Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans Microsoft Entra ID, la configuration d’un grand nombre d’applications locales peut rapidement devenir ingérable et introduire des risques inutiles d’erreurs de configuration si la plupart d’entre elles utilisent les mêmes paramètres. Avec le proxy d’application Microsoft Entra, vous pouvez résoudre ce problème à l’aide de la publication d’applications génériques qui permet de publier et de gérer plusieurs applications à la fois. La solution fournit les éléments suivants :
- Réduction des frais administratifs
- Nombre réduit d’erreurs de configuration potentielles
- Sécuriser l’accès à davantage de ressources
Cet article vous fournit les informations nécessaires pour configurer la publication d’applications génériques dans votre environnement.
Créer une application générique
Vous pouvez créer une application générique (*) si vous avez un groupe d’applications avec la même configuration. Les candidats potentiels à une application générique sont les applications qui partagent les paramètres suivants :
- Le groupe d’utilisateurs ayant accès à ces applications
- Méthode d’authentification unique (SSO)
- Le protocole d’accès (http, https)
Vous pouvez publier des applications avec des caractères génériques si les URL internes et externes ont le format suivant :
http(s)://*.<domaine>
Par exemple : http(s)://*.adventure-works.com.
Alors que les URL internes et externes peuvent utiliser des domaines différents, une bonne pratique consiste à utiliser des domaines identiques. Quand vous publiez l’application, vous voyez une erreur si une des URL n’a pas de caractère générique.
La création d’une application générique repose sur le même flux de publication d’application que celui de toutes les autres applications. La seule différence est que vous ajoutez un caractère générique dans les URL et éventuellement la configuration de l’authentification unique.
Prerequisites
Pour commencer, vérifiez que les exigences sont remplies.
Domaines personnalisés
Bien que les domaines personnalisés soient facultatifs pour toutes les autres applications, ils sont requis pour les applications génériques. Pour créer des domaines personnalisés, vous devez :
- Créez un domaine vérifié dans Azure.
- Chargez un certificat TLS (Transport Layer Security) au format PFX (Personal Information Exchange) sur votre proxy d’application.
Vous devez utiliser un certificat générique correspondant à l’application que vous voulez créer.
Pour des raisons de sécurité, les caractères génériques ne sont pris en charge que pour les applications qui utilisent un domaine personnalisé pour l’URL externe.
Mises à jour DNS (Système de Nom de Domaine)
Lorsque vous utilisez des domaines personnalisés, vous devez créer une entrée DNS avec un enregistrement CNAME pour l’URL externe (par exemple, *.adventure-works.com) pointant vers l’URL externe du point de terminaison proxy de l’application. Pour les applications génériques, l’enregistrement CNAME doit pointer vers l’URL externe appropriée :
<yourAADTenantId>.tenant.runtime.msappproxy.net
Vérifiez que vous avez correctement configuré votre CNAME, vous pouvez utiliser nslookup sur l’un des points de terminaison cibles, par exemple expenses.adventure-works.com. Votre réponse doit inclure l’alias déjà mentionné (<yourAADTenantId>.tenant.runtime.msappproxy.net).
Utilisation de groupes de connecteurs affectés à une région de service cloud de proxy d’application autre que la région par défaut
Si vous avez installé des connecteurs dans des régions différentes de votre région de locataire par défaut, il est utile de modifier la région pour laquelle votre groupe de connecteurs est optimisé afin d'améliorer les performances d'accès à ces applications. Pour en savoir plus, consultez Optimiser les groupes de connecteurs pour utiliser le service cloud proxy d’application le plus proche.
Si le groupe de connecteurs affecté à l’application générique utilise une région différente de celle de votre région par défaut, vous devez mettre à jour l’enregistrement CNAME pour qu’il pointe vers une URL externe spécifique à la région. Utilisez le tableau suivant pour déterminer l’URL appropriée :
| Région attribuée au connecteur | URL externe |
|---|---|
| Asie | <yourAADTenantId>.asia.tenant.runtime.msappproxy.net |
| Australie | <yourAADTenantId>.aus.tenant.runtime.msappproxy.net |
| Europe | <yourAADTenantId>.eur.tenant.runtime.msappproxy.net |
| Amérique du Nord | <yourAADTenantId>.nam.tenant.runtime.msappproxy.net |
Considérations
Voici quelques éléments à prendre en compte pour les applications génériques.
Formats acceptés
Pour les applications génériques, l’URL interne doit être au format http(s)://*.<domain>.
Quand vous configurez une URL externe, vous devez utiliser le format suivant : https://*.<custom domain>
Les autres positions du caractère générique, de plusieurs caractères génériques ou d’autres chaînes regex ne sont pas prises en charge et provoquent des erreurs.
Exclure des applications du caractère générique
Vous pouvez exclure une application de l’application générique de la façon suivante :
- Publier l’application d’exception en tant qu’application normale
- Activer le caractère générique uniquement pour des applications spécifiques par le biais de vos paramètres DNS
La publication d’une application en tant qu’application normale est la méthode recommandée pour exclure une application d’un caractère générique. Vous devez publier les applications exclues avant les applications génériques pour vérifier que vos exceptions sont appliquées depuis le début. L’application la plus spécifique est toujours prioritaire : une application publiée comme budgets.finance.adventure-works.com étant prioritaire sur l’application *.finance.adventure-works.com, qui à son tour est prioritaire sur l’application *.adventure-works.com.
