to specified services only, 選取 Add, 找到前一步驟的 AP Server (app01), 並選取 HTTP/app.contoso.com service type 加入

https://ithelp.ithome.com.tw/upload/images/20190326/20111871UVl76GcKCu.jpg

3.3 新增 Azure 使用者

(1) 使用 Azure Active Directory 為 Pre-Authentication 模式時, 需要指派使用者給 Application, 選取 Application 後, 選取 Add User, 加入使用者後, 選取 Assign

https://ithelp.ithome.com.tw/upload/images/20190326/201118715Tf5Co5ifm.png

3.4 啟用單一簽入 (SSO) 模式

(1) 從 Azure Active Directory 選取 Application 後, 選取 Single sign-on 設定, 設定為 Windows Integrated Authentication 模式

https://ithelp.ithome.com.tw/upload/images/20190326/201118718OPIJZTele.png

(2) 其中 Internal Application SPN 為步驟 3.2 中所設定的 SPN 名稱 (HTTP/app.contoso.com)

https://ithelp.ithome.com.tw/upload/images/20190326/20111871wzJWEpvof9.png


參考文件


尚未有邦友留言

立即登入留言