Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Basée sur les noms des principaux du service, la délégation contrainte Kerberos (KCD, Kerberos Constrained Delegation) assure la délégation contrainte entre les ressources. Les administrateurs de domaine doivent créer les délégations et se limiter à un seul domaine. Vous pouvez utiliser la délégation KCD basée sur les ressources pour fournir l’authentification Kerberos à une application web dont les utilisateurs se trouvent dans plusieurs domaines au sein d’une forêt Active Directory.
Le Proxy d'application Microsoft Entra fournit une authentification unique (SSO) et un accès à distance aux applications basées sur KCD qui requièrent un ticket Kerberos pour l'accès et la délégation contrainte Kerberos (KCD).
Pour activer l’authentification unique sur vos applications KCD locales qui utilisent l’authentification Windows intégrée (IWA), accordez aux connecteurs de réseau privé l’autorisation d’emprunter l’identité des utilisateurs dans Active Directory. Le connecteur de réseau privé utilise cette autorisation pour envoyer et recevoir des jetons au nom des utilisateurs.
Quand utiliser KCD
Utilisez KCD lorsqu’il faut fournir un accès à distance, protéger à l’aide de l’authentification préalable et doter les applications IWA locales d’une authentification unique.
Composants du système
- Utilisateur: Accède à l’application héritée que le proxy d’application sert.
- Navigateur Web: Composant avec lequel l’utilisateur interagit pour accéder à l’URL externe de l’application.
- ID Microsoft Entra : Authentifie l’utilisateur.
- Service proxy d’application : Agit comme proxy inverse pour envoyer des demandes de l’utilisateur à l’application locale. Il se trouve dans Microsoft Entra ID. Le service Proxy d'application peut appliquer des stratégies d'accès conditionnel.
- Connecteur de réseau privé : Installé sur des serveurs locaux Windows pour fournir une connectivité à l’application. Renvoie la réponse à Microsoft Entra ID. Effectue une négociation KCD avec Active Directory, en usurpant l’identité de l’utilisateur pour obtenir un jeton Kerberos pour l’application.
- Active Directory: Envoie le jeton Kerberos pour l’application au connecteur de réseau privé.
- Applications héritées : Applications qui reçoivent des demandes utilisateur du proxy d’application. Les applications héritées retournent la réponse au connecteur de réseau privé.
Implémenter l'Authentification Windows (KCD) avec Microsoft Entra ID
Explorez les ressources suivantes pour en savoir plus sur l'implémentation de l'authentification Windows (KCD) avec Microsoft Entra ID.
- Authentification unique (SSO) Kerberos dans Microsoft Entra ID avec Proxy d'application décrit les conditions préalables et les étapes de configuration.
- Le Tutoriel : Ajouter une application locale – Proxy d'application dans Microsoft Entra ID vous aide à préparer votre environnement en vue d'une utilisation avec Proxy d'application.
Étapes suivantes
- La vue d'ensemble des protocoles d'authentification et de synchronisation Microsoft Entra décrit l'intégration aux protocoles d'authentification et de synchronisation. Les intégrations d'authentification vous permettent d'utiliser Microsoft Entra ID et ses fonctionnalités de sécurité et de gestion en apportant peu ou pas de modifications à vos applications qui utilisent des méthodes d'authentification héritées. Les intégrations de synchronisation vous permettent de synchroniser les données des utilisateurs et des groupes avec Microsoft Entra ID, puis d'utiliser les fonctionnalités de gestion de Microsoft Entra. Certains modèles de synchronisation activent le provisionnement automatique.
- Comprendre l'authentification unique avec une application locale utilisant le service Proxy d'application explique comment l'authentification unique permet à vos utilisateurs d'accéder à une application sans s'authentifier plusieurs fois. L'authentification unique se produit dans le cloud au regard de Microsoft Entra ID et permet au service ou au connecteur d'emprunter l'identité de l'utilisateur pour effectuer des tests d'authentification à partir de l'application.
- L’authentification unique SAML (Security Assertion Markup Language) pour les applications locales avec le proxy d’application Microsoft Entra décrit comment vous pouvez fournir un accès à distance aux applications locales sécurisées avec l’authentification SAML via le proxy d’application.