根據服務主體名稱,Kerberos 限制委派 (KCD) 會在資源之間提供限制委派。 它需要網域系統管理員來建立委派,而且僅限於單一網域。 您可以使用以資源為基礎的 KCD,為具有 Active Directory 樹系內多個網域使用者之 Web 應用程式提供 Kerberos 驗證。
Microsoft Entra 應用程式代理伺服器可以提供單一登入 (SSO) 和遠端存取,適用於需要 Kerberos 票證來存取的 KCD 型應用程式以及需要 Kerberos 限制性委派 (KCD) 的情況。
若要對使用整合式 Windows 驗證 (IWA) 的內部部署 KCD 應用程式啟用 SSO,請授與專用網連接器模擬 Active Directory 中的使用者許可權。 專用網連接器會使用此許可權來代表用戶傳送和接收令牌。
使用 KCD 的時機
當需要提供遠端存取、使用預先驗證保護,並提供 SSO 給內部部署 IWA 應用程式時,請使用 KCD。
系統元件
- 使用者: 存取應用程式 Proxy 提供的傳統應用程式。
- 瀏覽器: 用戶用來存取應用程式外部 URL 的元件。
- Microsoft Entra 識別碼: 驗證使用者。
- 應用程式代理服務:作為反向代理,將用戶的要求傳送至內部部署應用程式。 它位於Microsoft Entra ID 中。 應用程式 Proxy 可以強制執行條件式存取原則。
- 專用網連接器: 安裝在 Windows 內部部署伺服器上,以提供應用程式的連線能力。 傳回 Microsoft Entra ID 的回應。 執行與 Active Directory 的 KCD 交涉,模擬使用者以取得應用程式的 Kerberos 令牌。
- Active Directory: 將應用程式的 Kerberos 令牌傳送至專用網連接器。
- 舊版應用程式: 接收來自 Application Proxy 的使用者要求的應用程式。 舊版應用程式會傳回對專用網連接器的回應。
使用 Microsoft Entra ID 實作 Windows 驗證 (KCD)
探索下列資源,以深入瞭解如何使用 Microsoft Entra ID 實作 Windows 驗證 (KCD)。
- Microsoft Entra ID with Application Proxy 中的 Kerberos 型單一登錄 (SSO) 描述必要條件和設定步驟。
- 教學 課程 - 新增內部部署應用程式 - Microsoft Entra ID 中的應用程式 Proxy 能幫助您準備環境,以便與應用程式 Proxy 配合使用。
後續步驟
- Microsoft Entra 驗證和同步處理通訊協定概觀 說明與驗證和同步處理通訊協定的整合。 您可以整合驗證以使用 Microsoft Entra ID 及其安全性與管理功能,而對使用舊版驗證方法的應用程式僅需進行少量或不需進行任何變更。 同步處理整合可讓您將使用者和群組數據同步至Microsoft Entra ID,然後使用者Microsoft Entra 管理功能。 某些同步模式可啟用自動配置。
- 瞭解使用應用程式 Proxy 與內部部署應用程式的單一登錄 ,說明 SSO 如何讓使用者存取應用程式,而不需要多次驗證。 SSO 會在雲端中針對 Microsoft Entra ID 進行,允許服務或連接器假裝成使用者來完成應用程式的驗證挑戰。
- Microsoft Entra 應用程式 Proxy 的 SAML 單一登入功能,用於內部部署應用程式,說明如何使用應用程式 Proxy,為受 SAML 驗證保護的內部部署應用程式提供遠端存取。