Zur Navigation zu den Quicklinks Zur Suche Zum Inhalt

Das versteckte Cloud Juwel: Azure AD Application Proxy

Fabrizio Gobeli
·
Tags:
 
Der Azure AD Application Proxy ist trotz seiner bereits vierjährigen Existenz in der IT-Welt noch sehr unbekannt. Erstmals wurde das Produkt unter dem Titel «Throw away your DMZ – Azure Active Directory Application Proxy deep-dive» an der Ignite 2016 präsentiert. Nach diversen Weiterentwicklungen und Optimierungen wurde der Azure AD Application Proxy nochmals an der Ignite 2019 unter der Schlagzeile «Application proxy: The hidden gem of Microsoft 365» vorgestellt. Wie die Headline schon erahnen lässt, hat sich der Azure AD Application Proxy in den letzten Jahren zu einem versteckten Juwel in der Microsoft 365 Landschaft entwickelt. Im Blog erhalten Sie einen Einblick, wieso es sich lohnt das Produkt näher zu betrachten.
Der Azure AD Application Proxy ermöglicht den Remote Zugriff auf interne On-Premises Ressourcen und ersetzt die Notwendigkeit von VPN oder einem Reverse Proxy.

Unterstützt sind:
  • Web Applikationen (Integrated Windows Authentication, Form-Based, Header-Based)
  • Applikationen die durch einen Remote Desktop Gateway gehostet sind
  • Web APIs (Web Application Programming Interfaces)
  • Rich Client Apps die in die Microsoft Authentication Library (MSAL) integriert sind

Welche Vorteile bietet der Azure AD Applikation Proxy?
Der Service bietet weitaus mehr als nur HTTP-Reverse Proxy:

  • Preauthentication/Condition Access/MFA:
Einer der Hauptgründe für die Verwendung des Azure AD Applikation Proxy ist, dass Azure AD als Identitätsprovider (IdP) für die Authentifizierung gegenüber den veröffentlichten Anwendungen verwendet wird. Dies bedeutet, dass Sie Condition Access verwenden können, um den Zugriff auf Ihre internen Anwendungen zu kontrollieren und zu regulieren, einschliesslich der Aktivierung von MFA, auch wenn die Webanwendung selbst dies nicht unterstützt.

  • Single sign-on (SSO):
SSO ermöglicht es den Benutzern, auf eine Anwendung zuzugreifen, ohne sich mehrfach zu authentifizieren. Es ermöglicht die einmalige Authentifizierung in der Cloud gegen Azure AD und erlaubt dem Service, sich als Benutzer auszugeben, um alle zusätzlichen Authentifizierungsherausforderungen der Anwendung zu erledigen

  • Nur ausgehende Verbindungen notwendig:
Die Azure AD Application Proxy Connectoren verwenden nur ausgehende Verbindungen zum Azure AD Application Proxy Service in der Cloud über den Port 443 (https). Ohne eingehende Verbindungen ist es nicht erforderlich, Firewall-Ports für eingehende Verbindungen oder Komponenten in der DMZ (Demilitarized Zone) zu öffnen.

  • Traffic termination:
Der gesamte Datenverkehr zur Backend-Anwendung wird am Application Proxy Service in der Cloud beendet, während die Sitzung mit dem Backend-Server wieder aufgebaut wird. Diese Verbindungsstrategie bedeutet, dass Ihre Backend-Server keinem direkten HTTP-Verkehr ausgesetzt sind. Sie sind besser vor gezielten DoS-Angriffen (Denial-of-Service) geschützt, da Ihre Firewall nicht angegriffen wird.

  • Keine Public-IP notwendig:
Da der Azure AD Application Proxy Service direkt in der Cloud bereitgestellt wird, sind keine Public-IPs notwendig.

  • Kein öffentliches Zertifikat notwendig:
Da die Microsoft Domain msappproxy.net für den Azure AD Application Proxy Service genutzt wird, benötigt es keine öffentlichen Zertifikate.

Welche Komponenten hat der Azure AD Application Proxy und wie ist die Funktionsweise?
Ein vor Ort installierter Connector stellt ausgehende Verbindungen zum Azure AD Application Proxy Service her, um die internen Webanwendungsanforderungen zu bedienen. Der Schlüssel hierbei ist, dass alle eingehenden Client Anforderungen von einem ausgehenden Connector bedient werden.

SmartIT-Azure-AD-Application-Proxy-3-optimiert 

Was benötige ich um den Azure AD Application Proxy zu verwenden?
  • Tenant/Lizenz:
Um den Azure AD Application Proxy verwenden zu können, wird ein Microsoft 365 / Azure AD Tenant benötigt. Das Admin-Konto, welches ihn konfiguriert und die Endbenutzer, die auf den App Proxy zugreifen, müssen eine Azure AD Premium P1 oder P2 Lizenz besitzen.

  • Azure AD Premium P1 ist bereits in Microsoft 365 E3, Microsoft 365 A3, Microsoft 365 F3, Microsoft 365 Business Premium und Enterprise Mobility + Security (EMS) E3 enthalten.
  • Azure AD Premium P2 ist bereits in Microsoft 365 E5, Microsoft 365 A5 und Enterprise Mobility + Security (EMS) E5 enthalten.
  • Azure AD Premium P1 und Azure AD Premium P2 können jeweils auch einzeln erworben werden. https://azure.microsoft.com/en-us/pricing/details/active-directory/ 

  • Azure AD App Proxy Connector
Es muss nur ein Connector installiert werden, damit der Azure AD App Proxy funktioniert. Um Redundanz sicherzustellen, ist es allerdings empfohlen mehrere Connectoren zu installieren. Dieser Connector-Agent kann direkt über das Azure-Portal heruntergeladen werden. Installiert wird er auf einem Memberserver, der eine Verbindung sowohl zum internen Anwendungsserver als auch zu einem Domänencontroller vor Ort hat. Diesem Server muss nur der Zugriff auf das Internet über Port 443 (HTTPS) gestattet werden.

  • Azure AD App Proxy Konfiguration
Nachdem der Connector installiert ist, können Sie Ihre Anwendung über das Azure Portal veröffentlichen. Die interne URL ist diejenige, auf die der Connector zugreifen wird. Die externe URL wird aus der internen URL generiert und verwendet standardmässig die Domäne .msappproxy.net. Eigene registrierte Domains können auch verwendet werden, in dem ein CNAME (canonical name) erstellt wird:

Beispiel: CNAME: intranet.smartit.ch -> intranet-smartit.msappproxy.net

Der Azure AD Application Proxy ist völlig zu Unrecht ein unbekanntes Produkt und verdient definitiv mehr Beachtung. Denn noch nie war es so einfach und schnell möglich interne Webanwendungen im Internet zu veröffentlichen und die Authentifizierung der Benutzer auf eine sehr sichere Weise bereitzustellen. Was halten Sie davon? Wir unterstützen Sie gerne bei Fragen oder der Azure AD Application Proxy Integration in Ihre Infrastruktur.