Publikacja systemu WEBCON BPS w Office 365 z użyciem usługi Azure AD Application Proxy

WEBCON Autor Ogólne
Facebooktwitterpinterestlinkedinmail
dotyczy wersji 2017.1.3.x; autor: Paweł Jawień

Od czasy pojawienia się na rynku usługi Office 365, wiele firm zmieniło swoje środowiska informatyczne z typowych środowisk typu: „on-premises”, gdzie wszystkie systemy informatyczne zlokalizowane były w serwerowniach będących własnością klienta w środowiska hybrydowe, w przypadku których część usług działa w dalszym ciągu w oparciu o infrastrukturę lokalną, a część w oparciu o infrastrukturę hostowaną np. Office 365.

W przypadku hybrydowej infrastruktury, podstawowe wyzwania, które powinni zaadresować architekci rozwiązania to:

  1. Bezpieczne połączenie pomiędzy infrastrukturą on-premises (lokalną) i infrastrukturą chmurową.
  2. Zapewnienie użytkownikowi SSO (pojedynczego logowania), tak, aby z punktu widzenia użytkownika przejście pomiędzy aplikacjami chmurowymi, a aplikacjami lokalnymi było praktycznie niezauważalne.

W niniejszym artykule opisany został scenariusz w którym dla użytkowników na co dzień wykorzystujących usługi Office 365 (np. witryny Sharepointa o365) udostępniany jest system WEBCON BPS zainstalowany na lokalnej (on-premises) instalacji Sharepointa.

Połączenie/publikacja lokalnego Sharepointa i WEBCON BPS z instancją Office 365 zostało zrealizowane za pomocą usługi: Azure Active Directory Application Proxy (szczegółowo usługa została opisana: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-application-proxy-get-started ).

Zalety stosowania Azure AD Application Proxy:

 Prostota

  • Nie trzeba w publikowanej aplikacji wprowadzać żadnych zmian programistycznych. Zarówno platforma Sharepoint jaki i system WEBCON BPS (od wersji 2017.1.x.x) są zgodne z usługą Azure AD Application Proxy.
  • Użytkownik ma zapewniony spójny sposób logowania wykorzystujący SSO do aplikacji Office 365 i do aplikacji publikowanych za pomocą Azure AD Application Proxy. Publikowana aplikacja może być dla użytkownika dostępna poprzez portal „Moje aplikacje” (https://MyApps.microsoft.com ) i/lub poprzez portal Office 365 (https://portal.office.com )

Bezpieczeństwo

  • Publikacja aplikacji z użyciem Azure AD Application Proxy pozwala na wykorzystanie dodatkowych mechanizmów kontroli dostępu do aplikacji dostarczanych przez platformę Azure m.in. uwierzytelnianie wieloskładnikowe (multifactor authentication).
  • Nie ma konieczności otwierania na firewallu w instalacji lokalnej żadnego ruchu przychodzącego z publicznego internetu.

Na rysunku przedstawiono schematyczny sposób działania publikacji aplikacji on-premises poprzez Azure AD Application Proxy

Sposób publikacji aplikacji lokalnej (on-premises) został szczegółowo opisany w artykule: https://docs.microsoft.com/en-us/azure/active-directory/application-proxy-publish-azure-portal

 

Przykładowa konfiguracja:

Uwaga!

Aby skorzystać z usługi Azure Active Directory Application Proxy należy posiadać minimum subskrypcję usługi Office 365 oraz usługę: „Microsoft Azure Active Directory w warstwie Podstawowa”. W przypadku posiadania subskrypcji Office 365 E3 lub E5 wszystkie elementy potrzebna dla Azure AD Application Proxy są zawarte w pakiecie.

Założenia wstępne:

  1. System WEBCON BPS jest zainstalowany lokalnie na instancji Sharepoint dotępniej w wewnętrznej sieci firmowej pod adresem: http://demo-v5
  2. Użytkownicy wykorzystują przy dostępie do witryn http://demo-v5 mechanizmy zintegrowanego uwierzytelniania systemu Windows.
  3. Firma posiada wykupioną subskrybcję Office 365 oraz subskrybcję: „Microsoft Azure Active Directory w warstwie Podstawowa”.
  4. Użytkownicy pracują głównie z wykorzystaniem portalu: https://Myapps.microsoft.com i/lub https://portal.office.com .
  5. Użytkownicy chcą mieć możliwość uruchamiania systemu WEBCON BPS bezpośredniu z portalu MyApps bez konieczności ponownego logowania do systemu.

Instalacja Application Proxy Connector

Dla zapewnienia bezpiecznej publikacji aplikacji z sieci lokalnej za pośrednictwem usługi Azure AD Application Proxy, konieczne jest zainstalowanie w sieci lokalnej na dowolnej maszynie z systemem Windows Server 2012 R2 lub Windows Server 2016 aplikacji: Application Proxy Connector.

