Azure Azure Active Directory

Azure Active Directory Application Proxy Nedir ?

Avatar
Written by Emre Martin

Günümüz teknolojisinde, şirket içerisinde kullanılan kurumsal uygulamaların herhangi bir yerden, herhangi bir cihazdan erişilebiliyor olması  son kullanıcılar için mutlu edici bir hizmet olsada biz IT ‘ciler arka planda her zaman güvenlik, yönetim, maaliyet vs. gibi etkenleri göz önünde bulundurmak zorundayız. Alışkın olduğumuz geleneksel yöntemler (TMG, WAP, VPN) fazla maliyetli olabileceği gibi yönetim ve güvenliğini sağlamakta bir o kadar fazla efor gerektirir. Bu noktada Microsoft on-prem uygulamalarımız için basit, güvenli ve daha az maliyetli remote access çözümü olan “Azure Active Directory Application Proxy” servisini bizlere sunuyor. Azure Application Proxy

Azure AD Application Proxy Nedir ?

Azure AD Application Proxy On-Prem ‘de host ettiğimiz uygulamalarımız için SSO ve Remote Access hizmetini servis olarak (Remote Access As a Service) sunan Azure AD özelliğidir. Azure AD Proxy ile herhangi bir update yada ayarlama yapmanıza gerek kalmadan ve her hangi bir Web Application Proxy alt yapısına ihtiyaç duymadan uygulamalarınızı publish edebilir, Aynı zamanda Conditional Access, Two-Step verification gibi Azure AD yetkilendirme ve güvenlik özelliklerinden faydalanabilirsiniz. Azure AD Proxy ile bir uygulamanıza uzaktan erişim sağlamak için firewall üzerinde hiç bir inbound port açmanız gerekmez.

Azure AD Application Proxy iki component’ten oluşmaktadır;

  • Azure AD Application Proxy Connector
  • Azure AD Application Proxy External Endpoint

Azure AD Application Proxy Connector; Agent olarak Windows sunucunuz üzerinde çalışarak, Application Proxy Servisi ve  On-Prem uygulamanız arasındaki trafik akışını sağlar. Bu trafik sadece outbound’tur bu sebebten firewall üzerinde herhangi bir inboud port açmak yada DMZ’de bir VM kurmak gibi ihtiyacı yoktur. Connector; istekleri Proxy servisine iletir ve gerekli olan bilgileri aynı session ile alır. Connector’ü direk olarak uygulamanın olduğunu sunucuya yükleyebileceğiniz gibi uygulamaya erişimi olan herhangi bir sunucu üzerinede kurabilirsiniz. Birden fazla connector’ü Connector Groupları altında toplayarak ilgli connector grubunun belirli uygulamalar için hizmet vermesini sağlayabilir ve otomatik loadbalance yapmasını sağlayabilirsiniz.

Connector makinası üzerinde sadece proxy servisine bağlanabilmek için gerekli connection bilgisi ve kimlik doğrulama sertifikasını tutulur, Servise her bağlandıklarında gerekli bigiler bir kaç dk ‘da bir tekrardan indirilir.

Azure AD Application Proxy External Endpoint; Kullanıcılarınızın şirket dışından uygulamarınıza erişmek için kullanacakları bağlantı noktasıdır. Kullanıcılar sizin belirleyeceğiniz bir URL üzerinden uygulamalara erişebilecekleri gibi MyApps portal üzerindende erişebilirler.

Azure Application Proxy Nasıl Çalışır ? 

Azure Active Directory Application Proxy Nedir ?

  1. Kullanıcı, Application proxy servisi aracılığıyla uygulamaya erişir ve kimlik doğrulaması için Azure AD oturum açma sayfasına yönlendirilir.
  2. Başarılı authentication işleminden sonra, oluşturulan token client cihaza gönderilir.
  3. Client Token’i Application Proxy servisine gönderir, Token üzerinden UPN ve SPN bilgilerine bakarak istek Appcatlion Proxy Connector’e iletilir.
  4. Eğer SSO yapılandırması varsa connector kullanıcının yerine ek doğrulalama işlemi gerçekleştirir.
  5. Connector erişim isteğini On-Prem uygulamaya gönderir.
  6. Uygulama yanıtı Application Proxy ve Connector aracılığı ile kullanıcıya geri gönderilir.

Azure AD Application Proxy Gereksinimleri ;

  • Azure AD Basic yada Permium lisansı.
  • Global Administrator hesabı.
  • Azure AD Application Proxy Connector – Download
  • AD Application Proxy Connector VM Gereksinimleri;
    • Windows Server 2012 R2 ya da 2016.
    • Application Proxy servisine erişim.
      • Erişim testi için Application Proxy Connector Ports Test Tool’u kullanabilirsiniz. – Download
    • Publish edilecek uygulamara erişim.
    • Outbound 443 ve 80 Portları açık olmalıdır.
    • Domain’de olmak zorunda değildir ancak windows authenticton (IWA) kullanan uygulamlarınız için SSO kullanmak istiyorsak connector makinasının domainde olmalısı zorunludur.

Faydalı olması dileğiyle 🙂 bir sonraki yazımda on-prem bir uygulamayı Azure AD Application Proxy kullanarak birlikte publish edeceğiz.

 

 

Yazar Hakkında

Avatar

Emre Martin

Cloud Solutions Architect