




dotyczy wersji 2017.1.3.x; autor: Paweł Jawień
Od czasy pojawienia się na rynku usługi Office 365, wiele firm zmieniło swoje środowiska informatyczne z typowych środowisk typu: „on-premises”, gdzie wszystkie systemy informatyczne zlokalizowane były w serwerowniach będących własnością klienta w środowiska hybrydowe, w przypadku których część usług działa w dalszym ciągu w oparciu o infrastrukturę lokalną, a część w oparciu o infrastrukturę hostowaną np. Office 365.
W przypadku hybrydowej infrastruktury, podstawowe wyzwania, które powinni zaadresować architekci rozwiązania to:
- Bezpieczne połączenie pomiędzy infrastrukturą on-premises (lokalną) i infrastrukturą chmurową.
- Zapewnienie użytkownikowi SSO (pojedynczego logowania), tak, aby z punktu widzenia użytkownika przejście pomiędzy aplikacjami chmurowymi, a aplikacjami lokalnymi było praktycznie niezauważalne.
W niniejszym artykule opisany został scenariusz w którym dla użytkowników na co dzień wykorzystujących usługi Office 365 (np. witryny Sharepointa o365) udostępniany jest system WEBCON BPS zainstalowany na lokalnej (on-premises) instalacji Sharepointa.
Połączenie/publikacja lokalnego Sharepointa i WEBCON BPS z instancją Office 365 zostało zrealizowane za pomocą usługi: Azure Active Directory Application Proxy (szczegółowo usługa została opisana: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-application-proxy-get-started ).
Zalety stosowania Azure AD Application Proxy:
Prostota
- Nie trzeba w publikowanej aplikacji wprowadzać żadnych zmian programistycznych. Zarówno platforma Sharepoint jaki i system WEBCON BPS (od wersji 2017.1.x.x) są zgodne z usługą Azure AD Application Proxy.
- Użytkownik ma zapewniony spójny sposób logowania wykorzystujący SSO do aplikacji Office 365 i do aplikacji publikowanych za pomocą Azure AD Application Proxy. Publikowana aplikacja może być dla użytkownika dostępna poprzez portal „Moje aplikacje” (https://MyApps.microsoft.com ) i/lub poprzez portal Office 365 (https://portal.office.com )
Bezpieczeństwo
- Publikacja aplikacji z użyciem Azure AD Application Proxy pozwala na wykorzystanie dodatkowych mechanizmów kontroli dostępu do aplikacji dostarczanych przez platformę Azure m.in. uwierzytelnianie wieloskładnikowe (multifactor authentication).
- Nie ma konieczności otwierania na firewallu w instalacji lokalnej żadnego ruchu przychodzącego z publicznego internetu.
Na rysunku przedstawiono schematyczny sposób działania publikacji aplikacji on-premises poprzez Azure AD Application Proxy
Sposób publikacji aplikacji lokalnej (on-premises) został szczegółowo opisany w artykule: https://docs.microsoft.com/en-us/azure/active-directory/application-proxy-publish-azure-portal
Przykładowa konfiguracja:
Uwaga!
Aby skorzystać z usługi Azure Active Directory Application Proxy należy posiadać minimum subskrypcję usługi Office 365 oraz usługę: „Microsoft Azure Active Directory w warstwie Podstawowa”. W przypadku posiadania subskrypcji Office 365 E3 lub E5 wszystkie elementy potrzebna dla Azure AD Application Proxy są zawarte w pakiecie.
Założenia wstępne:
- System WEBCON BPS jest zainstalowany lokalnie na instancji Sharepoint dotępniej w wewnętrznej sieci firmowej pod adresem: http://demo-v5
- Użytkownicy wykorzystują przy dostępie do witryn http://demo-v5 mechanizmy zintegrowanego uwierzytelniania systemu Windows.
- Firma posiada wykupioną subskrybcję Office 365 oraz subskrybcję: „Microsoft Azure Active Directory w warstwie Podstawowa”.
- Użytkownicy pracują głównie z wykorzystaniem portalu: https://Myapps.microsoft.com i/lub https://portal.office.com .
- Użytkownicy chcą mieć możliwość uruchamiania systemu WEBCON BPS bezpośredniu z portalu MyApps bez konieczności ponownego logowania do systemu.
Instalacja Application Proxy Connector
Dla zapewnienia bezpiecznej publikacji aplikacji z sieci lokalnej za pośrednictwem usługi Azure AD Application Proxy, konieczne jest zainstalowanie w sieci lokalnej na dowolnej maszynie z systemem Windows Server 2012 R2 lub Windows Server 2016 aplikacji: Application Proxy Connector.
Szczegóły instalacji oraz aktywacji tej aplikacji opisano w artykule: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-application-proxy-enable
Konfiguracja w „chmurze” Azure (o365)
Konfigurację chmurową publikacji systemu WEBCON BPS należy przeprowadzić logując się do portal Azure (https://portal.azure.com) z uprawnieniami administracyjnymi i przejść do sekcji: „Aplikacje dla przedsiębiorstw”.