Szczegóły instalacji oraz aktywacji tej aplikacji opisano w artykule: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-application-proxy-enable

Konfiguracja w „chmurze” Azure (o365)

Konfigurację chmurową publikacji systemu WEBCON BPS należy przeprowadzić logując się do portal Azure (https://portal.azure.com) z uprawnieniami administracyjnymi i przejść do sekcji: „Aplikacje dla przedsiębiorstw”.

Należy utworzyć nową aplikację, korzystając z opcji: „Aplikacja lokalna”.

W oknie: „Dodaj własną aplikację lokalną” definiujemy podstawowe parametry aplikacji:

  • Nazwa – nazwa pod jaką aplikacja będzie dostępna dla użytkowników w portalu o365.
  • Wewnętrzny adres URL – adres witryny Sharepoint w sieci lokalnej (na witrynie tej zainstalowany jest system WEBCON BPS).
  • Zewnętrzny adres URL – pole pozwala na ustalenie publicznego adresu URL, który będzie umożliwiał dostęp do aplikacji WEBCON BPS za pośrednictwem usługi Azure AD  Application Proxy.
  • Wstępne uwierzytelnianie – należy wybrać sposób autentykacji użytkownika do aplikacji. Należy wybrać: „Azure Active Directory”.

Po wypełnieniu podstawowych danych i kliknięciu klawisza: „Dodaj” zostanie wygenerowana nowa aplikacja dla przedsiębiorstwa, a system przeniesie nas na ekran szczegółowej konfiguracji aplikacji.

Najważniejsze jest odpowiednia konfiguracja sekcji:

  • Użytkownicy i grupy
  • Logowanie jednokrotne
  • Serwer proxy aplikacji

 

W sekcji: „Użytkownicy i grupy” należy wprowadzić konta użytkowników którzy uzyskają dostęp do aplikacji za pośrednictwem Azure AD Application Proxy.

W sekcji: „Logowanie jednokrotne” należy ustawić parametry SSO, zapewniejące użytkownikom zintegrowany z Windows sposób logowania.

W polu: „Tryb logowania jednokrotnego” należy ustawić opcję: „Zintegrowane uwierzytlenianie systemu Windows”.

W polu: „Główna nazwa usługi aplikacji wewnętrznej” należy wpisać identyfikator usługi, który będzie używany przez serwer Proxy aplikacji w celu zapewnienia logowania jednokrotnego. Zgodny z wpisem SPN dla serwera. W naszym przykładzie: http/demo-v5

W polu: „Delegowana tożsamość logowania” wybieramy typ identyfikatora użytkownika, który zostanie przesłany do lokalnego Active Directory celem autentykacji. Należy wybrać: „Główna nazwa użytkownika” (UPN).

Konfiguracja w sieci lokalnej

W przypadku publikacji za pośrednictwem Azure AD Application Proxy platformy Sharepoint wraz z systemem WEBCON BPS należy przygotować serwer Sharepoint do autentykacji z wykorzystaniem Kerberos Constrained Delegation (KCD).

Konfiguracja została szczegółowo opisana w dokumencie: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-application-proxy-sso-using-kcd

Poniżej przedstawiono punkty konfiguracji w przykładowej instalacji:

  1. Wprowadzenie rekordu SPN dla maszyny Sharepoint (nazwa maszyny: demo-v5)

Należy uruchomić Command line z uprawnieniami administratora a następnie uruchomić polecenie:

SETSPN –S http/demo-v5 DEMO\svc.bps

Gdzie:

  • http/demo-v5 jest identyfikatorem instancji Sharepoint dla Kerberos.
  • DEMO\svc.bps jest loginem używanym przez pulę aplikacji platformy Sharepoint.
  1. Konfiguracja Web Aplikacji Sharepoint do użycia protokołu Kerberos
    1. Uruchomić konsolę Centralnej Administracji Sharepoint
    2. Przejść do opcji: Application Management -> Manage Web Application, wybarć Web Aplikację głownej witryny Sharepoint I kliknąć klawisz: Authentication Providers

W sekcji: Claims Authentication Types należy ustawić: Negotiate (Kerberos)

  1. Konfiguracja Active Directory
    1. Należy otworzyć przystawkę: Active Directory User and computer
    2. Wybrać serwer na którym zainstalowano Application Proxy Connector (w przykładowej instalacji jest to serwer: DEMO-V4
    3. Klikając prawym klawiszem myszy wybrać: Properties -> Delegation
    4. W sekcji: Services to which this account can present delegated credentials należy dodać wartość SPN zdefiniowanego wcześniej dla maszyny DEMO-V5

Zalecane jest ustawienie w Centralnej Administracji Sharepoint adresu alternatywnego dla witryny zawierającego URL publikowania w Azure AD Application Proxy (w tym przypadku: https://demo-webconbps.msappproxy.net )

Po przeprowadzeniu wyżej opisanych czynności, aplikacja WEBCON BPS jest dostępna dla uprawnionych użytkowników zarówno z poziomu portal MyApps, jak i bezpośrednio za pomocą adresu URL zdefiniowanego jako adres publikacji. W instalacji przykładowej jest to: https://demo-webconbps.msappproxy.net/

Aplikacja może być również dostępna dla użytkownika z poziomu menu aplikacji panelu Office 365.