Vous pouvez également limiter le caractère générique pour qu’il fonctionne uniquement pour des applications spécifiques dans votre gestion DNS. En guise de bonne pratique, vous devez créer une entrée CNAME qui inclut un caractère générique et qui correspond au format de l’URL externe que vous avez configurée. Toutefois, vous pouvez faire pointer à la place les URL des applications spécifiques vers les caractères génériques. Par exemple, au lieu de *.adventure-works.com, point hr.adventure-works.com, expenses.adventure-works.comet travel.adventure-works.com individually à 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net.
Si vous utilisez cette option, vous avez aussi besoin d’une autre entrée CNAME pour la valeur AppId.domain, par exemple, 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com, pointant également vers le même emplacement. L’AppId se trouve dans la page de propriétés de l’application générique.
Définition de l’URL de la page d’accueil pour le panneau MyApps
L’application générique est représentée par une seule vignette dans le panneau MyApps. Par défaut, cette vignette est masquée. Pour afficher la vignette et diriger les utilisateurs vers une page d’accueil spécifique :
- Suivez les instructions permettant de définir une URL de page d’accueil.
- Définissez Afficher l’application avec la valeur true dans la page de propriétés d’application.
Délégation Kerberos contrainte
Pour les applications utilisant la délégation restreinte Kerberos (KCD) comme méthode SSO, le nom principal de service (SPN) répertorié pour la méthode SSO doit comporter un caractère générique. Par exemple, le SPN peut être : HTTP/*.adventure-works.com. Vous devez toujours configurer les SPN individuels sur vos serveurs backend (par exemple, HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).
Scénario 1 : Application générique générale
Dans ce scénario, vous avez trois applications différentes à publier :
expenses.adventure-works.comhr.adventure-works.comtravel.adventure-works.com
Les trois applications :
- Sont utilisées par tous les utilisateurs
- Utilisent Authentification Windows intégrée
- Ont les mêmes propriétés
Vous pouvez publier l’application générique en suivant les étapes décrites dans Publier des applications à l’aide du proxy d’application Microsoft Entra. Ce scénario part du principe que :
- Un locataire a l’ID suivant :
aaaabbbb-0000-cccc-1111-dddd2222eeee - Un domaine vérifié appelé
adventure-works.com. - Entrée CNAME pointant
*.adventure-works.comvers00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net.
En suivant les étapes documentées, vous créez une application de proxy d’application dans votre locataire. Dans cet exemple, le caractère générique est dans les champs suivants :
URL interne :
URL externe :
SPN d’application interne :
En publiant l'application générique, vous pouvez désormais accéder à vos trois applications en allant aux URL habituelles, par exemple, travel.adventure-works.com.
La configuration implémente la structure suivante :
| Couleur | Descriptif |
|---|---|
| Blue | Applications explicitement publiées et visibles dans le centre d’administration Microsoft Entra. |
| Gris | Applications auxquelles vous pouvez accéder via l’application parent. |
Scénario 2 : Application générique générale avec exception
En plus des trois applications générales, il existe une autre application, finance.adventure-works.comqui ne doit être accessible que par la division Finance. Avec la structure d’application actuelle, votre application Finance est accessible via l’application générique par tous les employés. Pour apporter la modification, vous excluez votre application de votre caractère générique en configurant Finance en tant qu’application distincte avec des autorisations plus restrictives.
Vérifiez qu’un enregistrement CNAME existe et pointe vers finance.adventure-works.com le point de terminaison spécifique à l’application, spécifié sur la page de proxy de l’application. Pour le scénario, finance.adventure-works.com pointe vers https://finance-awcycles.msappproxy.net/.
En suivant les étapes documentées, le scénario nécessite les paramètres suivants :
Dans l’URL interne, vous définissez finance au lieu d’un caractère générique.
Dans l’URL externe, vous définissez finance au lieu d’un caractère générique.
Pour le SPN d’application interne, vous définissez finance au lieu d’un caractère générique.
Cette configuration implémente le scénario suivant :
L’URL finance.adventure-works.com est spécifique. L’URL *.adventure-works.com n’est pas spécifique. L’URL plus spécifique est prioritaire. Les utilisateurs qui accèdent à finance.adventure-works.com reçoivent l’expérience spécifiée dans l’application Ressources financières. Seuls les employés financiers sont en mesure d’accéder finance.adventure-works.com.
Si vous avez plusieurs applications publiées pour la finance et que finance.adventure-works.com est un domaine vérifié, vous pouvez publier une autre application générique *.finance.adventure-works.com. Étant donné que le domaine est plus spécifique que le générique *.adventure-works.com, il est prioritaire si un utilisateur accède à une application dans le domaine financier.
Étapes suivantes
- Pour en savoir plus sur les domaines personnalisés, consultez la section Utilisation de domaines personnalisés dans le proxy d’application Microsoft Entra.
- Pour en savoir plus sur la publication d’applications, consultez Publication d’applications à l’aide du proxy d’application Microsoft Entra