Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Anwendungen bestehen häufig aus mehreren einzelnen Webanwendungen. In diesen Situationen werden unterschiedliche Domänensuffixe oder unterschiedliche Ports oder Pfade in der URL verwendet. Die einzelnen Webanwendungsinstanzen müssen in separaten Microsoft Entra-Anwendungsproxy-Apps veröffentlicht werden. In diesen Situationen können die folgenden Probleme auftreten:
- Vorauthentifizierung: Der Client muss separat ein Zugriffstoken oder Cookie für jede Microsoft Entra-Anwendungsproxy-App erwerben. Die mehrfachen Abrufe führen bei der Anmeldung zu mehr Umleitungen zu
microsoftonline.com. - Cross-Origin Resource Sharing (CORS): CORS-Aufrufe mithilfe der
OPTIONSMethode werden verwendet, um den Zugriff auf die URL zwischen der Aufrufer-Web-App und der zielbezogenen Web-App zu überprüfen. Der Microsoft Entra-Anwendungsproxy-Clouddienst blockiert diese Aufrufe. Das Blockieren erfolgt, da die Anforderungen keine Authentifizierungsinformationen enthalten können. - Schlechte App-Verwaltung: Es werden mehrere Unternehmens-Apps erstellt, um den Zugriff auf eine private App zu ermöglichen, was die Erfahrung in der App-Verwaltung erschwert.
Die folgende Abbildung enthält ein Beispiel für die Domänenstruktur einer komplexen Anwendung.
Mit Microsoft Entra Application Proxy können Sie dieses Problem beheben, indem Sie komplexe Anwendungsveröffentlichungen verwenden, die aus mehreren URLs von verschiedenen Domänen bestehen.
Eine komplexe App verfügt über mehrere App-Segmente. Jedes App-Segment verfügt über eine interne und externe URL. Eine Richtlinie für bedingten Zugriff ist der App zugeordnet. Der Zugriff auf alle externen URLs funktioniert mit der Vorauthentifizierung mit demselben Satz von Richtlinien. Diese Richtlinien werden für alle App-Segmente erzwungen.
Komplexe Apps bieten mehrere Vorteile:
- Benutzerauthentifizierung
- Behebung von CORS-Problemen
- Zugriff auf verschiedene Domänensuffixe oder unterschiedliche Ports oder Pfade in der internen URL
In diesem Artikel erfahren Sie, wie Sie die Veröffentlichung von Wildcardanwendungen in Ihrer Umgebung konfigurieren.
Merkmale von Anwendungssegmenten für komplexe Anwendungen.
- Anwendungssegmente werden nur für eine Platzhalteranwendung konfiguriert.
- Externe und alternative URL sollte der externen bzw. alternativen Platzhalter-URL-Domäne der Anwendung entsprechen.
- Die URLs des Anwendungssegments (intern und extern) müssen auch in komplexen Anwendungen eindeutig bleiben.
- CORS-Regeln (optional) können pro Anwendungssegment konfiguriert werden.
- Der Zugriff wird nur definierten Anwendungssegmenten für eine komplexe Anwendung gewährt.
Hinweis
Wenn Sie alle Anwendungssegmente löschen, fungiert die komplexe Anwendung wie eine Wildcardanwendung und ermöglicht den Zugriff auf eine beliebige gültige URL unter der angegebenen Domäne.
- Eine interne URL kann sowohl als Anwendungssegment als auch als reguläre Anwendung definiert werden.
Hinweis
Regelmäßige Anwendungen haben immer Vorrang vor einer komplexen App (Wildcard-Anwendung).
Voraussetzungen
- Aktivieren Sie den Anwendungsproxy, und installieren Sie einen Connector, der eine Sichtlinie für Ihre Anwendungen aufweist. Sehen Sie sich das Tutorial Hinzufügen einer lokalen Anwendung für den Remotezugriff über den Anwendungsproxy an, um zu erfahren, wie Sie Ihre lokale Umgebung vorbereiten, einen Connector installieren und registrieren und den Connector testen können.
