Cla78 - stock.adobe.com

Der Azure-AD-Anwendungs-Proxy sichert Ihre Webanwendungen

Mit dem Azure-AD-Anwendungs-Proxy können Unternehmen Webanwendungen öffentlichen Zugriff auf Webanwendungen absichern. Wir erklären, wie das funktioniert.

Unternehmen, die Webseiten oder Dienste über das Internet anbieten, benötigen ein Instrument, mit dem sie die Anfragen aus dem Internet verwalten und sie an die interne Webanwendung weiterleiten. Dazu schalten Sie üblicherweise einen Reverse-Proxy zwischen, also einen Dienst, der auf Anfragen aus dem Internet warten und diese an die Webanwendungen weiterleitet.

Ein Reverse-Proxy hat die Aufgabe, die öffentliche IP-Adresse für den Webdienst zu überwachen, Zertifikat und Authentifizierung zu übernehmen und auch das Zertifikat für die Verbindung zu hosten. Außerdem hat der Proxy die Aufgabe, interne Webanwendung vor Angriffen zu schützen, zum Beispiel vor DoS-Attacken (Denial of Service). Mit dem Anwendungs-Proxy in Azure Active Directory (AD) lässt sich ein solcher Dienste direkt über Azure einrichten. Auf diese Weise sparen sich IT-Teams den selbst betriebenen Proxy-Server.

Bei Hybrid-Zugriffen in Azure AD ist es möglich, dass Anwender auf ältere Anwendungen zugreifen. Es kann passieren, dass diese nicht die modernen Technologien in Azure AD unterstützen. Einige Programme nutzen noch Legacy-Authentifizierung. Dazu gehören Kerberos, NTLM, aber auch Zugriffe per RDP (Remote Desktop Protocol), LDAP oder SSH sowie formularbasierte Authentifizierung.

Azure AD-Anwendungsproxy im Überblick

Mit dem Azure-AD-Anwendungs-Proxy lassen sich Anmeldedaten aus Azure AD in lokalen Rechenzentren für Legacy Apps nutzen. Dafür ist ein Azure AD-Anwendungs-Proxy-Connector notwendig. Haben Sie diesen eingerichtet, wird die Funktion in Microsoft Azure automatisch aktiviert.

Damit der Anwendungsproxy dazu in der Lage ist, Anwendungen bereitzustellen, benötigen Sie eine Lizenz für Azure AD Premium P1 oder P2. Mehr dazu ist auf der Seite Preise für Azure Active Directory zu sehen. In den Standardabonnements ist die Funktion nicht zugänglich.

Vorteile beim Einsatz des Azure AD-Anwendungsproxy

Der Azure AD-Anwendungs-Proxy bietet zahlreiche Vorteile. Zunächst müssen Sie auf den Firewalls im lokalen Rechenzentrum keine Anpassungen vornehmen, um lokale Webanwendungen im Internet zugänglich zu machen. Die Sicherheitsmechanismen laufen komplett über Azure und einen Connector zum Anwendungs-Proxy, der auf einem lokalen Server installiert ist. Es gibt keinerlei HTTPS-Verbindungen von und zum internen Netzwerk, die über die Firewall geroutet werden müssten.

Für das Veröffentlichen von Webanwendungen aus dem internen Netzwerk heraus brauchen Sie keine öffentliche IP-Adresse für die lokale Firewall im Unternehmen. Der Datenverkehr läuft komplett über Microsoft Azure.

Sie sparen außerdem Geld, da in dieser Konstruktion keine teuren externen Zertifikate zum Einsatz kommen müssen. Die Konstruktion bietet guten Schutz vor DDoS-Angriffen, da Azure den kompletten Verkehr schützt. Auch die Authentifizierung lässt sich über Azure abwickeln.

On-Premises-Apps mit Azure AD nutzen – auch SAP-Anwendungen

Microsoft geht auf der Seite Sicherer Hybridzugriff in Azure Active Directory darauf ein, wie sich Anwendungen über das Internet bereitstellen lassen, die keine moderne Authentifizierung unterstützen. Hier lesen Sie zudem, wie Sie einen Zugriff auf lokale Anwendungen mit dem Azure AD-Anwendungs-Proxy einrichten.

Das sind die Aufgaben des Azure AD-Anwendungs-Proxy

Der Anwendungs-Proxy-Connector, der zum Dienst des Azure-AD-Anwendungs-Proxy gehört, führt eine zertifikatbasierte Authentifizierung bei Azure durch. Der Proxy spielt seine Vorteile vor allem in Szenarien aus, bei denen die Ansprüche höher sind als nur das einfache Weiterleiten von Webanfragen. Nutzen Sie den Azure-AD-Anwendungs-Proxy, können Sie über die Domäne msappproxy.net Zugriff aus dem Internet auf die angebundenen Anwendungen lenken.

Die eigentliche Firewall hat mit den ganzen Abläufen nichts zu tun. Das übernimmt der On Premises Connector des Azure-AD-Anwendungs-Proxy auf dem lokalen Server. Dadurch können Unternehmen auch interne Webanwendungen über Microsoft Azure zur Verfügung stellen, ohne lokale Firewalls anpassen zu müssen.

Die Komponenten des Azure AD-Anwendungsproxy

Der Azure AD-Anwendungs-Proxy besteht im Grunde genommen aus fünf Komponenten, welche die Hauptfunktionen des Dienstes darstellen.

Der Webdienst ist im internen LAN positioniert und verbindet den Anwendungs-Proxy mit dem Netzwerk. Dazu installieren Sie den On Premises Connector auf einem Server im internen Netzwerk. Er verbindet sich mit Microsoft Azure und wartet auf Anfragen. Die Anfragen gehen also nicht im eigenen Rechenzentrum ein, sondern an der Schnittstelle in Azure, mit welcher der Connector auf dem lokalen Server im Netzwerk verbunden ist.

Der Azure AD-Anwendungsproxy selbst stellt die Konfiguration und den Container der Umgebung direkt in Microsoft Azure dar. Der Dienst ist die Schnittstelle zur externen Verbindung mit dem Internet und dem On Premises Connector. Außerdem kümmert sich diese Komponente um die Authentifizierung der Anfragen, zum Beispiel bei Azure AD. Dazu kann der Dienst auch mit anderen Funktionen in Azure AD zusammenarbeiten, zum Beispiel Conditional Access (Bedingter Zugriff).

Auf dem Client, der eine Verbindung zum internen Webdienst über den Azure AD-Anwendungs-Proxy herstellt, laufen die Vorgänge zusammen, sodass externe Anwender mit ihren Clients über den Anwendungs-Proxy nach der Authentifizierung durch den Connector mit dem internen Netzwerk verbunden werden.

Die fünfte Komponente ist der DNS-CNAME über den die Clients eine Verbindung zum Anwendungsproxy aufbauen, der diese dann wiederum nach der Authentifizierung an den Connector weiterleitet. Normalerweise kommt hier die Domäne msappproxy.net zum Einsatz, ergänzt mit dem Namen des Diensts – zum Beispiel exchange-joos.msappproxy.net.

Azure AD-Anwendungsproxy einrichten

Das Einrichten eines Azure AD-Anwendungsproxy dauert nicht sehr lange. Die einzelnen Schritte dazu hat Microsoft auf der Seite Veröffentlichen von lokalen Apps für Remotebenutzer mit dem Azure AD-Anwendungsproxy beschrieben.

Erfahren Sie mehr über Cloud Computing