Należy utworzyć nową aplikację, korzystając z opcji: „Aplikacja lokalna”.
W oknie: „Dodaj własną aplikację lokalną” definiujemy podstawowe parametry aplikacji:
- Nazwa – nazwa pod jaką aplikacja będzie dostępna dla użytkowników w portalu o365.
- Wewnętrzny adres URL – adres witryny Sharepoint w sieci lokalnej (na witrynie tej zainstalowany jest system WEBCON BPS).
- Zewnętrzny adres URL – pole pozwala na ustalenie publicznego adresu URL, który będzie umożliwiał dostęp do aplikacji WEBCON BPS za pośrednictwem usługi Azure AD Application Proxy.
- Wstępne uwierzytelnianie – należy wybrać sposób autentykacji użytkownika do aplikacji. Należy wybrać: „Azure Active Directory”.
Po wypełnieniu podstawowych danych i kliknięciu klawisza: „Dodaj” zostanie wygenerowana nowa aplikacja dla przedsiębiorstwa, a system przeniesie nas na ekran szczegółowej konfiguracji aplikacji.
Najważniejsze jest odpowiednia konfiguracja sekcji:
- Użytkownicy i grupy
- Logowanie jednokrotne
- Serwer proxy aplikacji
W sekcji: „Użytkownicy i grupy” należy wprowadzić konta użytkowników którzy uzyskają dostęp do aplikacji za pośrednictwem Azure AD Application Proxy.
W sekcji: „Logowanie jednokrotne” należy ustawić parametry SSO, zapewniejące użytkownikom zintegrowany z Windows sposób logowania.
W polu: „Tryb logowania jednokrotnego” należy ustawić opcję: „Zintegrowane uwierzytlenianie systemu Windows”.
W polu: „Główna nazwa usługi aplikacji wewnętrznej” należy wpisać identyfikator usługi, który będzie używany przez serwer Proxy aplikacji w celu zapewnienia logowania jednokrotnego. Zgodny z wpisem SPN dla serwera. W naszym przykładzie: http/demo-v5
W polu: „Delegowana tożsamość logowania” wybieramy typ identyfikatora użytkownika, który zostanie przesłany do lokalnego Active Directory celem autentykacji. Należy wybrać: „Główna nazwa użytkownika” (UPN).
Konfiguracja w sieci lokalnej
W przypadku publikacji za pośrednictwem Azure AD Application Proxy platformy Sharepoint wraz z systemem WEBCON BPS należy przygotować serwer Sharepoint do autentykacji z wykorzystaniem Kerberos Constrained Delegation (KCD).
Konfiguracja została szczegółowo opisana w dokumencie: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-application-proxy-sso-using-kcd
Poniżej przedstawiono punkty konfiguracji w przykładowej instalacji:
- Wprowadzenie rekordu SPN dla maszyny Sharepoint (nazwa maszyny: demo-v5)
Należy uruchomić Command line z uprawnieniami administratora a następnie uruchomić polecenie:
SETSPN –S http/demo-v5 DEMO\svc.bps
Gdzie:
- http/demo-v5 jest identyfikatorem instancji Sharepoint dla Kerberos.
- DEMO\svc.bps jest loginem używanym przez pulę aplikacji platformy Sharepoint.
- Konfiguracja Web Aplikacji Sharepoint do użycia protokołu Kerberos
- Uruchomić konsolę Centralnej Administracji Sharepoint
- Przejść do opcji: Application Management -> Manage Web Application, wybarć Web Aplikację głownej witryny Sharepoint I kliknąć klawisz: Authentication Providers
W sekcji: Claims Authentication Types należy ustawić: Negotiate (Kerberos)
- Konfiguracja Active Directory
- Należy otworzyć przystawkę: Active Directory User and computer
- Wybrać serwer na którym zainstalowano Application Proxy Connector (w przykładowej instalacji jest to serwer: DEMO-V4
- Klikając prawym klawiszem myszy wybrać: Properties -> Delegation
- W sekcji: Services to which this account can present delegated credentials należy dodać wartość SPN zdefiniowanego wcześniej dla maszyny DEMO-V5
Zalecane jest ustawienie w Centralnej Administracji Sharepoint adresu alternatywnego dla witryny zawierającego URL publikowania w Azure AD Application Proxy (w tym przypadku: https://demo-webconbps.msappproxy.net )
Po przeprowadzeniu wyżej opisanych czynności, aplikacja WEBCON BPS jest dostępna dla uprawnionych użytkowników zarówno z poziomu portal MyApps, jak i bezpośrednio za pomocą adresu URL zdefiniowanego jako adres publikacji. W instalacji przykładowej jest to: https://demo-webconbps.msappproxy.net/
Aplikacja może być również dostępna dla użytkownika z poziomu menu aplikacji panelu Office 365.