Konfigurieren sie Anwendungssegmente für komplexe Anwendungen.
Hinweis
Zwei Anwendungssegmente pro komplexer verteilter Anwendung werden für das Microsoft Entra ID P1- oder P2-Abonnement unterstützt.
So veröffentlichen Sie eine komplexe verteilte App über den Anwendungsproxy mit Anwendungssegmenten:
Wählen Sie auf der Seite "Anwendungsproxy-Grundeinstellungen" die Option "Anwendungssegmente hinzufügen" aus.
Wählen Sie auf der Seite "Anwendungssegmente verwalten und konfigurieren" die Option "App-Segment hinzufügen" aus.
Geben Sie die interne URL ein.
Wählen Sie in der Dropdownliste " Externe URL " eine benutzerdefinierte Domäne aus.
Fügen Sie CORS-Regeln hinzu (optional). Weitere Informationen finden Sie unter Konfigurieren der CORS-Regel.
Wählen Sie "Erstellen" aus.
Weisen Sie der Anwendung Benutzer zu.
Um ein Anwendungssegment zu bearbeiten/zu aktualisieren, wählen Sie das Anwendungssegment aus der Liste auf der Seite "Anwendungssegmente verwalten und konfigurieren" aus. Laden Sie bei Bedarf ein Zertifikat für die aktualisierte Domäne hoch, und aktualisieren Sie den DNS-Eintrag (Domain Name System).
Konfigurieren der Einmalanmeldung (Single Sign-On, SSO)
Hinweis
Single Sign-On mit integrierter Windows-Authentifizierung (IWA) unterstützt keine Wildcard-Dienstprinzipalnamen (SPNs). Beispielsweise verwendet der Platzhalter http/*.contoso.com den einzelnen konfigurierten SPN http/app.contoso.com für alle Segmente.
DNS-Updates
Erstellen Sie bei Verwendung benutzerdefinierter Domänen einen DNS-Eintrag mit einem CNAME-Eintrag für die externe URL. Legen Sie beispielsweise fest, dass *.adventure-works.com auf die externe URL des Anwendungsproxyendpunkts verweist. Weisen Sie den CNAME-Eintrag für Wildcard-Anwendungen der relevanten externen URL zu: <yourAADTenantId>.tenant.runtime.msappproxy.net.
Alternativ kann ein dedizierter DNS-Eintrag mit einem CNAME-Eintrag für jedes einzelne Anwendungssegment wie folgt erstellt werden:
External URL of the application segment><yourAADTenantId>.tenant.runtime.msappproxy.net
Darüber hinaus ist das Hinzufügen eines CNAME-Eintrags für die Anwendungs-ID in derselben DNS-Zone erforderlich:
<yourAppId>><yourAADTenantId>.tenant.runtime.msappproxy.net
Wenn sich die Connectorgruppe, die der komplexen App zugewiesen ist, nicht in der Region der Standardconnectorgruppe befindet, muss eines der folgenden Domänensuffixe in den DNS-Einträgen verwendet werden:
| Dem Connector zugewiesene Region | Externe URL |
|---|---|
| Asien | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
| Australien | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
| Europa | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
| Nordamerika | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Ausführlichere Anweisungen für Anwendungsproxys finden Sie im Tutorial: Hinzufügen einer lokalen Anwendung für den Remotezugriff über Anwendungsproxy in Microsoft Entra ID.
Nächste Schritte
- Hinzufügen einer lokalen Anwendung für den Remotezugriff über den Anwendungsproxy in der Microsoft Entra-ID
- Planen einer Microsoft Entra Anwendungsproxybereitstellung
- Grundlegendes zum Remotezugriff auf lokale Anwendungen über den Microsoft Entra-Anwendungsproxy
- Verstehen und Beheben von CORS-Problemen bei Microsoft Entra Anwendungsproxys