Azure AD Application Proxy

Vollversorgung

Flexibles Arbeiten von überall wird, der Pandemie geschuldet, vielerorts notwendig, technologisch aber auch einfacher. Um interne Anwendungen außerhalb der Unternehmensgrenzen verfügbar zu machen, setzt Microsoft vermehrt auf den Azure AD Application Proxy. Klassische Webapps sind für den AppProxy kein Problem – wie sich auch Fat-Clients via Remote Desktop Services versorgen lassen, zeigt dieser Workshop.
Die Datenmengen in Unternehmen wachsen unaufhaltsam. Zunehmend wichtig wird daher das intelligente Aufbewahren und Bereitstellen der Informationen. Im Juni-Heft ... (mehr)

Azure AD Application Proxy (AAP) hat in vielen Unternehmen während der Pandemie Einzug gehalten, um interne Anwendungen schnell und sicher daheimbleibenden Mitarbeitern zur Verfügung zu stellen. Sicherheit schafft die Integration des AppProxy mit Conditional Access, das Multifaktor-Authentifizierung (MFA) erzwingen kann und den Zugriff von vertrauten, verwalteten und als "gesund" markierten Geräten sicherstellt. Die Architektur macht Deployments einfach: Der Proxy vollzieht seine Arbeit mit ausschließlich ausgehenden Netzwerkverbindungen zur Cloud – die zentrale IT muss also keine Firewalls aufbohren [1].

Viele Anwendungen bedienen sich weiterhin einer "Vollwertclient"-Architektur, wonach der Client über besondere oder nicht offene Protokolle mit dem Backend spricht – oder das Backend nicht einfach veröffentlicht werden kann. In anderen Anwendungsfällen, gerade wenn der Client nicht auf dem Gerät des Benutzers verbleiben, sondern ebenfalls zur Verfügung gestellt werden soll, enden die Standardszenarien eines klassischen HTTP-Proxy. Ein Trick als Ausweg: Über die Veröffentlichung einer Session auf einem Session- oder VM-Host lassen sich auch ganze Anwendungen publizieren – sofern die Lösung die Session via Gateway oder Proxy per HTTPS zugänglich macht. Wer also die Citrix- oder Remote-Desktop-Umgebung via AppProxy veröffentlichen kann, ist auch in der Lage, diese Szenarien abzubilden.

Vorbereitungen treffen

Sie verändern also die Aufgabe dahingehend, als dass Sie Clients Zugang zu einem Sessionserver bereitstellen, Diesen stellen Sie möglichst einfach, mit Single Sign-on (SSO), aber natürlich geschützt zur Verfügung. Der Sessionserver erlaubt dann Zugriff auf Clients, die nicht über HTTP-Protokolle mit dem Backend sprechen müssen.

Die Umsetzung mit Microsoft-Technologie sieht dazu Remote Desktop Services (RDS) vor, die zusammen mit dem

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021